حملة فورتي بليد تكشف تحول سرقة بيانات دخول FortiGate إلى بوابة مباشرة لهجمات الفدية، بعد ربطها بعمليات إن سي ولينكس.
ما هي حملة فورتي بليد ولماذا تثير القلق؟
تشير المعطيات الجديدة إلى أن فورتي بليد لم تكن مجرد حملة لجمع كلمات المرور، بل جزءا من سلسلة هجوم كاملة تبدأ بالوصول إلى بوابات FortiGate ثم تنتهي بتشفير الأجهزة داخل المؤسسات.
الأخطر هنا أن بيانات الاعتماد المسروقة كانت موثقة وقابلة للاستخدام الفوري، ما يمنح المهاجمين نقطة دخول موثوقة إلى الشبكات الحساسة دون الحاجة إلى استغلالات معقدة في كل مرة.
كيف بدأت العملية؟
اعتمد المهاجمون على مسح واسع للإنترنت بحثا عن أجهزة Fortinet المكشوفة، ثم جرّبوا مجموعات معروفة من بيانات الدخول. وبعد اختراق بعض الأجهزة، جرى تثبيت أدوات تنصت مخصصة لالتقاط بيانات المصادقة من حركة الشبكة.
- استهداف عالمي لأجهزة FortiGate المكشوفة
- محاولات دخول عبر بيانات اعتماد معروفة مسبقا
- زرع أداة sniffing مكتوبة بلغة Golang
- التقاط كلمات مرور وبيانات جلسات المصادقة
كم بلغ حجم اختراق FortiGate في هذه الحملة؟
الأرقام المسجلة تعكس عملية ضخمة للغاية. فقد تم رصد نشاط مسح على نحو 11,250 بوابة FortiGate في أكثر من 150 دولة، مع وصول إداري مؤكد إلى 409 أهداف وإكمال سلسلة الهجوم بالكامل على 354 منها.
كما تشير التقديرات إلى أن الحملة استهدفت نحو 430 ألف جدار ناري من FortiGate حول العالم، مع جمع أكثر من 110 ملايين بيان اعتماد. وفي متابعة تيكبامين، تكشف هذه الأرقام أن المسألة تتجاوز حادثا محدودا إلى بنية هجوم منسقة وعالية الكفاءة.
- 11,250 بوابة خضعت للمسح
- 409 أهداف تم الوصول إليها بصلاحيات إدارية
- 354 هدفا اكتملت ضدها سلسلة الهجوم
- 12 عملية فدية مؤكدة على الأقل
- مئات الأجهزة الطرفية تعرضت للتشفير
كيف ارتبطت فورتي بليد بعصابات الفدية؟
الربط الأبرز جاء بعد اكتشاف أن مشغلا مرتبطا بالبنية التحتية للحملة كان يسجل دخوله إلى لوحات التفاوض الخاصة بمجموعتي إن سي ولينكس. هذا التفصيل يربط لأول مرة بين سرقة بيانات FortiGate على نطاق واسع وبين نشر برمجيات الفدية لاحقا.
كما ساعد العثور على خوادم إضافية مرتبطة بالعملية في كشف ملفات داخلية وسجلات تشغيل ووثائق عمل، وهو ما منح صورة أوضح عن كيفية انتقال البيانات المسروقة من مرحلة الجمع إلى مرحلة الابتزاز والتشفير.
ما الذي نعرفه عن المهاجمين؟
تشير الأدوات المستخدمة وساعات العمل والآثار التشغيلية إلى جهة ناطقة بالروسية على الأرجح، تعمل كوسيط وصول أولي يبيع أو يشارك الوصول مع مجموعات الفدية.
- فريق منظم يضم نحو 20 شخصا
- تقسيم واضح للأدوار بين التشغيل والدعم
- تركيز ملحوظ على التصنيع والتقنية والخدمات اللوجستية
- استهداف أكبر في أمريكا اللاتينية وآسيا والمحيط الهادئ
كيف تحمي المؤسسات نفسها من هجمات فورتي بليد؟
الخطوة الأولى هي مراجعة جميع بوابات FortiGate المكشوفة، وتغيير كلمات المرور الإدارية فورا، وتعطيل أي حسابات غير ضرورية. كذلك يجب فحص الأجهزة بحثا عن أدوات تنصت غير مألوفة ومراجعة السجلات لاكتشاف أي وصول مشبوه.
وتوصي تيكبامين بأن تتعامل الشركات مع فورتي بليد كتهديد مستمر لا كحادث منتهي، لأن بيانات الاعتماد المسروقة قد تظل فعالة وتُستخدم في هجمات فدية لاحقة حتى بعد مرور وقت على الاختراق الأولي.