Campanha FortiBleed: ataque em larga escala usa sniffers em firewalls Fortinet para roubo massivo de credenciais
A campanha FortiBleed, responsável por comprometer dezenas de milhares de firewalls Fortinet ao redor do mundo, mostrou um novo patamar de sofisticação em ataques a infraestruturas críticas de rede. Os operadores da campanha instalaram nos equipamentos comprometidos um sniffer personalizado, capaz de interceptar tráfego de autenticação de 24 protocolos distintos. Com isso, conseguiram capturar tanto hashes quanto senhas em texto claro, abrindo caminho para movimentos laterais profundos dentro das redes das vítimas.
De acordo com análise técnica divulgada por uma empresa de segurança, a operação mirou mais de 430 mil firewalls FortiGate globalmente e vem sendo executada, pelo menos, desde fevereiro de 2026. Trata-se de uma campanha silenciosa, persistente e altamente automatizada, com forte foco em coleta de credenciais para posterior exploração.
O vetor inicial de invasão foi o bom e velho ataque de força bruta via SSH. Os criminosos utilizaram uma lista própria de credenciais, resultante da combinação de dados vazados em incidentes anteriores com conjuntos adicionais de usuários e senhas adquiridos em mercados clandestinos. Ao obter acesso administrativo ao firewall por SSH, eles passavam à segunda fase do ataque: a implantação da ferramenta FortigateSniffer.
O FortigateSniffer, desenvolvido em Golang, não é um malware tradicional que injeta código malicioso no sistema. Em vez disso, explora um recurso legítimo do FortiOS: o comando de diagnóstico “diagnose sniffer packet”. Esse comando, normalmente usado por administradores para depuração e análise de rede, foi transformado em uma ferramenta de espionagem silenciosa, permitindo monitorar passivamente o tráfego de autenticação que atravessava o dispositivo.
O sniffer foi configurado para capturar dados de login em uma ampla gama de protocolos usados no dia a dia corporativo, incluindo NetBIOS, SMB, LDAP, SMTP, POP3, IMAP, FTP, Telnet, RDP, Radius e FortiClient, entre outros. Tudo o que trafegava em claro ou carregava informações de autenticação aproveitáveis era interceptado. As informações coletadas eram salvas no formato .pcapng, padrão em captura de pacotes, para posterior processamento em lote.
Em seguida, entrava em ação um toolkit desenvolvido em Python. Esse conjunto de scripts lia os arquivos .pcapng gerados pelo sniffer, extraindo credenciais em texto claro, hashes NTLM e Kerberos, tickets de autenticação e diversos outros artefatos sensíveis. Em termos práticos, cada firewall comprometido funcionava como um ponto centralizado de espionagem de credenciais de toda a rede protegida por ele.
As senhas armazenadas em forma de hash não eram um obstáculo duradouro. Os operadores da campanha mantinham um cluster distribuído de GPUs, gerenciado pela plataforma Hashtopolis, para quebrar esses hashes em larga escala. A capacidade computacional era escalada sob demanda por meio de infraestrutura alugada dinamicamente, orquestrada por integrações automatizadas e monitorada de forma remota. Esse modelo permitia otimizar custos ao mesmo tempo em que se mantinha uma taxa alta de quebra de senhas.
Com as credenciais recuperadas em mãos, os atacantes passavam à fase de movimento lateral. O foco principal eram ambientes de Active Directory, considerados o “coração” da infraestrutura de identidade da maioria das organizações, e bancos de dados MSSQL, que frequentemente armazenam informações altamente sensíveis. A partir daí, o objetivo se tornava o acesso a servidores de arquivos, repositórios estratégicos e sistemas internos, com vistas ao roubo de dados confidenciais em grande volume.
Além do roubo direto de informações, os criminosos também exploravam cookies de sessão capturados no tráfego, o que lhes permitia manter acesso persistente a sistemas web sem a necessidade de repetir o processo de autenticação. Isso reduz a chance de detecção, pois muitos sistemas tratam sessões válidas como tráfego legítimo, mesmo que tenham sido sequestradas.
Para reduzir ainda mais a probabilidade de serem descobertos, os operadores da FortiBleed incorporaram técnicas de evasão à sua ferramenta. Uma delas foi a filtragem GeoIP, que limitava a atividade de certos componentes a regiões específicas, dificultando a correlação global dos eventos. Outra tática foi o agendamento do funcionamento dos sniffers para o horário comercial, entre 7h e 18h no fuso de Moscou. Dessa forma, o volume de tráfego adicional gerado pelo monitoramento se confundia com o uso normal da rede, minimizando disparo de alertas baseados em anomalias.
Os números associados à campanha são alarmantes. Estima-se que mais de 110 milhões de credenciais tenham sido expostas até o momento, afetando organizações em quase 200 países. Considerando que muitas credenciais são reutilizadas em múltiplos sistemas, o impacto real pode ser significativamente maior, abrindo portas para ataques secundários, fraudes financeiras, espionagem corporativa e comprometimento de outros ambientes fora da rede original.
Esse tipo de operação ilustra uma mudança importante na estratégia de grupos criminosos: em vez de focar apenas em exploração de vulnerabilidades pontuais, eles passaram a mirar nos próprios dispositivos de segurança da rede, como firewalls. Ao transformar o firewall em um ponto de coleta de credenciais, o atacante ganha uma visão privilegiada de todo o tráfego crítico, invertendo a lógica de proteção e convertendo um elemento de defesa em uma ferramenta de ataque.
Para as empresas, o caso FortiBleed reforça a necessidade de tratar a superfície de ataque de forma mais ampla. Não basta atualizar sistemas operacionais de servidores e estações de trabalho se dispositivos de borda, como firewalls, VPNs e appliances de segurança, continuam com senhas fracas, configurações padrão ou serviços de administração expostos à internet. Em muitos incidentes, o elo fraco é justamente o equipamento que deveria atuar como barreira protetora.
Uma lição central dessa campanha é a importância de abandonar, de forma definitiva, o uso de credenciais fracas ou reutilizadas em acessos administrativos. Ataques de força bruta continuam extremamente eficazes quando encontram combinações previsíveis de usuário e senha, especialmente em equipamentos de rede cujos acessos são, muitas vezes, pouco auditados. O uso de autenticação multifator em interfaces administrativas expostas à internet deve ser tratado como requisito mínimo, não como opção.
Outro ponto crítico é a monitorização de comandos de diagnóstico e ferramentas legítimas dentro de appliances de segurança. O FortigateSniffer se apoia em um comando legítimo do FortiOS, o que dificulta a detecção baseada apenas em assinaturas tradicionais de malware. Por isso, torna-se fundamental implementar monitoramento comportamental, com alertas para o uso incomum ou prolongado de comandos de debug, sniffers e ferramentas avançadas de administração.
A gestão de logs também é peça-chave. Enviar registros de firewall, autenticação SSH e comandos executados para um sistema centralizado de análise ajuda a identificar padrões suspeitos, como tentativas sistemáticas de login com múltiplas credenciais, acessos administrativos fora de horário padrão ou a ativação recorrente de funcionalidades de captura de pacotes. Sem visibilidade, campanhas silenciosas como a FortiBleed podem permanecer ativas por meses ou anos.
Organizações que utilizam firewalls Fortinet ou outros appliances de grande porte devem adotar uma rotina regular de auditoria de configurações. Isso inclui revisar usuários locais, chaves SSH autorizadas, regras de acesso remoto, políticas de senha e logs de comando. Sempre que possível, o gerenciamento remoto deve ser restrito a redes internas ou túneis VPN específicos, nunca exposto diretamente à internet.
Vale destacar ainda a importância de um modelo de segurança em camadas. Mesmo quando o firewall é comprometido, controles adicionais – como segmentação de rede, privilégios mínimos em contas de serviço, autenticação forte em sistemas críticos e monitoramento de comportamento de usuário – podem limitar o alcance do invasor e impedir que o ataque se transforme em um incidente catastrófico.
Por fim, o caso FortiBleed reforça a urgência de se investir em resposta a incidentes e planos de contingência. Em um cenário em que campanhas sistêmicas miram infraestruturas globais, a pergunta não é mais se uma organização será alvo, mas quando e com qual intensidade. Ter processos prontos para isolar dispositivos comprometidos, rotacionar credenciais em massa, revisar sessões ativas e reconfigurar rapidamente equipamentos de borda pode ser o fator que separa um incidente controlado de uma crise de grandes proporções.
A campanha continua ativa, o que significa que muitas organizações ainda podem estar expostas sem saber. Revisar imediatamente a postura de segurança em torno de firewalls e dispositivos de rede, reforçar práticas de autenticação e intensificar a observabilidade da infraestrutura não é apenas uma recomendação técnica: tornou-se uma medida de sobrevivência no atual cenário de ciberameaças.