هجوم FortiBleed استهدف أجهزة فورتي جيت حول العالم، مع جمع أكثر من 110 ملايين بيانات اعتماد بعد اختراق مئات الآلاف من الجدران النارية.
ما هو هجوم FortiBleed ولماذا يثير القلق؟
بحسب المعطيات المتاحة، تقف وراء العملية جهة تعمل كوسيط وصول أولي وتركز على الربح المالي، وقد وجّهت نشاطها إلى أكثر من 430 ألف جهاز فورتي جيت على مستوى العالم منذ فبراير 2026.
الخطورة هنا أن الحملة لا تكتفي بسرقة كلمات المرور، بل تبني مساراً كاملاً للوصول إلى الشبكات الداخلية، ثم إعادة استخدام بيانات الدخول ضد خدمات مكشوفة وأنظمة مثل Active Directory.
كيف تبدأ سلسلة الهجوم؟
- جمع قوائم بيانات اعتماد من مصادر متعددة
- البحث عن خدمات مكشوفة على الإنترنت
- تنفيذ هجمات brute force على الأنظمة المتاحة
- زرع أدوات التقاط مخصصة داخل الأجهزة المخترقة
كيف استغل المهاجمون أجهزة فورتي جيت؟
تعتمد العملية على أداة مكتوبة بلغة Go تُعرف باسم FortigateSniffer، وتستفيد من أمر تشخيص مدمج داخل FortiOS لالتقاط حركة المرور بشكل سلبي دون إثارة انتباه مباشر.
بعد ذلك، تراقب الأداة بيانات المصادقة عبر 24 بروتوكولاً، ثم تستخرج كلمات المرور والنُسخ المشفرة منها، ما يمنح المهاجمين فرصة لكسرها لاحقاً والتحقق من صلاحيتها.
- التقاط بيانات اعتماد واضحة ومشفرة
- تحليل جلسات المصادقة المارة عبر الجهاز
- إعادة استخدام الحسابات على خدمات أخرى
- توسيع الاختراق إلى بيئات الشركات
من هي الجهات الأكثر استهدافاً في هجوم FortiBleed؟
تشير المؤشرات إلى أن هجوم FortiBleed ركز بشكل كبير على الشركات الصغيرة والمتوسطة، خصوصاً المؤسسات التي يقل عدد موظفيها عن 200 موظف.
كما ظهر اهتمام واضح بقطاعات خدمات تقنية المعلومات، لأن اختراق مزود خدمة واحد قد يفتح الطريق إلى شبكات عملائه. ووفقاً لرصد تيكبامين، كان التركيز ملحوظاً أيضاً على الولايات المتحدة والهند.
أبرز القطاعات والأهداف
- شركات خدمات تقنية المعلومات
- الشركات الصغيرة والمتوسطة
- الخدمات المعرضة مباشرة للإنترنت
- البيئات التي تعتمد على إدارة مركزية للحسابات
ما حجم العملية وما الأنظمة الأخرى التي طالتها؟
العملية لم تكن محصورة في فورتي جيت فقط، بل بدت جزءاً من حملة أوسع متعددة الموردين استهدفت أيضاً أجهزة Synology NAS وجدران Sophos وبوابات RDWeb وCitrix SSL-VPN وخوادم MS-SQL عبر أتمتة واسعة لهجمات التخمين.
وتشير الأرقام إلى تشغيل ما لا يقل عن 659 مساراً لجمع بيانات الاعتماد في 31 مايو و15 يونيو 2026، ما ساعد على التعرف إلى أكثر من 110 ملايين بيانات اعتماد. لهذا السبب، يصبح تحديث أجهزة فورتي جيت، تقوية كلمات المرور، وتفعيل المصادقة متعددة العوامل خطوات عاجلة لا تحتمل التأجيل، كما يؤكد تيكبامين عند متابعة هذا النوع من الهجمات.