Os responsáveis pela campanha FortiBleed, que comprometeu dezenas de milhares de firewalls Fortinet, instalaram nos dispositivos invadidos um sniffer personalizado para interceptar o tráfego de login de 24 protocolos diferentes, obtendo hashes e também senhas não criptografadas. A análise, publicada pela empresa de segurança SOCRadar, detalha que a operação visou mais de 430 mil firewalls FortiGate globalmente e está ativa desde, pelo menos, fevereiro de 2026.
O ataque começou com ataques de força bruta SSH, para os quais os invasores utilizaram uma lista própria de credenciais, combinando dados de vazamentos anteriores com conjuntos adquiridos, segundo a SOCRadar. Uma vez com acesso administrativo ao firewall via SSH, os atacantes implantaram a ferramenta FortigateSniffer, desenvolvida em Golang, que abusa do comando legítimo de diagnóstico “diagnose sniffer packet” do FortiOS para monitorar passivamente o tráfego de autenticação que atravessa o dispositivo.
O utilitário foi configurado para capturar dados de autenticação de protocolos como NetBIOS, SMB, LDAP, SMTP, POP3, IMAP, FTP, Telnet, RDP, Radius e FortiClient. Os dados capturados, convertidos para o formato .pcapng, foram então processados por um toolkit Python que extraiu credenciais em texto claro, hashes NTLM e Kerberos, tickets e outros artefatos de autenticação. As senhas com hash foram posteriormente quebradas por meio de um cluster distribuído de GPUs gerenciado pelo Hashtopolis, com capacidade alugada dinamicamente da Vast.ai e orquestrado via um bot do Telegram.
Movimento lateral e evasão
Com as credenciais quebradas, os atacantes tentaram se mover lateralmente nas redes, visando ambientes de Active Directory e bancos de dados MSSQL. O objetivo final, segundo os pesquisadores, era o roubo de dados confidenciais de servidores de arquivos e o uso de cookies de sessão roubados para manter o acesso persistente. A ferramenta também incorporava técnicas de evasão, como filtragem GeoIP e agendamento dos sniffers para operar durante o horário comercial, entre 7h e 18h no horário de Moscou, para minimizar alertas. A campanha, que continua ativa, já expôs mais de 110 milhões de credenciais, com vítimas em quase 200 países.
