สรุปสั้น
บริษัท SOCRadar เผยแพร่รายงานฉบับใหม่ระบุว่าแคมเปญ FortiBleed ที่ถูกค้นพบเมื่อสัปดาห์ก่อนนั้น ดำเนินการโดย Russian Initial Access Broker (IAB) ที่มีแรงจูงใจทางการเงิน โดยกำหนดเป้าหมายไปที่ FortiGate firewall กว่า 430,000 เครื่องทั่วโลก ใช้เครื่องมือที่สร้างด้วยภาษา Golang ชื่อ FortigateSniffer ดักจับ credential ผ่าน 24 โปรโตคอล และประมาณการว่ามี credential ถูกโจรกรรมไปมากกว่า 110 ล้านรายการ แคมเปญนี้ดำเนินมาตั้งแต่อย่างน้อยเดือนกุมภาพันธ์ 2569 และไม่ได้จำกัดเฉพาะผลิตภัณฑ์ Fortinet เท่านั้น แต่ยังครอบคลุม Sophos SSL-VPN, RDWeb, MSSQL, Citrix SSL-VPN, RADIUS, NTLM และ Kerberos อีกด้วย
ข้อค้นพบที่น่าตกใจคือเมื่อวันที่ 15 มิถุนายน ผู้โจมตีสามารถแคร็ก Kerberos hash และขโมยข้อมูลสำรอง DFS จากผู้รับจ้างกลาโหมที่เป็นพันธมิตร NATO ได้สำเร็จ ซึ่งชี้ว่าอาจมีการประสานงานกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐรัสเซีย
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 23 มิถุนายน 2569 ว่า บริษัท SOCRadar เผยแพร่รายงานวิเคราะห์เชิงลึกเกี่ยวกับแคมเปญ FortiBleed ที่ถูกค้นพบเมื่อสัปดาห์ก่อน โดยระบุว่าแคมเปญนี้ไม่ใช่เพียงการโจมตีเฉพาะผลิตภัณฑ์ Fortinet อย่างที่เข้าใจในตอนแรก แต่เป็นปฏิบัติการขโมย credential และ access ที่ครอบคลุมหลายผู้ผลิต (multi-vendor) ดำเนินการโดย threat actor ที่พูดภาษารัสเซียและมีแรงจูงใจทางการเงิน
การสืบสวนของบริษัท SOCRadar พบเซิร์ฟเวอร์หลายร้อยเครื่องและ credential-harvesting pipeline มากกว่า 650 ชุดที่ใช้ในปฏิบัติการ จาก FortiGate firewall กว่า 430,000 เครื่องที่อยู่ในขอบเขตแคมเปญ มีเป้าหมายที่ระบุตัวได้ 80,000 เครื่อง และยังมีกว่า 19,000 เครื่องที่ถูกดักจับข้อมูลอยู่ในขณะนี้ โดยรวมแล้วประมาณการว่ามี credential ถูกโจรกรรมไปมากกว่า 110 ล้านรายการ
ผู้โจมตีใช้ Masscan และ Shodan สแกนหาอุปกรณ์ FortiGate ที่มีช่องโหว่ จากนั้นเจาะเข้าด้วย SSH brute-force แล้ว deploy network sniffer ดักจับ credential แบบ cleartext และ password hash ก่อนจะนำไป crack, validate และใช้เคลื่อนที่ภายในเครือข่าย (lateral movement) โจมตี Active Directory domain และบริการอื่น ท้ายสุดผู้โจมตีขโมยข้อมูลจาก network share และใช้ stolen session cookie เพื่อรักษาการเข้าถึงอย่างถาวร
เครื่องมือสำคัญที่สุดคือ FortigateSniffer ซึ่งใช้ประโยชน์จากคำสั่ง FortiOS diagnostic ที่ถูกต้องตามกฎหมายเพื่อดักจับ authentication traffic แบบ passive ผ่าน 24 โปรโตคอล โดยบริษัท SOCRadar ระบุว่าเครื่องมือนี้น่าจะถูกสร้างขึ้นด้วยความช่วยเหลือของ CyberStrike ซึ่งเป็น AI-powered autonomous penetration testing agent นอกจากนี้ผู้โจมตียังดูแลแหล่งข้อมูล credential 2 แห่ง — แห่งหนึ่งรวมข้อมูลจากการรั่วไหลก่อนหน้าและชุดข้อมูลที่ซื้อมา อีกแห่งมี dictionary 16 ชุดที่สร้างขึ้นเฉพาะสำหรับบัญชี FortiGate admin
วิธีการโจมตี
ห่วงโซ่การโจมตีของแคมเปญ FortiBleed เริ่มจากการสแกนอุปกรณ์ที่เปิดเผยบนอินเทอร์เน็ตด้วย Masscan และ Shodan จากนั้นทำ SSH brute-force เพื่อเข้าถึง FortiGate firewall เมื่อเข้าได้แล้วจะ deploy FortigateSniffer ที่ใช้ประโยชน์จากคำสั่ง diagnostic ของ FortiOS ดักจับ authentication traffic แบบ passive ครอบคลุม 24 โปรโตคอล
credential ที่ดักจับได้ทั้ง cleartext และ hash จะถูกนำไป crack offline จากนั้นใช้สำหรับ lateral movement โจมตี Active Directory domain, MSSQL, RDWeb, Citrix SSL-VPN และอื่นๆ ผู้โจมตียังขโมย session cookie เพื่อรักษา persistent access และท้ายสุดขโมยข้อมูลจาก network share รวมถึงข้อมูลสำรอง DFS
artifact แรกสุดของแคมเปญย้อนไปถึงเดือนกุมภาพันธ์ 2569 โดยเริ่มจากการสแกน Sophos SSL-VPN และ RDWeb portal แสดงว่าเป็นปฏิบัติการระยะยาวที่ขยายขอบเขตต่อเนื่อง จุดที่น่ากังวลที่สุดคือเมื่อวันที่ 15 มิถุนายน ผู้โจมตีสามารถ crack Kerberos hash และขโมยข้อมูลสำรอง DFS จากผู้รับจ้างกลาโหมพันธมิตร NATO ได้สำเร็จ ซึ่งชี้ว่าอาจมีการร่วมมือกับกลุ่มที่ได้รับการสนับสนุนจากรัฐรัสเซีย หรืออาจขาย access ให้กลุ่ม ransomware
ผลกระทบต่อไทย
ประเทศไทยเป็นหนึ่งในประเทศที่ใช้ผลิตภัณฑ์ Fortinet อย่างแพร่หลาย จากรายงาน FortiBleed ครั้งแรกที่โพสต์ 123 ได้ระบุว่าไทยติดอันดับ top 10 ของ credential ที่รั่วไหล แคมเปญนี้เน้นโจมตี SMB ที่มีพนักงานน้อยกว่า 200 คน ซึ่งเป็นลักษณะขององค์กรจำนวนมากในไทย หน่วยงานที่ใช้ FortiGate firewall โดยเฉพาะที่เปิด SSH บนอินเทอร์เน็ตมีความเสี่ยงสูงที่ credential อาจถูกดักจับไปแล้ว ผู้ให้บริการ MSP ที่ดูแล Fortinet ให้ลูกค้าหลายรายก็เป็นเป้าหมายสำคัญเช่นกัน เนื่องจากการโจมตี firewall ที่อยู่บน network edge สามารถเปิดเผย identity layer ทั้งหมดขององค์กรและส่งผลกระทบลึกเข้าไปถึง supply chain
คำแนะนำ
- ตรวจสอบ FortiGate firewall ที่เปิด SSH บนอินเทอร์เน็ตและปิดการเข้าถึงจากภายนอกทันที หรือจำกัด IP ที่อนุญาต
- อัปเดต FortiOS เป็นเวอร์ชันล่าสุดและเปลี่ยนรหัสผ่าน admin ทั้งหมดโดยด่วน
- ตรวจสอบ log ว่ามี diagnostic command ที่ไม่ปกติถูกรันหรือไม่ ซึ่งอาจเป็นสัญญาณของ FortigateSniffer
- รีเซ็ต credential ของ Active Directory, VPN, MSSQL และบริการอื่นที่ authentication traffic ผ่าน firewall
- MSP และผู้ให้บริการ IT ที่ดูแล Fortinet ควรแจ้งเตือนลูกค้าและตรวจสอบอุปกรณ์ทุกเครื่อง
