Вчера в 21:27

FortiBleed: массовая кража учетных данных FortiGate по всему миру

Кампания FortiBleed, раскрытая в июне 2026 года, показала, как современные киберпреступные группировки выстраивают атаки промышленного масштаба против Fortinet FortiGate. Доступ к раскрытой командной точке злоумышленников, содержащей 318 файлов, позволил исследователям восстановить структуру операции, ее инструменты и тактику.

Согласно материалам отчета, кампания затронула 73 932 уникальных URL-адреса межсетевых экранов в 194 странах. Это указывает не на точечную атаку, а на глобальную, хорошо организованную операцию по сбору учетных данных, последующему взлому хешей и закреплению во внутренних сетях.

Четырехэтапная схема атаки

Атакующие действовали по структурированному четырехэтапному подходу, в котором каждый этап был автоматизирован и связан с последующим:

массовое сканирование и захват трафика;
извлечение учетных данных;
off-line взлом хешей;
перемещение внутри компании в скомпрометированных сетях.

На первом этапе злоумышленники загружали региональные списки целей и проверяли доступ через несколько одновременных потоков. Такая схема обеспечивала высокую скорость и повышала вероятность успешного обнаружения доступных устройств.

Далее сбор учетных записей осуществлялся с помощью различных tools веб-автоматизации, которые перехватывали данные сессий. После этого была развернута конвейерная система очистки и обработки захваченных учетных данных, что позволяло быстро готовить их к дальнейшему использованию.

Hashtopolis, Vast.ai и Telegram-бот для взлома хешей

Особое внимание в отчете уделяется инфраструктуре для взлома хешей. Злоумышленники использовали Hashtopolis и арендованные GPU-ресурсы через сервисы вроде Vast.ai, управляя ими через Telegram bot.

Бот распределял параллельные задачи для разных типов хешей, включая NetNTLMv2 и Kerberos. Это указывает на универсальный подход, ориентированный не только на устройства Fortinet, но и на более широкий набор баз данных и сетевых сред.

Иными словами, операция была построена не как единичная атака на один класс устройств, а как масштабируемая киберкампания, рассчитанная на многопрофильное использование похищенных данных.

Постэксплуатация и атаки внутри сети

На более поздних этапах операции использовались Python scripts для проведения тактик постэксплуатации во внутренней сети. Скомпрометированные учетные данные применялись для выполнения действий, включая password spraying против сред Active Directory.

Кроме того, злоумышленники проводили расширенную инвентаризацию пользовательских учетных записей и аудит привилегий. Это демонстрирует высокий уровень автоматизации и оркестрации: атака не ограничивалась первоначальным проникновением, а была нацелена на углубление контроля над инфраструктурой жертв.

CyberStrike и использование AI в атаке

Отдельным элементом кампании стал инструмент CyberStrike — AI-based agent, который автоматизировал различные tasks пентестинга и был внедрен по всей инфраструктуре злоумышленников.

Интеграция искусственного интеллекта позволила совмещать традиционные техники эксплуатации с продвинутыми автоматизированными процессами. Это повышало как скорость выполнения операций, так и их масштаб, приближая кампанию к модели киберопераций промышленного уровня.

Инцидент FortiBleed подчеркивает изменяющийся ландшафт киберугроз, особенно в контексте интеграции искусственного интеллекта и commercial tools в сбор учетных данных и эксплуатацию сетей.

Критический сбой в OPSEC

Раскрытие всего operational framework стало возможным из-за критического сбоя в OPSEC: злоумышленники оставили свои files доступными в интернете. Это непреднамеренно открыло исследователям доступ к ключевым инструментам, конфигурациям и access keys.

Подобные ошибки сегодня становятся особенно опасными: даже хорошо организованная операция может быть деанонимизирована из-за одной технической или организационной оплошности.

Последствия для организаций

Влияние кампании оказалось значительным. Среди последствий:

скомпрометированный administrative access к десяткам тысяч межсетевых экранов;
перехват sensitive traffic от множества организаций;
нарушения в сотнях доменов Active Directory.

Для компаний, использующих FortiGate, инцидент стал напоминанием о том, что компрометация edge-устройств может стать отправной точкой для широкомасштабного вторжения во внутреннюю инфраструктуру.

Рекомендации по защите

Авторы отчета рекомендуют исходить из предположения, что любое exposed устройство FortiGate может быть скомпрометировано. В числе ключевых мер защиты названы:

включение MFA для всех критически важных учетных записей;
ротация всех административных credentials;
тщательный мониторинг аномальной активности;
поиск признаков доступа через backdoor;
проверка внешне доступных устройств и ограничение их exposure;
пересмотр политик доступа к административным интерфейсам.

FortiBleed демонстрирует, что современные киберугрозы все чаще строятся вокруг сочетания массовой автоматизации, коммерческой инфраструктуры, арендуемых GPU-ресурсов и AI-инструментов. В результате формируется новая модель атак — более гибкая, более быстрая и значительно более опасная.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: