FortiBleed : Une campagne de cybercriminalité de grande envergure
La campagne FortiBleed représente une opération de récolte d’identifiants à grande échelle, ciblant principalement les appliances Fortinet, Sophos et les instances MSSQL. Selon l’unité de recherche sur les menaces (STRU) de SOCRadar, cette campagne, orchestrée par un courtier en accès initial, a visé plus de 430 000 pare-feu FortiGate à travers le monde.
L’acteur malveillant emploie une méthodologie de reconnaissance sophistiquée, combinant balayage actif et passif. Des outils tels que Masscan et Shodan_Recon permettent d’extraire des métadonnées des certificats SSL. Pour affiner son ciblage, l’outil FortiProbe-fast classe les systèmes, réduisant ainsi le nombre de cibles avant l’application de tests de force brute.
L’accès initial aux systèmes est obtenu par plusieurs méthodes, notamment des attaques par force brute SSH utilisant des listes de mots de passe spécifiques et le credential stuffing sur les portails SSLVPN et les interfaces web. Une fois l’accès SSH établi, l’outil central de la campagne, FortigateSniffer, est déployé. Développé en Golang, cet outil exploite la commande diagnostique intégrée de FortiOS pour capturer passivement le trafic d’authentification sur 24 protocoles différents, y compris RADIUS, NTLM, Kerberos et LDAP.
Post-exploitation : Sophistication et infrastructure
Les données collectées par FortigateSniffer sont ensuite traitées pour en faire des renseignements exploitables. Ce processus commence par le cassage distribué des hachages NTLM et Kerberos sur un cluster GPU, géré via des plateformes de location à faible coût. Une fois les identifiants convertis en clair, l’acteur procède à un déplacement latéral dans le réseau. Des scripts Python sont utilisés pour une énumération approfondie d’Active Directory, ciblant les membres du groupe Domain Admins et identifiant les vecteurs d’escalade de privilèges.
L’infrastructure opérationnelle de cette campagne est à la fois segmentée et résiliente. Le cœur de l’opération repose sur un laboratoire offensif isolé, hébergé sur un serveur utilisant QEMU/KVM. L’architecture de commande et de contrôle (C2) est distribuée sur plusieurs blocs de sous-réseaux, permettant une grande échelle d’opération.
Lien avec l’économie du rançongiciel
La STRU de SOCRadar a établi un lien direct entre FortiBleed et deux opérations de rançongiciel actives, INC Ransom et Lynx. Ce lien a été mis en lumière lorsqu’un opérateur ayant accès à l’infrastructure de FortiBleed a été simultanément connecté aux panneaux de négociation de ces deux groupes. Cela démontre que les identifiants récoltés via FortiBleed sont directement utilisés pour le déploiement de rançongiciels.
Ce lien est renforcé par le chevauchement des victimes : une comparaison des données de FortiBleed avec un répertoire lié à INC Ransom a révélé des organisations communes. L’opération est structurée et impliquerait environ 20 personnes, avec une division claire des tâches. Les liens entre INC Ransom et Lynx sont bien documentés, suggérant qu’ils ne sont que deux facettes d’un cartel plus large, qui inclut également Sinobi.
En avril dernier, les analyses indiquaient 33 victimes revendiquées chez INC Ransom et Lynx, attribuées à un même acteur, ainsi que 25 autres victimes à un second acteur ayant également opéré pour Safepay. Les activités de ces entités semblent s’inscrire dans une continuité, ayant débuté l’automne précédent et se poursuivant jusqu’au printemps.
Source : SOCRadar
