FortiBleed Operasyonu
Rusça konuşan bir başlangıç erişim aracısı (IAB), dünya genelinde 430,000’den fazla FortiGate güvenlik duvarını hedef alan büyük ölçekli bir kimlik bilgisi toplama operasyonu olan FortiBleed ile ilişkilendirilmektedir. Şubat 2026’dan bu yana aktif olan bu kampanyanın, kimlik bilgisi listeleri toplamak, açık hizmetleri aramak, erişilebilir sistemlere brute-force saldırıları düzenlemek ve ele geçirilmiş güvenlik duvarlarına özel sniffer’lar dağıtmak gibi faaliyetleri içermektedir.
Saldırı Nasıl Çalışıyor?
SOCRadar, “Bir kez dağıtıldığında, bu sniffer’lar, ele geçirilmiş cihazlar üzerinden geçen trafiği izleyerek açık metin ve hashlenmiş kimlik bilgilerini yakalar,” dedi. Bu süreçte, saldırganlar elde ettikleri kimlik bilgilerini Active Directory etki alanları ve diğer açık hizmetler üzerinde kullanmak üzere çözer ve doğrular.
Operasyonun merkezinde, FortigateSniffer adlı Golang tabanlı bir araç bulunmaktadır. Bu araç, FortiOS’un yerleşik tanılama komutu olan -diagnose sniffer packet’i kullanarak enfekte olmuş cihazlardan kimlik doğrulama trafiğini pasif olarak yakalamaktadır. Araç, 24 protokol aracılığıyla trafiği izlemeyi, kimlik doğrulama verilerini ayrıştırmayı ve kimlik bilgilerini çıkarmayı hedeflemektedir.
Etkilenen Sistemler
Cambridge Analytica’nın eski başkanı olarak etkili olan bu kampanya, özellikle küçük ve orta ölçekli işletmeleri (SMB’ler) hedef alarak, aşağıdaki sistemleri etkilemektedir:
- Fortinetwork cihazları
- Synology NAS
- Sophos güvenlik duvarları
- RDWeb portalları
- Citrix SSL-VPN’ler
- MS-SQL sunucuları
Operasyon, 31 Mayıs ve 15 Haziran 2026’da gerçekleştirilen en az 659 kimlik bilgisi toplama hattıyla 110 milyondan fazla kimlik bilgisinin tanımlanmasıyla sonuçlanmıştır. Elde edilen kimlik bilgileri aşağıdaki gibi ayrılmaktadır:
- 14.8 milyon RADIUS kimlik bilgisi
- 924,000 NTLM hash
- 130,000 Kerberos hash
- 89 milyon MySQL kimlik doğrulama jetonu
Çözüm ve Korunma
FortiBleed kampanyası, beş aşamadan oluşan bir süreç içerisinde gerçekleşmektedir:
- Geniş çaplı keşif: Masscan ve Shodan gibi araçlar kullanarak internetten erişilebilir FortiGate güvenlik duvarlarını tespit ederek, FortiProbe-fast ve GeoSplit ile sistemleri ülkeye göre gruplama.
- Araçların ele geçirilmesi: “forticheck” adlı bir kimlik bilgisi kontrol aracı ile FortiGate yönetim paneli ve SSL-VPN portalını hedef alma.
- Trafigin izlenmesi: SSH aracılığıyla erişim kurulduktan sonra FortigateSniffer kullanarak 24 protokol üzerinde kimlik doğrulama trafiğinin pasif olarak çekilmesi.
- Hashlerin kırılması: Hashmat ve Hashtopolis gibi araçlar ile hashlerin kırılması ve bunların Telegram’ı yöneten HASHBOT tarafından yönetilmesi.
- Duyarlı veri sızıntısı: Ağ paylaşımlarından hassas verilerin alınması ve çalınan oturum çerezlerinin sürekli erişimi sağlamak amacıyla kullanılması.
Özellikle FortiGate güvenlik duvarı kullanıcılarının, sistemleri güncellemeleri, gereksiz açıkları kapatmaları ve güvenlik duvarı yapılandırmalarını gözden geçirmeleri kritik öneme sahiptir. Ayrıca, kullanımdaki araçların etkinliğini artırmak için farkındalık eğitimleri düzenlemeleri önerilmektedir.
Sonuç olarak, güvenlik güncellemelerinizi yapmayı, gereksiz portları kapatmayı ve sürekli sistem izleme yöntemlerine başvurmayı ihmal etmeyin.
