ИБ-специалисты сообщают, что в сеть попала одна из крупнейших известных подборок учетных данных для устройств Fortinet. Исследователи пишут о 73 000 скомпрометированных устройств по всему миру, а среди пострадавших организаций фигурируют Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Chevron и другие компании.
Первым о проблеме сообщил известный ИБ-специалист Боб Дьяченко (Bob Diachenko), который обнаружил в сети сервер с базой данных, содержавшей URL-адреса устройств FortiGate и Fortinet VPN, логины, email-адреса и пароли в открытом виде.
«В файлах, подобных этому (см. скриншот ниже), перечислены тысячи устройств ведущих поставщиков. Только этот экземпляр содержит 21 634 доменных имени — от Chevron до самой Fortinet. Для всех указаны потенциально рабочие пароли к устройствам FortiGate, полученные различными способами», — предупреждает эксперт.
Позднее Дьяченко заявил, что за операцией, вероятно, стоит русскоязычная группировка, которая собирала учетные данные для SSL VPN на устройствах FortiGate. По его данным, злоумышленники провели около 1,16 млрд попыток подбора учетных данных против 320 777 систем FortiGate и еще 2,1 млрд попыток против 163 650 серверов Microsoft SQL Server.
Исследователь утверждает, что атакующие перехватывали хеши аутентификации SSL VPN, взламывали их с помощью кластера из 45 GPU под управлением Hashtopolis, а затем использовали полученные доступы для проникновения во внутренние среды Active Directory. По словам Дьяченко, эту информацию удалось получить из различных артефактов, которые сами злоумышленники случайно оставили на открытом сервере: логов, скриптов, истории команд и других служебных данных.
Исследователь предупреждает, что некоторые организации были полностью скомпрометированы. В частности, он пишет, что у неназванного турецкого оборонного подрядчика НАТО похитили секретные документы.
Специалисты компании Hudson Rock, получившие от Дьяченко дамп для анализа, называют эту находку одной из крупнейших известных коллекций учетных данных, связанных с Fortinet. По оценкам исследователей, база содержит сведения о 73 932 уникальных URL-адресах устройств из 194 стран и затрагивает 21 632 домена. Исследователи дали утечке название FortiBleed.
В дампе фигурируют такие организации, как Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, а также многочисленные правительственные учреждения и операторы критической инфраструктуры. При этом наибольшее количество затронутых устройств зафиксировано в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ.
ИБ-специалист Кевин Бомонт (Kevin Beaumont) независимо проверил часть данных и подтвердил их достоверность. Исследователю удалось убедиться, что некоторые логины и пароли действительно работают, а многие устройства используют свежие версии FortiOS. Также Бомонт установил, что IP-адреса из новой утечки не совпадают с данными, опубликованными в 2025 году группировкой Belsen Group, что указывает на другой источник компрометации.
Бомонт отмечает, что особое беспокойство вызывает происхождение этой информации. По его мнению, данные больше похожи на экспортированные конфигурации устройств Fortinet, так как содержат сведения, которые обычно доступны только внутри конфигурационных файлов. При этом пока неясно, каким образом злоумышленники могли получить эти файлы: через старые уязвимости, неизвестный баг или иной вектор атаки.
По данным Бомонта, который ссылается на статистику Shodan, найденный в сети дамп может охватывать примерно половину всех доступных через интернет брандмауэров Fortinet, и большинство этих устройств по-прежнему подключены к сети.
Специалисты рекомендуют администраторам немедленно сменить пароли для VPN-сервисов Fortinet и административных интерфейсов, включить многофакторную аутентификацию, проверить логи на предмет подозрительной активности и убедиться, что учетные данные сотрудников не были скомпрометированы.
