In einem neuen Bericht beschreibt SOCRadar „FortiBleed“ als groß angelegte Operation zum Sammeln von Zugangsdaten über mehrere Hersteller hinweg. Mehr als 430.000 FortiGate-Firewalls weltweit liegen demnach im Wirkungsbereich der Kampagne. Von 80.000 identifizierten Zielen würden mehr als 19.000 weiterhin aktiv mit einem eigens entwickelten Sniffer überwacht, einem in Golang geschriebenen Werkzeug mit dem Namen FortigateSniffer.

Die Untersuchung des Unternehmens förderte Hunderte Server und mehr als 650 Pipelines zum Abgriff von Zugangsdaten zutage. Insgesamt schätzt SOCRadar, dass über 110 Millionen Zugangsdaten kompromittiert wurden. Nach Angaben des Unternehmens kompromittieren die Angreifer exponierte Firewalls, erfassen Authentifizierungsverkehr und Zugangsdaten, knacken die erbeuteten Informationen und verkaufen den gewonnenen Zugang weiter.

Für die Identifikation verwundbarer FortiGate-Appliances setzt der Akteur laut SOCRadar Werkzeuge wie Masscan und Shodan ein. Die eigentliche Kompromittierung erfolge dann über SSH-Brute-Force-Angriffe. Anschließend platzieren die Angreifer Netzwerk-Sniffer, um Klartext-Zugangsdaten und Passwort-Hashes mitzuschneiden. Diese werden geknackt, validiert und für laterale Bewegungen gegen Active-Directory-Domänen und andere Dienste genutzt.

SOCRadar zufolge exfiltrieren die Angreifer am Ende sensible Daten aus Netzwerkfreigaben und verwenden gestohlene Sitzungs-Cookies, um einen dauerhaften Zugriff auf kompromittierte Umgebungen aufzubauen. Das wichtigste Werkzeug der Operation, FortigateSniffer, missbraucht dabei den legitimen FortiOS-Diagnosebefehl, um Authentifizierungsverkehr über 24 Protokolle passiv aufzuzeichnen. Laut SOCRadar wurde der Sniffer vermutlich mit Unterstützung des KI-gestützten autonomen Penetrationstest-Agenten CyberStrike entwickelt.

Die frühesten Artefakte der Kampagne stammen laut Bericht aus dem Februar und deuten auf das Scannen von Sophos-SSL-VPN- und RDWeb-Portalen hin. Ebenfalls im Fokus stünden MSSQL-Zugangsdaten, RDPs, Citrix-SSL-VPNs sowie RADIUS-, NTLM- und Kerberos-Daten. SOCRadar identifizierte zudem zwei von den Angreifern gepflegte Quellen für Zugangsdaten: eine, die Daten aus früheren Leaks mit zugekauften Datensätzen kombiniert und mehrere Hersteller adressiert, sowie eine weitere mit 16 speziell kuratierten Wörterbüchern für FortiGate-Administratorkonten.

Einen konkreten Angriffserfolg beschreibt SOCRadar für den 15. Juni: Die großangelegte Datensammlung habe in das erfolgreiche Offline-Knacken von Kerberos-Hashes und in die unmittelbare, gezielte Exfiltration von DFS-Sicherungsdaten bei einem NATO-nahen Rüstungsauftragnehmer gemündet. Aus dieser Kompromittierung leitet SOCRadar ab, dass der hinter „FortiBleed“ stehende Akteur, wahrscheinlich ein russischsprachiger Initial Access Broker, mit russisch staatlich unterstützten Gruppen zusammenarbeiten könnte. Ebenso sei möglich, dass er erbeutete Zugänge an Ransomware-Gruppen verkauft.

Nach Einschätzung von SOCRadar liegt ein deutlicher Schwerpunkt auf kleinen und mittleren Unternehmen mit weniger als 200 Beschäftigten. Der Akteur ziele auf mehrere Sektoren und Regionen, mit besonderem Gewicht auf die USA und Indien.