Im Zentrum der Kampagne steht ein von SOCRadar analysiertes Golang-Werkzeug mit dem Namen FortigateSniffer. Laut Whitepaper verwandelt es kompromittierte Firewalls in „passive Sammler für Zugangsdaten über 24 Authentifizierungsprotokolle“. Dafür missbraucht das Tool den in FortiOS eingebauten Diagnosebefehl „-diagnose sniffer packet“, um Authentifizierungsverkehr auf bereits kompromittierten FortiGate-Systemen mitzuschneiden. Nach Darstellung der Forscher überwacht es den Datenverkehr über 24 Protokolle, wertet Authentifizierungsdaten aus und extrahiert Zugangsdaten aus Netzwerkflüssen.
SOCRadar zufolge haben die Angreifer bislang 659 Pipelines zum Abgreifen von Zugangsdaten eingerichtet und bereits mehr als 110 Millionen Zugangsdaten erbeutet, darunter Material zu RADIUS, NTLM und Kerberos. Gene Moody, Field CTO des Patch-Management-Anbieters Action1, bewertet den Umfang als eigenständige aktive Risikolage mit ähnlich großem Schadpotenzial wie der ursprüngliche Angriffsvektor. Solche Datensätze würden häufig gebündelt, neu verpackt und in Untergrundmärkten verkauft, was auch weniger ausgereiften Akteuren neue Kampagnen erleichtere, so Moody.
Nach Einschätzung von SOCRadar zielt die Kampagne vor allem auf kleine und mittlere Unternehmen mit weniger als 200 Beschäftigten, besonders in den USA und Indien. Zugleich sei FortiBleed global angelegt und habe bereits Organisationen in fast 200 Ländern betroffen. Branchenübergreifend sei die Aktivität ebenfalls, wobei die Forscher inzwischen „IT-Dienstleistungen“ als wichtigsten Zielsektor ansehen, wahrscheinlich um nachgelagerten Zugriff zu maximieren.
Die von SOCRadar rekonstruierte Angriffskette umfasst fünf Schritte. Zunächst scannen die Täter das Internet nach exponierten FortiGate-Firewalls und anderen Edge-Diensten, ergänzen die Ergebnisse um Organisations- und Umsatzinformationen und priorisieren Ziele nach vermutetem Wert. Anschließend setzen sie Credential Stuffing und Brute-Force-Angriffe gegen FortiGate-Administrationsoberflächen und SSH-Dienste ein, um gültige Zugangsdaten und einen ersten Zugriff auf internetseitig erreichbare Geräte zu erlangen.
Nach der Kompromittierung wird FortigateSniffer eingesetzt, um legitime Diagnosefunktionen von FortiOS auszunutzen und Authentifizierungsverkehr über Dutzende Protokolle hinweg passiv mitzuschneiden. Das Werkzeug extrahiert dabei laut SOCRadar Zugangsdaten, Hashes, Sitzungs-Cookies und Identitätsdaten, ohne klassische Malware zu installieren. Weitere Teile des Arbeitsablaufs könnten den Forschern zufolge zudem mit CyberStrike unterstützt worden sein, einem quelloffenen autonomen Penetrationstest-Agenten mit KI-Funktionen.
Im nächsten Schritt nutzt der Angreifer nach Angaben von SOCRadar eine verteilte GPU-Infrastruktur, um erfasste Hashes zu knacken. Verifizierte Zugangsdaten kommen dann für Passwort-Spraying, die Aufklärung von Active Directory, den Zugriff über Server Message Block und laterale Bewegungen tiefer in die Netze der Opfer zum Einsatz. Die Angriffskette endet laut Whitepaper im Diebstahl sensibler Dateien aus Netzwerkfreigaben sowie in der Wiederverwendung gestohlener Web-Sitzungs-Cookies, um authentifizierten Zugriff auf interne Anwendungen zu erhalten.
SOCRadar verfolgt die laufende Kampagne weiter und hat in dem Whitepaper eine umfassende Liste mit Kompromittierungsindikatoren sowie einen Verweis auf ein Prüfwerkzeug veröffentlicht, mit dem sich eine mögliche FortiBleed-Kompromittierung testen lässt. Betroffene oder potenziell betroffene Organisationen sollten laut SOCRadar umgehend alle mit Fortinet-VPNs und Administrationsoberflächen verknüpften Zugangsdaten austauschen, Mehrfaktor-Authentifizierung erzwingen, FortiGate-Managementschnittstellen nicht direkt aus dem Internet erreichbar machen und Gateway- sowie Authentifizierungsprotokolle auf verdächtige Aktivitäten prüfen.