Кампания кибершпионажа под кодовым названием FortiBleed затронула критическую инфраструктуру в 194 странах. Злоумышленники получили доступ к 73 932 уникальным межсетевым экранам FortiGate и VPN-шлюзам, что составляет почти половину всех публично доступных устройств этого вендора. Речь идёт об одном из крупнейших инцидентов, связанных с компрометацией периметральных средств защиты, за последние годы. Под удар попали корпоративные сети, включая объекты госсектора, критической инфраструктуры и крупного бизнеса.
Первым активность выявил исследователь безопасности Владимир Дьяченко (Volodymyr "Bob" Diachenko). Впоследствии анализ провели компании Hudson Rock и эксперт Кевин Бомон. Вредоносная деятельность была организована русскоязычной группировкой. Злоумышленники использовали распределённую инфраструктуру, включая 45-графических процессоров для ускорения подбора паролей через систему управления хэшами Hashtopolis.
Атака начиналась с автоматизированного сканирования устройств FortiGate, у которых были открыты интерфейсы управления для доступа из интернета. Затем злоумышленники извлекали файлы конфигурации. Эти файлы позволяли проводить офлайн-атаки на учётные данные, обходя ограничения на количество попыток, которые обычно действуют при живом входе в систему. Согласно данным Hudson Rock, за всё время кампании злоумышленники совершили примерно 1,16 миллиарда попыток подбора паролей против более чем 320 тысяч систем FortiGate. Дополнительно было зафиксировано 2,1 миллиарда попыток перебора учётных данных для серверов Microsoft SQL.
Ключевым фактором уязвимости стало использование устаревших механизмов хранения паролей. Хотя компания Fortinet внедрила в начале 2025 года хэширование на основе алгоритма PBKDF2, многие устройства продолжали использовать старые хэши с солью на базе SHA-256. Причина заключалась в том, что администраторы не произвели повторную аутентификацию после установки обновления. В результате конфиденциальные данные оставались уязвимыми для офлайн-атак подбора, как только файлы конфигурации оказывались у злоумышленников. Кроме того, атакующие перехватили хэши аутентификации SSL VPN, что расширило их базу учётных данных и позволило перемещаться внутри корпоративных сетей.
После получения административного доступа операторы переключались на среды Active Directory. Там они закреплялись в системе, повышали привилегии и выгружали чувствительную информацию. Подтверждённые инциденты включают полную компрометацию сетей в Японии, Тайване, Вьетнаме, Ираке и Турции. В частности, сообщается о краже секретных документов оборонного значения у турецкого подрядчика НАТО.
Структурированный характер утёкшего набора данных указывает на то, что операция связана с так называемыми брокерами первоначального доступа. Такие посредники монетизируют доступ к скомпрометированным сетям на теневых форумах. В утечке пострадало множество известных организаций: Foxconn, Samsung, Siemens, Lenovo, PwC, Accenture, Comcast, Oracle. Список также включает многочисленные государственные учреждения и объекты критической инфраструктуры.
Анализ логов злоумышленников показал, что они систематически записывали успешные входы и проверенные учётные данные. Это подчёркивает индустриальный характер кампании. Примечательно, что даже очень сложные пароли были скомпрометированы. Эксперты отмечают, что надёжность пароля сама по себе перестаёт быть защитой, когда учётные данные оказываются в открытом виде либо из-за программ-стилеров, либо из-за утечек конфигурации.
Специалисты по безопасности подчёркивают, что к данному инциденту следует относиться как к активной компрометации, а не как к теоретическому риску. Немедленные меры защиты включают удаление публичного доступа к интерфейсам управления FortiGate, принудительную полную замену всех паролей и обеспечение того, чтобы все пароли были перехэшированы с использованием PBKDF2. Для этого требуется обязательный вход администраторов после установки обновления.
Кроме того, организациям рекомендуется исходить из того, что механизмы закрепления злоумышленников уже могут быть внедрены. Необходимо провести тщательное криминалистическое исследование, внедрить многофакторную аутентификацию на всех точках доступа и мониторить учётные данные через источники угроз для выявления попыток повторного использования похищенных паролей.
