An ninh mạng

FortiBleed: Chiến dịch tấn công quy mô lớn nhắm vào hơn 430.000 thiết bị FortiGate

Chiến dịch FortiBleed đang gây chấn động giới an ninh mạng khi thu thập hơn 110 triệu thông tin đăng nhập từ các thiết bị FortiGate trên toàn cầu thông qua kỹ thuật brute-force và sniffing dữ...

Nguyen Hung
24 Tháng 6, 2026 3 Min Read
3 0

Một nhóm tin tặc nói tiếng Nga đang đứng sau chiến dịch tấn công quy mô lớn mang tên FortiBleed, nhắm mục tiêu vào hơn 430.000 tường lửa FortiGate trên toàn thế giới. Hoạt động này đã bắt đầu từ tháng 2/2026 với mục tiêu chính là thu thập thông tin đăng nhập (credential harvesting) để trục lợi tài chính.

Table Of Content

Phương thức vận hành của FortiBleed

Theo báo cáo từ SOCRadar, nhóm tấn công sử dụng một công cụ viết bằng ngôn ngữ Golang có tên FortigateSniffer. Công cụ này tận dụng lệnh chẩn đoán tích hợp sẵn trên FortiOS (-diagnose sniffer packet) để chặn bắt lưu lượng xác thực một cách thụ động. Nó có khả năng giám sát 24 giao thức khác nhau, bao gồm các giao thức nhạy cảm như Kerberos, SMB, LDAP, RDP và MS-SQL.

Quy trình tấn công của FortiBleed diễn ra qua 5 giai đoạn tinh vi:

  • Trinh sát: Sử dụng Masscan và Shodan để quét các thiết bị FortiGate lộ diện trên internet, sau đó lọc và phân loại theo quốc gia.
  • Thâm nhập: Sử dụng công cụ “forticheck” để brute-force vào bảng điều khiển quản trị và cổng SSL-VPN.
  • Sniffing: Triển khai FortigateSniffer để thu thập thông tin đăng nhập và hash mật khẩu từ lưu lượng mạng.
  • Bẻ khóa: Sử dụng Hashcat và Hashtopolis, được điều phối bởi một bot Telegram có tên HASHBOT.
  • Di chuyển ngang (Lateral Movement): Sử dụng thông tin đã đánh cắp để thâm nhập sâu vào Active Directory và các tài nguyên mạng nội bộ.

Quy mô và tác động

Chỉ trong khoảng thời gian từ cuối tháng 5 đến giữa tháng 6/2026, các kẻ tấn công đã thiết lập hơn 659 đường ống thu thập dữ liệu, đánh cắp hơn 110 triệu thông tin đăng nhập, bao gồm hàng triệu hash NTLM, Kerberos và các token xác thực MySQL. Các doanh nghiệp vừa và nhỏ (SMB) với dưới 200 nhân viên, đặc biệt là tại Mỹ và Ấn Độ, là những đối tượng bị ảnh hưởng nặng nề nhất.

Đáng chú ý, các chuyên gia bảo mật phát hiện ra rằng nhóm này không chỉ nhắm vào Fortinet mà còn mở rộng sang các thiết bị như Synology NAS, tường lửa Sophos, cổng RDWeb và máy chủ MS-SQL. Một số tài khoản có vẻ như đã được tin tặc cài cắm sẵn vào các thiết bị để tạo cửa hậu (backdoor) duy trì quyền truy cập.

Khuyến nghị bảo mật

Các chuyên gia nhấn mạnh rằng FortiBleed không khai thác các lỗ hổng zero-day mới, mà chủ yếu dựa vào việc tận dụng các mật khẩu yếu, thiếu xác thực đa yếu tố (MFA) và tái sử dụng thông tin đăng nhập từ các sự cố trước đó. Để phòng chống, các tổ chức cần:

  • Thực hiện xoay vòng (rotate) toàn bộ thông tin đăng nhập và vô hiệu hóa các phiên làm việc cũ.
  • Kiểm tra kỹ các cấu hình xuất ra (configuration exports) và nhật ký đăng nhập SSL-VPN.
  • Rà soát hoạt động AD và SMB từ các dải IP của VPN.
  • Giám sát các mẫu truyền tải SSH bất thường và kiểm tra nhật ký truy cập chia sẻ SMB.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept