Hackers por trás da campanha de coleta de credenciais FortiBleed roubaram credenciais de login pertencentes a funcionários do Foreign, Commonwealth and Development Office (FCDO) do Reino Unido, com as contas comprometidas agora sendo anunciadas em mercados da dark web junto com credenciais de prefeituras locais e organizações de infraestrutura crítica.
A campanha tem como alvo firewalls Fortinet voltados para a internet e gateways VPN, utilizando credencial stuffing e ataques de força bruta contra nomes de usuário e senhas vazados em vazamentos anteriores de dados. Em vez de explorar uma nova vulnerabilidade de software, os atacantes testam continuamente credenciais recicladas até encontrarem contas que ainda usam as mesmas senhas.
Segundo pesquisadores, a operação já coletou mais de 30.000 credenciais verificadas da Fortinet de organizações em 194 países. A empresa de segurança SOCRadar afirmou que os atacantes construíram um banco de dados continuamente atualizado com nomes de usuário e senhas funcionando, que agora estão sendo vendidos para outros cibercriminosos.
Entre as vítimas do Reino Unido estão, segundo relatos, funcionários do Foreign Office destacados em missões diplomáticas britânicas na Tailândia e Maurício, além de funcionários do Conselho do Condado de Derbyshire e do Conselho de Waltham Forest. Pesquisadores alertam que credenciais válidas de VPN podem permitir que atacantes acessem remotamente redes corporativas internas, criem novas contas de administrador, alterem configurações de firewalls e estabeleçam persistência de longo prazo.
A violação vai além das agências governamentais. Investigadores afirmam que credenciais ligadas a organizações do NHS, provedores de energia, fornecedores farmacêuticos e outros operadores de infraestrutura crítica também apareceram no conjunto de dados roubado, levantando preocupações de que grupos de ransomware possam comprar o acesso e usá-lo para lançar ataques subsequentes.
O Centro Nacional de Cibersegurança (NCSC) do Reino Unido confirmou que organizações que utilizam firewalls Fortinet e dispositivos VPN estão sendo alvo de uma campanha global em andamento. A agência está incentivando os administradores a redefinir imediatamente senhas reutilizadas ou padrão, auditar logs de autenticação para atividades suspeitas, habilitar a autenticação multifator sempre que possível e revisar sistemas para contas não autorizadas ou alterações de configuração.
Embora pesquisadores digam que partes do malware e da infraestrutura contêm elementos em língua russa, atualmente não há evidências públicas que liguem diretamente a campanha ao governo russo. Especialistas em segurança alertam que grupos cibercriminosos de língua russa frequentemente operam de forma independente, dificultando a identificação sem inteligência além dos indicadores técnicos.