La campagne de piratage massive surnommée FortiBleed a mis en oeuvre des outils spécifiques pour subtiliser des secrets d’authentification à partir de pare-feu compromis. Ces informations proviennent de la firme de sécurité SOCRadar, qui précise que les assaillants ont également dérobé des identifiants.
Ce nouveau rapport complète une étude précédente de la société. Celle-ci avait déjà exposé une vaste collection d’identifiants VPN Fortinet, liés à plus de 80 000 adresses URL de pare-feu dans le monde.
L’opération a visé plus de 430 000 pare-feu FortiGate à l’échelle mondiale. Elle est active depuis au moins février 2026 selon SOCRadar.
Les chercheurs décrivent les pirates comme des courtiers en accès initial. Ils emploient plusieurs méthodes pour pénétrer les réseaux d’entreprise : le bourrage d’identifiants, les attaques par force brute, la récolte de mots de passe et le cassage de mots de passe hors ligne.
Une découverte clé concerne l’utilisation présumée d’un outil nommé FortigateSniffer, écrit en langage Go. Celui-ci détourne la fonctionnalité légitime diagnose sniffer packet du système FortiOS pour capturer le trafic d’authentification qui transite par les appareils FortiGate compromis.
Les attaquants ont ainsi exploité cette fonction intégrée sur les appareils qu’ils contrôlaient afin de voler les identifiants circulant sur le réseau.
L’outil était configuré pour surveiller le trafic et repérer les identifiants, les hachages de mots de passe et autres secrets d’authentification provenant de nombreux protocoles, dont RADIUS, NTLM, Kerberos et LDAP.
« L’outil est conçu pour surveiller le trafic sur 24 protocoles, analyser les données d’authentification et extraire les identifiants des flux réseau », a déclaré SOCRadar.
Fortinet avait indiqué la semaine dernière à BleepingComputer qu’il s’agissait d’une compilation d’identifiants déjà compromis par le passé, et non d’une nouvelle vulnérabilité. Le rapport de SOCRadar montre toutefois qu’une campagne active continue de compromettre les appareils VPN FortiGate.
La capture des identifiants
La société explique que les pirates ont d’abord obtenu un accès administratif aux appareils FortiGate via des attaques par bourrage ou force brute. Ils ont ensuite déployé le cadre de reniflage FortigateSniffer sur ces équipements compromis.
Cet outil se connecterait aux appareils FortiGate via SSH pour lancer la commande FortiOS diagnose sniffer packet.
Cette commande est un outil de diagnostic intégré à FortiOS que les administrateurs utilisent pour résoudre les problèmes de connectivité, d’authentification ou de performance réseau.
Elle permet d’inspecter en temps réel le trafic réseau qui passe par le pare-feu FortiGate, ce qui aide à identifier les échecs de connexion, les problèmes de routage ou les erreurs d’authentification.
Les pirates l’ont configurée pour surveiller le trafic lié aux protocoles d’authentification et aux services d’accès à distance, dont Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP et Telnet.
Les données de paquets collectées depuis les appareils FortiGate étaient ensuite traitées par un composant nommé SNIFTRAN, qui reconstruisait le trafic capturé en fichiers PCAP.
Source : SocRadar
Les données capturées étaient ensuite analysées par une « Boîte à outils d’analyse approfondie PCAP », basée sur Python. Ce logiciel extrayait du trafic réseau les identifiants en clair, les hachages de mots de passe, les tickets Kerberos, le matériel d’authentification NTLM, les identifiants de messagerie, les identifiants de base de données et d’autres artefacts d’authentification.
La boîte à outils générait ensuite des fichiers compatibles avec Hashcat, contenant les hachages NTLM et Kerberos. Elle extrayait aussi les identifiants en clair des protocoles comme SMTP, IMAP, POP3, MySQL et RADIUS lorsque c’était possible.
Les pirates auraient utilisé l’utilitaire de cassage de mots de passe Hashcat, fonctionnant sur des cartes graphiques, pour casser les identifiants hachés. Ce processus s’exécutait sur un cluster distribué de GPU.
Dans une mise à jour publiée vendredi, l’expert en cybersécurité Kevin Beaumont a suggéré que les attaquants avaient aussi obtenu des identifiants hachés en téléchargeant les fichiers de configuration des appareils FortiGate compromis.
Ils ont ensuite extrait les identifiants hachés et les ont cassés avec Hashcat, en mobilisant 36 GPU de classe entreprise.
« Le cassage de mots de passe était hébergé chez une entreprise de génération d’intelligence artificielle qui loue de la puissance de calcul GPU », explique Beaumont. « L’attaquant a loué 36 GPU de classe entreprise, ce qui représente plus que ce que la plupart des grandes organisations possèdent pour leurs projets d’IA internes. Au lieu de les utiliser pour des tâches d’IA, il les a employés pour casser des mots de passe. Les GPU d’entreprise peuvent casser des mots de passe à grande échelle et très rapidement. »
Ces deux explications pourraient rendre compte des plateformes de cassage spécialisées, basées sur des GPU, qui ont été observées sur les serveurs des attaquants.
Kevin Beaumont a publié la liste des adresses IP ciblées dans cette campagne. Les organisations qui utilisent des appareils FortiGate devraient consulter cette liste et vérifier si leurs systèmes ont été pris pour cible ou compromis.