A campanha FortiBleed, que expôs credenciais de 73.932 firewalls Fortinet globalmente, contou com um recurso inusitado e assustadoramente acessível segundo análise publicada pela consultoria Hudson Rock: ela utilizou um cluster de 36 GPUs de nível empresarial alugado por hora na plataforma Vast.ai. Esse poder computacional, antes restrito a agências de inteligência estatais, foi obtido pelos atacantes por aproximadamente US$ 14,40 por hora ou menos de US$ 350 por um dia inteiro de operação.
A plataforma Vast.ai, que se apresenta como a “camada de infraestrutura onde agentes de IA projetam, adquirem e otimizam seu próprio computador”, permite alugar GPUs sob demanda com pagamento por segundo, sem contratos ou burocracia. Foi exatamente esse serviço que os operadores da campanha, um grupo de língua russa com múltiplos operadores, utilizaram para processar uma quantidade massiva de hashes.
Ameaça assimétrica e cadeia de suprimentos no Brasil
O cluster de 36 GPUs, composto por instâncias com 4 e 8 GPUs cada, foi gerenciado inteiramente via um bot do Telegram e executou jobs paralelos através do framework Hashtopolis. Com essa infraestrutura, os atacantes alcançaram uma capacidade de quebra de hashes de até 720 bilhões por segundo para hashes SHA-256 com Salt, e de 180 a 360 milhões por segundo mesmo contra o algoritmo PBKDF2, projetado para ser mais resistente. Essa velocidade permitiu que senhas complexas fossem matematicamente exauridas em minutos.
A utilização da plataforma Vast.ai pelos atacantes, viabilizada pelo “boom da IA generativa”, criou uma assimetria que afeta diretamente organizações brasileiras. Com credenciais em texto plano obtidas, os invasores instalaram sniffers de rede para capturar e quebrar aproximadamente 143.000 hashes Kerberos e 33.000 hashes NetNTLM, visando controladores de domínio internos e permitindo movimento lateral para cadeias de suprimentos e fornecedores terceiros, conforme alertou o pesquisador Kevin Beaumont.
Contexto técnico e recomendações
O ataque explorou a exposição pública da interface de gerenciamento do FortiGate e hashes SHA-256 com Salt, mais vulneráveis que o PBKDF2 adotado pela Fortinet em 2025, mas que só protege contas com login ativo após atualização . A InfoStealers recomenda que organizações auditem logs em busca de exportações anômalas de configuração e verifiquem contas administrativas contra vazamentos conhecidos de infostealers. A Hudson Rock disponibilizou um portal gratuito para que empresas verifiquem se seus domínios estão no conjunto de dados comprometidos.
No Brasil, a campanha atingiu pelo menos 50 domínios de grandes empresas , e a recomendação para organizações com firewalls Fortinet listados é forçar a rotação imediata de todas as credenciais de administrador, auditar a criação de contas backdoor, revisar regras de firewall e aplicar as atualizações de firmware mais recentes.
