Zffoto - stock.adobe.com
FortiBleed : L'architecture d'une campagne massive de récolte d'identifiants
La vaste campagne dite FortiBleed visant les appliances Fortinet et Sophos, ainsi que les instances MSSQL aurait démarré en février et serait l'oeuvre d'un courtier en accès initial aux poches profondes.
La campagne FortiBleed est une opération de récolte d'identifiants à grande échelle, ayant ciblé plus de 430 000 pare-feux FortiGate mondialement, selon la division de recherche sur les menaces de SOCRadar. L'acteur est évalué comme un courtier en accès initial (IAB, ou Initial Access Broker) motivé par le gain financier.
Bien que le profil des victimes soit majoritairement constitué de PME (moins de 200 employés), l'opération a également touché des entités de haute valeur, dont un sous-traitant de défense aligné sur l'OTAN.
L'acteur semble prioriser ses cibles en fonction de leur valeur économique. Les données indiquent que près de 89,5 % des organisations affectées ont un chiffre d'affaires inférieur à 100 millions de dollars, mais une minorité significative de grandes entreprises fait partie du champ d'action. Le secteur des services informatiques ressort comme une cible clé, facilitant l'accès aux environnements des clients en aval.
La phase de reconnaissance et d'accès initial
L'opération débute par une reconnaissance étendue, combinant balayage actif et passif. L'acteur utilise Masscan pour un balayage initial des ports, complété par Shodan_Recon pour interroger les bases de données techniques ouvertes, permettant d'extraire des métadonnées telles que les noms d'organisation des certificats SSL.
Pour affiner le ciblage, l'acteur déploie FortiProbe-fast, un outil qui classe les systèmes en trois catégories : systèmes FortiGate confirmés, systèmes non-FortiGate et hôtes inactifs. Cette étape réduit significativement l'univers de cibles avant le test de force brute. Des outils comme RDNS-Scan effectuent une résolution PTR massive pour filtrer les hôtes correspondant à des conventions de nommage d'entreprise, permettant un triage des victimes.
L'accès initial est obtenu par plusieurs voies. D'une part, des attaques par force brute SSH sont menées en utilisant des listes de mots de passe spécifiques à FortiGate. D'autre part, le credential stuffing est appliqué sur les portails SSLVPN et les interfaces web, en utilisant des listes d'identifiants génériques et achetés.
FortigateSniffer : le mécanisme central de la récolte
Une fois l'accès SSH établi, l'acteur déploie FortigateSniffer, l'outil central de la campagne. Cet outil, développé en Golang, exploite la commande diagnostique intégrée de FortiOS, pour capturer passivement le trafic d'authentification.
Les équipes de SOCRadar expliquent que FortigateSniffer est conçu pour surveiller le trafic sur 24 protocoles différents. Il utilise une fonctionnalité native du pare-feu compromis pour intercepter les identifiants en clair et les hachages, sans nécessiter de déploiement de logiciel malveillant. Les protocoles surveillés incluent RADIUS, NTLM, Kerberos, LDAP, ainsi que des services tels que SMTP, IMAP et MSSQL.
L'outil intègre également des mécanismes d'évasion, notamment un filtre GeoIP et une planification basée sur les heures de bureau de Moscou, maximisant ainsi la capture des connexions utilisateur pendant les heures d'activité typiques.
L'expansion post-exploitation
Les données récoltées par FortigateSniffer sont traitées pour devenir des renseignements exploitables. Le processus commence par le cassage distribué des hachages (NTLM, Kerberos) sur un cluster GPU, géré via Hashtopolis et Hashcat. L'orchestration de ce travail est assurée par un bot Telegram, permettant une gestion dynamique des tâches.
Une fois les identifiants convertis en clair, l'acteur passe au déplacement latéral. Des scripts Python sont utilisés pour l'énumération approfondie d'Active Directory. Ces outils effectuent des requêtes LDAP pour identifier les membres du groupe Domain Admins, les comptes Kerberoastable (avec SPNs enregistrés), et évaluent les vecteurs d'escalade de privilèges, simulant une évaluation BloodHound.
L'expansion interne est complétée par des outils de validation SMB et d'énumération de partage, qui recherchent activement des secrets codés en dur dans les fichiers accessibles.
L'infrastructure opérationnelle : segmentation et puissance de calcul
L'acteur malveillant apparaît avoir mis en place une infrastructure opérationnelle sophistiquée et segmentée. Le cœur de l'opération repose sur un laboratoire offensif isolé, hébergé sur un serveur hôte utilisant QEMU/KVM pour gérer un cluster de machines virtuelles Kali Linux. Ce laboratoire est configuré avec des règles IPTables strictes pour protéger sa localisation réelle.
La puissance de calcul nécessaire au cassage est externalisée via des plateformes de location de GPU à faible coût, comme Vast.ai. L'architecture de C2 est distribuée sur plusieurs blocs de sous-réseaux, incluant des nœuds d'agrégation et des proxys de rotation, conférant à l'opération une résilience et une capacité d'échelle importantes. L'utilisation de sessions tmux partagées permet également une collaboration en temps réel avec des opérateurs secondaires.
Les chercheurs de SOCRadar s'interrogent la possibilité d'une collaboration de l'acteur malveillant avec d'autres, soutenus par la Russie.
Pour approfondir sur Menaces, Ransomwares, DDoS
-
![]()
FortiBleed : la campagne s'étend bien au-delà des appliances Fortinet
Par: Valéry Rieß-Marchive
-
![]()
Campagne massive contre les appliances Fortinet
Par: Valéry Rieß-Marchive
-
![]()
APT28 : l'exploitation des routeurs SOHO comme levier d'espionnage
Par: Valéry Rieß-Marchive
-
![]()
Storm-1175 : un spécialiste de l'exploitation de vulnérabilités au service de Medusa
Par: Valéry Rieß-Marchive
