FortiBleed mirou firewalls FortiGate em operação de coleta de 110 milhões de credenciais

O FortiBleed não é um ataque pontual, mas um sistema automatizado de coleta e processamento de credenciais em larga escala. O uso do FortigateSniffer, baseado em Go, permite interceptar tráfego de autenticação em 24 protocolos diretamente nos firewalls FortiGate comprometidos, aproveitando o comando nativo -diagnose sniffer packet do FortiOS. Isso elimina a necessão de explorar vulnerabilidades zero-day: basta acesso via força bruta ou credenciais vazadas.

O ciclo operacional é meticuloso: varredura com Masscan e Shodan, filtragem geográfica com GeoSplit, validação de credenciais via forticheck em milhares de dispositivos simultaneamente, e captura passiva de tráfego. O pipeline CyberStrike Harvester v1.5 processa os dados coletados, arquivos pcap, sessões web, tokens, e extrai credenciais prontas para uso. A infraestrutura de quebra de hashes, com Hashcat orquestrado por um bot no Telegram (HASHBOT), distribui tarefas entre GPUs e valida modos como NetNTLMv2, FortiGate256 e MS-SQL, com controle de progresso e tempo estimado.

Esse ataque expõe uma falha crítica na segurança perimetral de milhares de organizações, especialmente pequenas e médias empresas sem MFA ou senhas fortes. O fato de o grupo classificar alvos por valor econômico mostra que a exploração é seletiva e lucrativa: um único dispositivo comprometido pode abrir caminho para redes de clientes, sobretudo em provedores de TI. Além disso, a descoberta de pares de credenciais repetidas em milhares de IPs, como adminin:ITAdmin@888 em quase 4 mil dispositivos, sugere que o ator plantou backdoors ativas, não apenas reutilizou senhas vazadas. Isso transforma dispositivos em portas de entrada persistentes, mesmo após eventuais trocas de senha locais.