Fortinet FortiGate cihazlarını hedef alan FortiBleed operasyonunun boyutu genişlemeye devam ediyor. Güvenlik şirketi SOCRadar tarafından yayımlanan yeni araştırma, saldırganların ele geçirdikleri güvenlik duvarlarında özel geliştirilmiş bir ağ dinleme aracı kullanarak kimlik doğrulama bilgilerini topladığını ortaya koydu. Araştırmacılar, en az Şubat 2026’dan beri devam eden kampanyanın dünya genelinde 430 binden fazla FortiGate cihazını hedef aldığını belirtiyor.

Araştırmacılar Yeni Bir Kimlik Bilgisi Toplama Altyapısı Tespit Etti

SOCRadar ekibi, daha önce 80 binden fazla Fortinet VPN adresiyle ilişkilendirilen kullanıcı bilgilerinin ortaya çıktığı FortiBleed kampanyasını yeniden inceleyerek saldırının çalışma biçimine dair yeni bulgular elde etti. Araştırmaya göre tehdit aktörü, kurumsal ağlara ilk erişimi sağlamak için kimlik bilgisi doldurma saldırıları, kaba kuvvet girişimleri, parola toplama operasyonları ile çevrim dışı parola kırma tekniklerinden yararlanıyor.

Araştırmacılar, saldırının arkasındaki grubun bir Initial Access Broker (IAB) olarak faaliyet gösterdiğini değerlendiriyor. Siber suç ekosisteminde önemli yer tutan bu gruplar, ele geçirdikleri erişimleri daha sonra fidye yazılımı operatörlerine veya farklı tehdit aktörlerine satabiliyor. İlk erişim brokeri modeli son yıllarda kurumsal saldırılarda daha sık görülmeye başladı.

SOCRadar’ın dikkat çektiği en önemli bulgulardan biri “FortigateSniffer” adı verilen özel aracın kullanılması oldu. Golang ile geliştirildiği belirtilen araç, FortiOS işletim sisteminde yer alan “diagnose sniffer packet” komutunu çalıştırarak cihaz üzerinden geçen ağ trafiğini izliyor. Normal koşullarda sistem yöneticileri bu özelliği bağlantı sorunlarını analiz etmek, yönlendirme hatalarını incelemek veya kimlik doğrulama problemlerini tespit etmek amacıyla kullanıyor. Ancak saldırganlar yönetici erişimi elde ettikten sonra aynı özelliği farklı amaçlarla kullanarak güvenlik duvarından geçen hassas verileri toplamaya başladı. Araştırmacılar, saldırganların yeni bir güvenlik açığından yararlanmadığını, mevcut yönetim araçlarını kendi amaçları doğrultusunda kullandığını belirtiyor.

👉️ İlginizi Çekebilir: HPE, Yapay Zekâ Ağlarını Hızlandıracak Yeni Ağ Çözümlerini Tanıttı

Ağ Trafiğinden Parolalar ve Kimlik Doğrulama Verileri Çekildi

Araştırmaya göre FortigateSniffer aracı 24 farklı protokolü izleyebilecek şekilde yapılandırıldı. Saldırganlar özellikle Kerberos, LDAP, NTLM, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP ve Telnet gibi servislerdeki kimlik doğrulama trafiğine odaklandı. Toplanan paket verileri daha sonra “SNIFTRAN” isimli bir bileşen üzerinden işlenerek PCAP dosyalarına dönüştürüldü. Ardından Python tabanlı analiz sistemi devreye girerek ağ trafiğindeki kullanıcı adlarını, açık metin parolaları, parola özetlerini, Kerberos biletlerini, NTLM doğrulama verilerini, e-posta hesap bilgilerini ve veritabanı erişim kayıtlarını ayıkladı.

Araştırmacılar, bazı protokollerde kimlik bilgilerinin doğrudan okunabilir şekilde ele geçirildiğini, bazı durumlarda ise parola özetlerinin çıkarıldığını belirtiyor. Böylece saldırganlar yalnızca FortiGate cihazlarını değil, kurum içindeki diğer sistemleri de hedef alabilecek veri havuzu oluşturdu. Toplanan parola özetleri daha sonra Hashcat ile uyumlu dosyalara dönüştürüldü. Saldırganlar, güçlü ekran kartlarından oluşan dağıtık altyapılar kullanarak bu özetleri çözmeye çalıştı. Siber güvenlik uzmanı Kevin Beaumont tarafından paylaşılan teknik değerlendirmeye göre saldırganlar bazı durumlarda FortiGate yapılandırma dosyalarını indirerek ek parola özetlerine de ulaştı.

Beaumont’un analizine göre parola kırma operasyonlarında toplam 36 kurumsal sınıf GPU kullanıldı. İlginç olan nokta ise bu altyapının yapay zekâ iş yükleri için GPU kiralayan bir hizmet sağlayıcı üzerinde çalıştırılmasıydı. Son yıllarda yapay zekâ hesaplama kaynaklarına erişimin kolaylaşması, saldırganların yüksek performanslı parola kırma operasyonları yürütmesini de kolaylaştırıyor. Kurumsal GPU kümeleri yalnızca yapay zekâ eğitimi için değil, büyük ölçekli parola kırma operasyonları için de kullanılabiliyor.

Fortinet Müşterileri İçin Risk Devam Ediyor

Fortinet daha önce olayın yeni bir güvenlik açığından kaynaklanmadığını, daha önce ele geçirilmiş kimlik bilgilerinin toplu hâlde ortaya çıkmasından ibaret olduğunu açıklamıştı. Ancak SOCRadar’ın son raporu saldırı faaliyetlerinin hâlen devam ettiğine işaret ediyor. Araştırmacılar, kampanyanın aktif şekilde FortiGate VPN sistemlerini hedef aldığını değerlendiriyor.

Uzmanlar, FortiGate kullanan kurumların yönetici hesaplarında çok faktörlü kimlik doğrulamayı etkinleştirmesini, zayıf parolaları değiştirmesini ve erişim günlüklerini incelemesini öneriyor. Kevin Beaumont tarafından yayımlanan hedef IP listelerinin de kontrol edilmesi tavsiye ediliyor. Özellikle kritik altyapılar, finans kuruluşları, telekom operatörleri ve büyük işletmeler açısından bu tür erişim brokeri operasyonları sonraki aşamalarda daha yıkıcı saldırılara zemin hazırlayabiliyor.