Campanha FortiBleed usou sniffers em firewalls Fortinet para roubar credenciais de 24 protocolos
A operação de ciberespionagem batizada de FortiBleed, que atingiu dezenas de milhares de firewalls Fortinet em todo o mundo, revelou um nível de sofisticação raro em ataques voltados a infraestrutura de rede. Os agentes por trás da campanha instalaram, nos equipamentos comprometidos, um sniffer customizado capaz de interceptar tráfego de autenticação de 24 tipos diferentes de protocolos, obtendo tanto hashes quanto senhas em texto claro.
De acordo com análise da empresa de segurança SOCRadar, a ofensiva teve como alvo mais de 430 mil firewalls FortiGate globalmente e permanece ativa pelo menos desde fevereiro de 2026. O foco foram organizações com forte dependência de serviços internos autenticados, como ambientes corporativos complexos, redes de data centers e infraestruturas críticas.
O vetor inicial de intrusão foi relativamente “clássico”: ataques de força bruta via SSH. Os criminosos usaram uma lista própria de credenciais, construída a partir de grandes vazamentos anteriores combinados com bancos de dados de senhas adquiridas no submundo digital. Dessa forma, aumentaram significativamente a taxa de sucesso na descoberta de logins válidos para acesso administrativo aos firewalls.
Uma vez que obtinham credenciais com privilégios elevados via SSH, os invasores implantavam um utilitário denominado FortigateSniffer, desenvolvido em Golang. A ferramenta não explora diretamente uma vulnerabilidade do FortiOS, mas abusa de um comando legítimo de diagnóstico – o “diagnose sniffer packet” – para ativar uma captura passiva de pacotes. Na prática, o que deveria ser usado para solução de problemas de rede passa a funcionar como um grampo digital dentro do firewall.
Esse sniffer foi configurado para monitorar tráfego de autenticação que atravessava o equipamento, incluindo protocolos amplamente usados em redes corporativas: NetBIOS, SMB, LDAP, SMTP, POP3, IMAP, FTP, Telnet, RDP, Radius e o próprio FortiClient, entre outros. A abrangência dos protocolos permite que os atacantes coletem credenciais de usuários de e-mail, serviços de arquivos, aplicações corporativas, serviços de diretório e até de acesso remoto.
Os dados capturados eram salvos no formato de arquivo de captura de pacotes (.pcapng). Em seguida, um conjunto de ferramentas em Python processava esses arquivos e extraía as informações sensíveis: credenciais em texto claro, hashes NTLM e Kerberos, tickets de autenticação e outros artefatos que pudessem ser reutilizados em ataques subsequentes. Em muitos casos, senhas trafegavam sem criptografia ou de forma passível de quebra, facilitando enormemente o trabalho dos invasores.
As senhas que se encontravam apenas em formato de hash eram submetidas a um processo sistemático de quebra utilizando um cluster distribuído de GPUs. Esse cluster era gerenciado pela plataforma Hashtopolis e utilizava capacidade computacional alugada de forma dinâmica, por meio de uma infraestrutura de nuvem voltada a cargas de trabalho com uso intensivo de GPU. A orquestração da operação, segundo a análise, era feita inclusive via um bot em aplicativo de mensagens, permitindo o controle remoto da distribuição das tarefas de cracking.
Depois de decifrar uma quantidade significativa de credenciais, os operadores da campanha FortiBleed partiam para o movimento lateral dentro das redes comprometidas. O alvo prioritário eram ambientes de Active Directory, que concentram autenticação e autorização de usuários, computadores e serviços em redes baseadas em Windows. Com contas privilegiadas, tornava-se possível comprometer controladores de domínio, alterar políticas, criar novas contas e escalar privilégios.
Além do Active Directory, os criminosos buscavam acesso a bancos de dados MSSQL e a servidores de arquivos contendo dados estratégicos. O objetivo principal era o roubo de informações sensíveis: documentos corporativos, bases de clientes, informações financeiras e propriedade intelectual. Outro ponto de interesse era a coleta de cookies de sessão válidos, que permitiam manter acesso persistente a aplicações web internas, mesmo que as senhas viessem a ser trocadas posteriormente.
Para reduzir a chance de detecção, os operadores da FortiBleed incorporaram ao sniffer uma série de técnicas de evasão. Entre elas, a filtragem GeoIP: o tráfego de comando e controle e a própria coleta de dados eram ajustados de acordo com a localização geográfica dos alvos, evitando comportamentos que pudessem chamar atenção de sistemas de monitoramento. Outro artifício foi o agendamento da captura de pacotes para ocorrer somente em horário comercial – tipicamente entre 7h e 18h no fuso horário de Moscou. Dessa forma, anomalias de tráfego se confundiam com o fluxo intenso normal do expediente, reduzindo alarmes.
Os números estimados dão dimensão do impacto: a campanha, ainda em atividade, já teria exposto mais de 110 milhões de credenciais, com vítimas distribuídas por quase 200 países. Isso inclui tanto grandes corporações quanto organizações de médio porte, em setores diversos como indústria, serviços financeiros, saúde, educação e governo. Como o firewall é um ponto central da arquitetura de rede, sua violação oferece uma visão privilegiada e abrangente dos sistemas internos.
Do ponto de vista de segurança corporativa, o caso FortiBleed escancara o risco de confiar exclusivamente na robustez de dispositivos perimetrais. Mesmo quando não há exploração de uma falha zero-day, o abuso de recursos legítimos – como comandos de diagnóstico – pode transformar equipamentos de proteção em plataformas de espionagem. Isso reforça a necessidade de aplicar o princípio de “confiança zero” também para componentes considerados críticos e, em tese, confiáveis.
Outro aspecto relevante é a dependência de senhas como principal fator de autenticação. A facilidade com que hashes foram capturados e posteriormente quebrados mostra que mesmo combinações complexas podem ser insuficientes frente a clusters massivos de GPU. A adoção de autenticação multifator, chaves físicas, certificados e modelos de autenticação baseados em identidade e contexto passa a ser um requisito mínimo em ambientes de maior risco.
A campanha também evidencia a importância de monitorar o uso de comandos administrativos em dispositivos de rede. Ferramentas de detecção e resposta (NDR, XDR) podem ser configuradas para gerar alertas sempre que comandos de captura de pacotes ou diagnósticos avançados forem acionados fora de janelas de manutenção planejadas. Em ambientes maduros, esses comandos podem inclusive ser restritos ou sujeitos a aprovação prévia, reduzindo a superfície de abuso.
Para organizações que utilizam firewalls Fortinet, algumas medidas imediatas são recomendadas:
– revisar e endurecer as políticas de acesso via SSH, preferindo autenticação por chave em vez de senha e restringindo o acesso a IPs específicos;
– garantir que todos os dispositivos estejam atualizados com as últimas versões de firmware;
– auditar contas administrativas, revogando acessos desnecessários e implementando rotação obrigatória de senhas;
– ativar logs detalhados de autenticação e comandos e integrá-los a um SOC para análise contínua.
Também é essencial segmentar a rede de modo que, mesmo em caso de comprometimento de um firewall, o atacante não tenha um “corredor livre” para alcançar todo o ambiente. A microsegmentação, combinada com políticas de acesso baseadas em identidade e função, dificulta o movimento lateral e limita os danos. Em paralelo, o uso de criptografia forte para todos os protocolos de autenticação – incluindo e-mail, banco de dados e serviços legados – reduz o valor das capturas feitas por sniffers.
Por fim, o episódio FortiBleed ilustra como campanhas de longo prazo, com planejamento e recursos, tendem a explorar não apenas vulnerabilidades técnicas, mas também brechas operacionais e de governança. A consolidação de um programa de segurança que envolva tecnologia, processos e pessoas, com testes recorrentes de intrusão, simulações de incidentes e capacitação contínua de equipes, passa a ser o caminho mais eficaz para enfrentar ameaças que se valem do próprio coração da infraestrutura de rede para operar.