В июне 2026 года исследователь безопасности Владимир "Боб" Дьяченко обнаружил крупный массив данных, связанных с публично доступными развёртываниями FortiGate по всему миру. После обнародования информации выяснилось, что набор содержит порядка 74 тысяч записей, относящихся к более чем 21 тысяче организаций. На первый взгляд это могло показаться очередной утечкой учётных данных. Однако независимое расследование, проведённое компанией ThreatMon, указывает на то, что данный инцидент является значительно более структурированной операцией, чем типичная кампания по сбору паролей.
Описание
Специалисты ThreatMon пришли к выводу, что скомпрометированные данные могли быть частью целенаправленных усилий по идентификации, проверке, систематизации и последующей монетизации доступа к тысячам устройств FortiGate, принадлежащих предприятиям из различных отраслей и регионов. Более того, исследование вышло за рамки самих записей. В ходе анализа были обнаружены свидетельства работы бэкенд-инфраструктуры, распределённых агентов обработки задач и процессов проверки учётных данных. Это даёт дополнительное понимание того, как могла функционировать данная операция.
Ключевой вопрос заключается в том, зачем злоумышленнику вкладывать ресурсы в сбор 74 тысяч записей FortiGate. Ответ, по мнению аналитиков, кроется в характере собранной информации. Массив включает не только IP-адреса конечных точек FortiGate, но и имена административных учётных записей, связанные аккаунты FortiGuard, организационные идентификаторы, географические метаданные и, собственно, учётные данные. Оценка ThreatMon показывает, что эти записи больше напоминают операционный инвентарь, чем традиционный "слив" паролей.
Объектами внимания стали организации из широкого спектра отраслей: телекоммуникационные компании, поставщики энергии, предприятия нефтегазового сектора, производственные и логистические операторы, технологические фирмы, медицинские учреждения и финансовые институты. Анализ записей выявил множественные дублирующиеся ссылки на одни и те же организации, часто расположенные в разных странах. Это свидетельствует о намеренном нацеливании на крупные распределённые корпоративные сети, а не о случайном подборе жертв.
Географически операция охватила Северную Америку, Европу, Азиатско-Тихоокеанский регион, Латинскую Америку и Ближний Восток. Такое распределение указывает на стремление максимизировать количество потенциальных точек доступа, а не сфокусироваться на одном регионе. Публичное раскрытие произошло в июне 2026 года после заявления Дьяченко, однако ThreatMon обнаружил, что инфраструктура злоумышленников была активна по крайней мере с 31 мая. Журналы активности бэкенда зафиксировали множество распределённых агентов, которые обменивались данными с командной инфраструктурой и периодически получали назначенные задачи. Таким образом, к моменту обнародования операция уже была в стадии выполнения.
Смысл подобного сбора заключается в создании масштабируемого портфеля доступов. Если бы целью был взлом отдельных организаций, злоумышленнику хватило бы нескольких валидных учётных данных. Накопление же информации о десятках тысяч развёртываний FortiGate даёт возможность для реализации множества сценариев: от обеспечения первоначального доступа и проверки учётных данных до бокового перемещения внутри сети, развёртывания программ-вымогателей, атак на цепочки поставок и создания долговременных точек закрепления. Набор данных представляет собой не просто коллекцию, а действенный операционный потенциал.
Полная методика сбора пока не установлена, однако доступные свидетельства указывают на комбинацию таких техник, как подбор паролей, использование повторно используемых учётных данных, атаки перебором (credential stuffing) и парольный спрейинг (password spraying), а также процедуры проверки успешного доступа. Характерно, что повторяющиеся шаблоны паролей встречаются у несвязанных организаций. Это говорит о том, что операторы систематически проверяли и упорядочивали успешные варианты аутентификации, а не просто бессистемно собирали логины.
Предоставленный анализ ThreatMon вышел за рамки самого набора данных. Исследователи изучили инфраструктуру управления и выявили свидетельства распределённой среды бэкенда. Несколько агентов, идентифицированных по уникальным идентификаторам, вели активность 31 мая и 1-2 июня 2026 года с IP-адресов, расположенных в различных юрисдикциях. Архитектура напоминает типичные среды распределённой обработки задач, используемые в крупномасштабных кампаниях, связанных с аутентификацией. Наличие одновременно нескольких активных агентов указывает на модель распределённой операции, а не на действия одного хоста или оператора.
Последствия для владельцев FortiGate очевидны. Если организация использует такие устройства, её данные могли оказаться в распоряжении злоумышленников. Рекомендуется проверить логи межсетевого экрана, журналы аутентификации VPN, историю административных действий FortiGate. Особое внимание следует уделить соединениям с известной инфраструктурой (список IP-адресов опубликован), повторяющимся неудачным попыткам административного входа, необычной активности VPN, созданию неожиданных учётных записей администратора и изменениям конфигурации после успешной аутентификации.
Самый важный вывод заключается не в том, как были собраны 74 тысячи записей, а в том, зачем они были собраны. Массив, впервые обнаруженный Владимиром Дьяченко и проанализированный ThreatMon, демонстрирует уровень организации и оперативного планирования, выходящий за рамки обычной кражи учётных данных. Совокупность записей напоминает тщательно подобранный каталог доступов, предназначенный для поддержки будущих атак. Для организаций, эксплуатирующих FortiGate, разумно исходить из того, что их данные могли оказаться в этом наборе, пока обратное не будет доказано проверкой. Брандмауэр является не просто устройством безопасности; для злоумышленника это часто входная дверь, и для некоторых организаций эта дверь уже может быть внесена в реестр.
Индикаторы компрометации
IPv4
- 175.155.64.221
- 185.229.26.83
- 193.8.187.42
- 198.53.64.194
- 211.72.37.226
- 213.169.49.142
- 38.117.87.37
