FortiBleed: A Operação que Roubou Senhas de 74.000 Dispositivos e os Vendeu em Fóruns
Uma campanha sofisticada, conhecida como FortiBleed, utilizou um único script para interceptar tráfego de rede, roubar credenciais e vendê-las em fóruns. A operação evoluiu de um ataque de força bruta para uma cadeia de exploração complexa.
MundiX News·25 de junho de 2026·6 min de leitura·👁 1 views
A operação FortiBleed, inicialmente identificada como um ataque de força bruta em larga escala, evoluiu para uma cadeia de ataques complexa onde firewalls comprometidos eram utilizados para coletar novas credenciais, alimentando assim futuros comprometimentos. Uma base de dados vazada contendo senhas de dispositivos FortiGate, com quase 74.000 entradas, revelou ser apenas uma fração da extensão total da operação de coleta de credenciais.
O ataque começou em fevereiro, com os cibercriminosos escaneando a internet e realizando ataques de força bruta contra serviços como RDWeb, Sophos e Citrix SSL VPN, além de RDP e bancos de dados Microsoft SQL Server. Posteriormente, o foco se voltou para dispositivos FortiGate. A Fortinet, fabricante dos firewalls, não associou a campanha a uma nova vulnerabilidade específica, sugerindo que os atacantes reutilizaram credenciais de incidentes anteriores e exploraram senhas fracas em dispositivos sem autenticação de dois fatores (2FA). Embora a possibilidade de exploração de vulnerabilidades antigas e não corrigidas para contornar a autenticação seja considerada, a Fortinet não divulgou CVEs específicos no momento do alerta.
Uma vez obtidas as permissões de administrador, os operadores se conectavam aos dispositivos FortiGate via SSH e executavam o script FortigateSniffer, desenvolvido em Go. Este script aproveita um comando interno do FortiOS, diagnose sniffer packet, normalmente usado por administradores para diagnóstico de rede e autenticação. Com o firewall comprometido, o dispositivo passava a interceptar todo o tráfego de rede que por ele transitava. Desde maio, o FortigateSniffer monitorava o tráfego de 24 protocolos distintos, incluindo Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP e Telnet. O objetivo principal do script era identificar e extrair senhas, hashes, tickets Kerberos, dados NTLM, tokens e outras informações sensíveis de autenticação.
O tráfego interceptado era convertido em arquivos PCAP pelo componente SNIFTRAN. Ferramentas em Python eram então utilizadas para extrair credenciais em texto claro e hashes NTLM e Kerberos (para uso com ferramentas como Hashcat) desses arquivos. Em muitos casos, senhas de serviços como SMTP, IMAP, POP3, MySQL e RADIUS eram obtidas diretamente, sem necessidade de cracking, pois esses serviços transmitiam dados sem criptografia adequada. Os hashes extraídos eram processados em GPUs alugadas para a quebra de senhas. Empresas de segurança como CloudSEK identificaram seis instâncias de nuvem com aproximadamente 36 GPUs, enquanto a Prodaft investigou a infraestrutura de servidores dos operadores. As senhas válidas eram então utilizadas para obter acesso a redes já comprometidas, expandir o alcance do ataque e adicionadas a um catálogo para venda a outros grupos criminosos.
A operação tem sido associada a um broker de acesso primário de língua russa, especializado em comprometer redes e revender o acesso. A Unit 42 identificou uma conta no fórum Exploit, chamada SantaAd, que assumiu a responsabilidade pela campanha e ofereceu os dados para venda, embora uma ligação direta com a FortiBleed não tenha sido confirmada. A SOCRadar reportou que parte da infraestrutura dos operadores permaneceu ativa mesmo após a publicação do relatório. Para mitigar os riscos, os proprietários de dispositivos FortiGate são fortemente recomendados a trocar imediatamente suas senhas, encerrar todas as sessões ativas de administradores e VPN, habilitar a autenticação de dois fatores, revisar os logs de login e restringir o acesso externo ao painel de administração.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A operação FortiBleed, inicialmente identificada como um ataque de força bruta em larga escala, evoluiu para uma cadeia de ataques complexa onde firewalls comprometidos eram utilizados para coletar novas credenciais, alimentando assim futuros comprometimentos. Uma base de dados vazada contendo senhas de dispositivos FortiGate, com quase 74.000 entradas, revelou ser apenas uma fração da extensão total da operação de coleta de credenciais.
O ataque começou em fevereiro, com os cibercriminosos escaneando a internet e realizando ataques de força bruta contra serviços como RDWeb, Sophos e Citrix SSL VPN, além de RDP e bancos de dados Microsoft SQL Server. Posteriormente, o foco se voltou para dispositivos FortiGate. A Fortinet, fabricante dos firewalls, não associou a campanha a uma nova vulnerabilidade específica, sugerindo que os atacantes reutilizaram credenciais de incidentes anteriores e exploraram senhas fracas em dispositivos sem autenticação de dois fatores (2FA). Embora a possibilidade de exploração de vulnerabilidades antigas e não corrigidas para contornar a autenticação seja considerada, a Fortinet não divulgou CVEs específicos no momento do alerta.
Uma vez obtidas as permissões de administrador, os operadores se conectavam aos dispositivos FortiGate via SSH e executavam o script FortigateSniffer, desenvolvido em Go. Este script aproveita um comando interno do FortiOS, diagnose sniffer packet, normalmente usado por administradores para diagnóstico de rede e autenticação. Com o firewall comprometido, o dispositivo passava a interceptar todo o tráfego de rede que por ele transitava. Desde maio, o FortigateSniffer monitorava o tráfego de 24 protocolos distintos, incluindo Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP e Telnet. O objetivo principal do script era identificar e extrair senhas, hashes, tickets Kerberos, dados NTLM, tokens e outras informações sensíveis de autenticação.
O tráfego interceptado era convertido em arquivos PCAP pelo componente SNIFTRAN. Ferramentas em Python eram então utilizadas para extrair credenciais em texto claro e hashes NTLM e Kerberos (para uso com ferramentas como Hashcat) desses arquivos. Em muitos casos, senhas de serviços como SMTP, IMAP, POP3, MySQL e RADIUS eram obtidas diretamente, sem necessidade de cracking, pois esses serviços transmitiam dados sem criptografia adequada. Os hashes extraídos eram processados em GPUs alugadas para a quebra de senhas. Empresas de segurança como CloudSEK identificaram seis instâncias de nuvem com aproximadamente 36 GPUs, enquanto a Prodaft investigou a infraestrutura de servidores dos operadores. As senhas válidas eram então utilizadas para obter acesso a redes já comprometidas, expandir o alcance do ataque e adicionadas a um catálogo para venda a outros grupos criminosos.
A operação tem sido associada a um broker de acesso primário de língua russa, especializado em comprometer redes e revender o acesso. A Unit 42 identificou uma conta no fórum Exploit, chamada SantaAd, que assumiu a responsabilidade pela campanha e ofereceu os dados para venda, embora uma ligação direta com a FortiBleed não tenha sido confirmada. A SOCRadar reportou que parte da infraestrutura dos operadores permaneceu ativa mesmo após a publicação do relatório. Para mitigar os riscos, os proprietários de dispositivos FortiGate são fortemente recomendados a trocar imediatamente suas senhas, encerrar todas as sessões ativas de administradores e VPN, habilitar a autenticação de dois fatores, revisar os logs de login e restringir o acesso externo ao painel de administração.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
