Nástroj FortigateSniffer kompromitoval 430 000 FortiGate firewallov a zozbiera 110 miliónov prihlasovacích údajov. Zistite, či je vaša organizácia ohrozená a čo urobiť.
Výskumníci z SOCRadar Threat Research Unit (STRU) zdokumentovali kampaň nazvanú FortiBleed — systematickú operáciu finančne motivovaného útočníka, ktorý od februára do polovice júna 2026 nepretržite zberal prihlasovacie údaje z kompromitovaných FortiGate zariadení po celom svete.
Útočník je hodnotený ako Initial Access Broker (IAB) — subjekt, ktorý získaný prístup ďalej predáva iným skupinám, vrátane ransomvérových operátorov. Kyrilické komentáre v kóde nástroja naznačujú možný ruský pôvod, s potenciálnymi väzbami na štátom sponzorované skupiny.
CISA vydala k tejto hrozbe urgentnú výstrahu a vyzýva organizácie na okamžité zabezpečenie Fortinet zariadení.
Ako útok fungoval
Útočník vyvinul vlastný nástroj FortigateSniffer (tiež sledovaný ako fg_sniffer) — program napísaný v jazyku Golang, dostupný pre Linux aj Windows, s celým rozhraním v ruštine. Namiesto nasadenia tradičného malvéru nástroj zneužíval vlastnú diagnostickú funkciu FortiOS na pasívne zachytávanie všetkej autentifikačnej komunikácie prechádzajúcej cez kompromitovaný firewall.
Operácia prebiehala v piatich fázach:
- Fáza 1 — Prieskum: Útočníci pomocou nástrojov Masscan a Shodan identifikovali FortiGate zariadenia a zoradili ich podľa príjmov cieľovej organizácie — útok bol od začiatku ekonomicky kalkulovaný, nie náhodný
- Fáza 2 — Získanie prístupu: Brute-force útoky na SSH a credential stuffing na SSLVPN portály s využitím 16 špecializovaných slovníkov
- Fáza 3 — Nasadenie snifferu: Na každom kompromitovanom zariadení bol nainštalovaný FortigateSniffer, ktorý pasívne zachytával komunikáciu cez 24 protokolov vrátane RADIUS, NTLM, Kerberos, LDAP, RDP a SMB
- Fáza 4 — Cracking a laterálny pohyb: Zachytené hashe boli lámané pomocou GPU clustera (Hashcat + Hashtopolis), výsledky doručované cez Telegram bot. Následne útočníci postupovali laterálne cez Active Directory prostredie
- Fáza 5 — Exfiltrácia: Kompletné DFS zdieľané úložiská boli streamované priamo na útočníkove servery. 15. júna 2026 bola vykonaná cielená exfiltrácia z NATO-pridruženého obranného dodávateľa
Koho sa to týka
Rozsah kampane je mimoriadny — 23 406 unikátnych domén naprieč 80 553 FortiGate zariadeniami. Geograficky dominuje India (11,4 %) a USA (10,1 %), no zasiahnuté sú organizácie po celom svete vrátane Európy.
Kľúčový poznatok: 66 % obetí má menej ako 200 zamestnancov. Útočníci cielene vyberali organizácie dostatočne veľké na prevádzku FortiGate, no typicky bez dedikovaného bezpečnostného tímu. IT služby tvoria 8,4 % obetí — čo útočníkom otvára prístup do prostredí ich zákazníkov.
Kampaň bola k polovici júna 2026 stále čiastočne aktívna.
Čo robiť
Ak vaša organizácia prevádzkuje FortiGate zariadenia, odporúčame bezodkladne:
- Zmeniť všetky prihlasovacie údaje k FortiGate zariadeniam — SSH aj SSLVPN
- Aktualizovať FortiOS na najnovšiu dostupnú verziu a nasadiť všetky bezpečnostné záplaty
- Skontrolovať logy na prítomnosť neobvyklej diagnostickej aktivity alebo neznámych procesov
- Obmedziť SSH prístup k správcovskému rozhraniu len na dôveryhodné IP adresy
- Auditovať Active Directory — skontrolovať nové účty, zmeny oprávnení a neobvyklé prihlásenia
- Kontaktovať bezpečnostného partnera ak máte podozrenie na kompromitáciu — čas hrá kľúčovú úlohu
