Uma campanha massiva de ciberespionagem comprometeu silenciosamente 73.932 firewalls Fortinet em 194 países, expondo credenciais de administrador e afetando 21.632 domínios únicos — aproximadamente 50% de todos os dispositivos Fortinet voltados para a internet, de acordo com análise publicada pela Hudson Rock. A descoberta foi feita originalmente pelo pesquisador Volodymyr “Bob” Diachenko, com análises adicionais de Kevin Beaumont e da própria Hudson Rock. O grupo de cibercriminosos, de língua russa e com múltiplos operadores, executou uma estimativa de 1,16 bilhão de tentativas de acesso contra mais de 320 mil alvos FortiGate, além de 2,1 bilhões de tentativas de força bruta contra mais de 160 mil servidores MSSQL, segundo Diachenko.
Os atacantes interceptaram hashes de autenticação SSL VPN e os quebraram usando um cluster dedicado de 45 GPUs gerenciado via Hashtopolis, informou Beaumont. Uma vez violado o perímetro, os operadores se movem lateralmente para ambientes de Active Directory para estabelecer persistência profunda na rede, confirmou o pesquisador. A pesquisa de Diachenko confirmou comprometimentos totais em várias organizações no Japão, Taiwan, Vietnã, Iraque e Turquia, incluindo uma contratada de defesa da OTAN na Turquia, da qual documentos classificados foram exfiltrados.
Empresas de todos os setores estão entre as vítimas
O conjunto de dados comprometidos, que a Hudson Rock descreve como “credenciais de trabalho verificadas”, inclui vítimas como Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture e Oracle, além de milhares de outras, incluindo entidades governamentais e provedores de infraestrutura crítica. O setor de serviços de TI foi o mais afetado (1.975 dispositivos), seguido por materiais de construção (587), telecomunicações (574) e construção e engenharia (528). A Índia lidera o ranking de países afetados (9.629), seguida pelos Estados Unidos (6.352) e Taiwan (3.637).
Segundo Beaumont, o ataque explorou a exposição pública da interface de gerenciamento do FortiGate. Embora a Fortinet tenha endurecido o armazenamento de credenciais de administrador no início de 2025, mudando para PBKDF2, essa proteção só se aplicava se os administradores fizessem login ativamente após aplicar as atualizações de firmware. Muitos dispositivos continuaram armazenando credenciais no formato mais antigo e vulnerável (SHA-256 com Salt), tornando-os suscetíveis à quebra de hashes offline após a extração dos arquivos de configuração.
