Масштабная кампания FortiBleed скомпрометировала более 430 тысяч FortiGate-брандмауэров ради кражи 110 миллионов учётных данных

Исполнитель атаки предположительно является брокером начального доступа (Initial Access Broker, IAB) - посредником, который продаёт доступ к скомпрометированным системам другим киберпреступным группам. Судя по комментариям в коде инструмента на кириллице, атакующий может иметь российское происхождение и связи с группами программ-вымогателей или спонсируемыми государствами акторами. Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило срочное предупреждение, призывая организации защитить свои устройства Fortinet после сообщений о масштабном компрометации учётных данных.

Основное оружие кампании - FortigateSniffer (также отслеживается как fg_sniffer) - это программа, скомпилированная для Linux и Windows. Весь её интерфейс выполнен на русском языке. Вместо установки вредоносного ПО инструмент использует штатную диагностическую команду FortiOS - diagnose sniffer packet. Она позволяет пассивно перехватывать весь трафик аутентификации, проходящий через скомпрометированный брандмауэр. Мониторинг покрывает 24 протокола, включая RADIUS, NTLM, Kerberos, LDAP, RDP, SMB, MSSQL, FTP, Telnet и WinRM. Перехваченные данные в формате терминального вывода SSH преобразуются в формат .pcapng с помощью движка SNIFTRAN, после чего пропускаются через набор инструментов глубокого анализа пакетов (PCAP Deep Analysis Toolkit v5.0). На выходе извлекаются учётные данные в открытом тексте, хеши NTLMv2, билеты Kerberos (TGS/ASREP) и сессионные куки.

Для уклонения от обнаружения программа использует два приёма: фильтрацию по геолокации (на основе файла ipgeo.csv с оптимизированным бинарным поиском) и привязку к рабочему времени. Активный сниффинг работал с 07:00 до 18:00 по московскому времени, чтобы минимизировать аномальные срабатывания в нерабочие часы.

Операция строилась из пяти последовательных этапов. На первом этапе (разведка и сбор учётных данных) злоумышленники применяли массовый сканер портов Masscan, пассивное обогащение через Shodan_Recon на основе метаданных SSL/сертификатов и собственный классификатор FortiProbe-fast, который делил цели на три категории: FortiGate, не-FortiGate и недоступные. С помощью скриптов match_corps.py, merge_revenue.py и build_report.py цели ранжировались по корпоративной выручке - это указывает на целенаправленный выбор исходя из экономической ценности, а не на случайное сканирование.

На втором этапе (подбор и начальный доступ) инструмент gen_rotator создавал декартовы произведения пар "хост - учётные данные". Эти списки подавались в mpbrute2.bin для брутфорса SSH-учётных записей администраторов FortiGate с использованием 16 специализированных словарей. Параллельно forticheck (до 25 000 потоков) проводил атаки перебором на порталы SSLVPN. Третий этап - развёртывание сниффера и сбор данных. Получив валидные SSH-учётные данные, злоумышленник заходил на каждый скомпрометированный FortiGate и запускал FortigateSniffer, превращая устройство в пассивный прослушиватель. В рамках кампании было загружено 6 127 устройств с 90-процентным успехом валидации SSH. К концу операции файл ssh.txt содержал 237 330 рабочих SSH-учётных записей FortiGate.

Четвёртый этап - взлом хешей и латеральное перемещение. Собранные хеши (NTLM, Kerberos, RADIUS) взламывались с помощью кластера GPU с управлением через Hashtopolis, дополненного арендованными мощностями из vast.ai. Процесс координировался через выделенного Telegram-бота, который динамически выделял от одного до шести GPU и передавал информацию о взломе в реальном времени. Инструменты латерального перемещения, такие как spray_da.py, smb_test.py, spider.py и ad_full_audit.py, позволяли передвигаться по средам Active Directory. Пятый этап - эксфильтрация. Скрипт backup_dfs.py рекурсивно извлекал полные DFS-ресурсы через протокол SMB и передавал их напрямую на SSH-серверы атакующего без промежуточного хранения на скомпрометированном устройстве. 15 июня 2026 года, после офлайн-взлома 172 хешей Kerberos RC4, исполнитель провёл целевую выгрузку DFS-ресурсов у оборонного подрядчика, связанного с НАТО.

Согласно данным SOCRadar, кампания затронула 23 406 уникальных доменов на 80 553 устройствах FortiGate. Две трети жертв - компании с численностью сотрудников менее 200 человек, причём сегмент от 51 до 200 сотрудников составляет 42,3% всех скомпрометированных доменов. Это организации, которые достаточно крупны для развёртывания FortiGate, но обычно не имеют выделенных отделов информационной безопасности. Наибольшее количество жертв приходится на сектор IT-услуг (8,4%) - это осознанный выбор исполнителя, позволяющий получить доступ к инфраструктуре клиентов атакованных компаний. В географическом распределении лидируют Индия (11,4%) и США (10,1%), за ними следуют Тайвань, Мексика и Турция.

Инцидент подтверждает тенденцию к использованию легитимных функций сетевых устройств для скрытого сбора данных. Наличие пятиступенчатого жизненного цикла с элементами экономической оценки целей и аренды вычислительных мощностей для взлома хешей говорит о высокой степени организации. Организациям, использующим брандмауэры FortiGate, следует уделить особое внимание контролю доступа к SSH, многофакторной аутентификации для административных учётных записей и мониторингу подозрительных диагностических команд.

IPv4

• 102.50.247.12
• 103.124.165.105
• 103.154.55.145
• 103.194.242.134
• 103.21.149.215
• 103.50.219.186
• 103.80.60.70
• 103.88.80.163
• 104.160.114.124
• 107.0.184.92
• 146.70.224.23
• 146.70.231.15
• 147.45.45.202
• 152.89.216.207
• 179.43.166.138
• 179.43.166.170
• 185.65.133.193
• 185.65.133.22
• 188.127.226.252
• 188.127.246.183
• 192.253.248.42
• 193.138.7.164
• 193.8.187.10
• 193.8.187.14
• 193.8.187.2
• 193.8.187.22
• 193.8.187.26
• 193.8.187.42
• 193.8.187.6
• 194.113.39.45
• 194.113.39.47
• 194.113.39.49
• 194.113.39.53
• 194.113.39.71
• 194.113.39.73
• 194.113.39.75
• 194.113.39.79
• 194.127.167.114
• 213.171.17.74
• 45.144.115.10
• 62.197.149.124
• 77.91.122.11
• 77.91.122.13
• 77.91.122.17
• 77.91.122.31
• 77.91.122.33
• 77.91.122.35
• 77.91.122.39
• 77.91.122.5
• 77.91.122.7
• 77.91.122.9
• 77.91.96.136
• 80.246.31.105
• 83.48.92.67
• 85.11.187.100
• 85.11.187.101
• 85.11.187.103
• 85.11.187.105
• 85.11.187.107
• 85.11.187.108
• 85.11.187.109
• 85.11.187.111
• 85.11.187.112
• 85.11.187.113
• 85.11.187.114
• 85.11.187.115
• 85.11.187.116
• 85.11.187.117
• 85.11.187.118
• 85.11.187.119
• 85.11.187.120
• 85.11.187.121
• 85.11.187.64
• 85.11.187.66
• 85.11.187.68
• 85.11.187.72
• 85.11.187.8
• 85.11.187.90
• 85.11.187.92
• 85.11.187.94
• 85.11.187.98
• 87.249.133.20
• 87.249.133.79
• 89.187.163.211
• 91.214.78.143
• 95.214.217.25
• 96.18.56.78
• 96.18.57.90
• 96.43.51.7
• 99.9.111.82

URL

• http://85.11.187.8:9999

SHA256

• 0fd72c5f46b5718beef800735d9e0f27f53fbf7be6bde2805cff810e87152850
• 1c3e93a6b447603279460eed5104dceb708fa2ed2d623541bc69c0dfb869929e
• 2b66e742dc492daaaf5e112e12e2b057c216e0a89292773eb37799ecf8626323
• 2c98c86e6bd6f46cbd6c89d855541b9da91515b1bb986641a77e31c5c6aa2abb
• 2f0329b0de0b3a1dc1d866665ae5339c6b333e6db566f3ede1332a55c54168cc
• 43f21f040c3006498ef3fd72554f083080a47cf9c563d7cdfba34a8d60c19b44
• 45917803009456a0c703fa9a8fadac8f2a6e2499e89a6be1c8198665381a6fce
• 4618112eecf25a9ed970145305eff0839365f2998f23f8cdedcd3e2224051d3d
• 4d0b62d3162d4be391e3ba1e191dad28e5e5d5b161cfdef60eeb4361a92d8413
• 80d83eb01f28c87a61b51f1f83805e63a791905f019bd3b87f10a10f66efab1e
• 810f7e72ffb9c7793f789e9a3510b4550a02c8f69d24ac3acad8fb715d20c68d
• 9a3cdb8e36063ab639f1532a9d6e73ffc9511e18fcc541ce76cbbca3f19846ec
• a474e04340a6425914b110bcd55da50a5f3f618f8b36cb4da4bfa6bf1d3804b4
• a8b09fd4f7ff2f298b45ca602992f44b3c2ac3746bcdb182c59ab2a20c690954
• b76d83918473be1550db8fe7bf60479841599bc5b0c30e2d1184432b99c7ff02
• c1406935ebcf840acca58b2da12ddedae5bc029b8658ff12272962d98e28d495
• c90adcfb6ac7ae5e250d52b2f09e0418375fc8af36f19642f06c5efde765c86b
• d0ab429f1289fc91dfcaef28ccc768c61f6662eee15d7eaf9ca3d0dee67b1e61
• d4f39302a3a2a99fddd5da91e02d89f5023e166ac99939576b5d78ef76103899
• dd781aab0b946d610fd1ec3a3b8e53f8da9800b0bd8c407dcf69a089e78e0f3e
• e056ad0fece00c400f3439ed9810d5be5c00ae63a852e4be2bb9ccfd6ac77766
• ea914c06556b3319ee0d2dc116fec2fd3ef836e3a956dcb538d753c95bd6cf71
• f16bc1fac8b8b951d35d6c94e8c7257f5005e8963bf075d079964269d0b931f7
• f841ebe0f47f332704f038256fa7b7f79aa910c964c81d1d8513cc9b36b77630
• fa36ad03e92e0399ec4eea7ba37e4a35fd7dc4391558f8f6e9899bce93095f5d