Uma campanha de ciberespionagem de escala industrial, batizada de "FortiBleed", comprometeu silenciosamente mais de 73.932 URLs de firewalls Fortinet em 194 países. Originalmente descoberta pelo pesquisador de segurança Volodymyr "Bob" Diachenko e subsequentemente analisada pela Hudson Rock, este conjunto de dados revela uma operação altamente automatizada que visa dispositivos FortiGate e gateways SSL VPN em uma escala global sem precedentes.
Descoberta e escopo da campanha
A campanha atribuída a um grupo de cibercriminosos de fala russa, composto por múltiplos operadores, vai muito além do simples credential stuffing. Os atacantes varreram sistematicamente a internet em busca de instâncias expostas de Fortinet, testando-as contra vastos repositórios de credenciais vazadas historicamente, colhidas por malware infostealer. Uma vez estabelecido um ponto de apoio inicial, os invasores pivotam diretamente para ambientes internos de Active Directory, permitindo acesso persistente à rede que sobrevive a verificações de segurança rotineiras.
Os números são alarmantes: os atores da ameaça executaram aproximadamente 1,16 bilhão de tentativas baseadas em credenciais contra mais de 320.000 alvos FortiGate. Simultaneamente, lançaram mais 2,1 bilhões de tentativas de força bruta contra mais de 160.000 servidores MSSQL, resultando em 21.632 domínios comprometidos únicos. O escopo das vítimas confirmadas toca praticamente todos os setores da economia global.
Vetores técnicos e exploração
Um dos vetores técnicos mais alarmantes desta campanha é a interceptação ativa de hashes de autenticação SSL VPN, que são subsequentemente quebrados offline usando um cluster dedicado de 45 GPUs gerenciado via Hashtopolis. Isso significa que mesmo organizações que acreditam que suas credenciais criptografadas estão seguras estão ativamente expostas. Uma vez que o perímetro é violado, os operadores monitoram o tráfego em trânsito para colher logins adicionais, criando um ciclo auto-reforçador de acesso não autorizado.
A pesquisa de Diachenko confirmou compromissos de rede completos em organizações no Japão, Taiwan, Vietnã, Iraque e Turquia. O caso mais crítico envolveu um contratante de defesa turco da OTAN, do qual documentos de defesa classificados foram exfiltrados com sucesso. A base de credenciais verificada dos atacantes inclui algumas das maiores empresas do planeta:
- Tecnologia e Manufatura: Foxconn, Samsung, Siemens, Lenovo, Oracle
- Serviços Profissionais: PwC, Accenture
- Telecomunicações: Comcast
- Entidades governamentais e provedores de infraestrutura crítica: milhares de organizações
Impacto e implicações de segurança
Um dos aspectos mais sombrios deste conjunto de dados é que a complexidade da senha ofereceu proteção zero. Um volume significativo de senhas altamente complexas, de 20 caracteres, foi comprometido não por serem quebradas do zero, mas porque já existiam em texto plano dentro de bancos de dados de infostealer previamente colhidos. Quando as credenciais são roubadas no nível do endpoint antes que a criptografia seja aplicada, nenhuma quantidade de complexidade as salva. Isso mina fundamentalmente a política de "senha forte" como estratégia de defesa de perímetro.
A Hudson Rock lançou um portal online especializado projetado especificamente para que as organizações possam verificar facilmente se seus domínios estão incluídos no banco de dados. A campanha FortiBleed é um lembrete nítido de que a segurança de perímetro é tão forte quanto as credenciais que a protegem, e em um mundo saturado com dados colhidos por infostealers, o perímetro nunca foi tão frágil.
Medidas de mitigação recomendadas
Organizações que executam dispositivos Fortinet devem tratar isso como uma ameaça crítica e ativa e agir imediatamente. As seguintes medidas são essenciais para neutralizar a campanha:
- Forçar Rotação de Credenciais: Redefinir todas as senhas de VPN e interface de administração do Fortinet sem demora; a complexidade é irrelevante se as credenciais já foram vazadas.
- Implementar MFA Universal: Aplicar autenticação multifator em todas as gateways externas para neutralizar credenciais de texto plano roubadas.
- Auditar Logs de Gateway: Revisar os logs de acesso do Fortinet em busca de locais de login anômalos, sessões de administração inesperadas ou volumes de tráfego incomuns.
- Restringir Exposição da Interface de Gerenciamento: Aplicar políticas local-in para restringir o acesso ao painel de administração apenas a IPs internos confiáveis e desabilitar o FortiCloud SSO se não for essencial.
O que os CISOs devem fazer agora
Diante da escala deste ataque, a prioridade imediata é a visibilidade. CISOs devem exigir relatórios de auditoria de todos os gateways FortiGate expostos à internet. A verificação de credenciais vazadas deve ser automatizada, e a política de senha deve ser reavaliada em favor de autenticação forte e monitoramento contínuo de comportamento. A confiança em senhas complexas isoladas não é mais suficiente em um cenário onde o endpoint já foi comprometido.