Operasi “FortiBleed” Bongkar Kredensial VPN 73.000 Perangkat Fortinet Global

Sebuah kebocoran data berskala masif yang diberi nama sandi “FortiBleed” dilaporkan telah mengekspos paket data berisi kredensial login (nama pengguna, alamat email, dan kata sandi teks biasa) milik 73.932 tautan URL firewall Fortinet dan FortiGate di seluruh dunia. Insiden ini disebut-sebut sebagai salah satu kebocoran kredensial infrastruktur keamanan Fortinet terbesar yang pernah tercatat dalam sejarah siber.

Data sensitif ini awalnya ditemukan oleh peneliti keamanan siber veteran, Bob Diachenko, pada sebuah server terbuka yang tidak terlindungi. Di dalam basis data tersebut, ditemukan tumpukan data matang milik ribuan perusahaan raksasa lintas sektor, lembaga pemerintahan, hingga operator infrastruktur kritis nasional.

Anatomi Serangan: Kampanye Brute-Force Masif via Klaster 45-GPU

Hasil analisis forensik digital dari artefak, skrip otomasi cron jobs, log koneksi, dan riwayat perintah (bash history) yang secara tidak sengaja ditinggalkan oleh para peretas di server mereka mengungkap bahwa operasi ini dijalankan oleh kelompok kriminal siber berbahasa Rusia (Russian-speaking multi-operator threat group).

Kelompok ini menerapkan metodologi serangan terstruktur untuk menembus jaringan korporat:

[ Pemindaian Target Masif ] ──► Serang 320 Ribu Target FortiGate & 163 Ribu Server MS SQL
                                                  │
                                                  ▼
[ Intersepsi Hash Otentikasi] ──► Cegat Autentikasi SSL VPN Hashes
                                                  │
                                                  ▼ (Gunakan Klaster 45-GPU + Hashtopolis)
[ Retas Kata Sandi Kompleks ] ──► Dekripsi Kata Sandi Menjadi Teks Biasa (Plaintext)
                                                  │
                                                  ▼
[ Penetrasi Jaringan Dalam ]  ──► Pindah Lateral (Lateral Movement) ke Active Directory

1. Brute-Force Skala Besar: Peretas meluncurkan sekitar 1,16 miliar percobaan kecocokan kredensial (credential attempts) terhadap 320.777 target perangkat FortiGate, serta 2,1 miliar percobaan terpisah terhadap 163.650 sistem Microsoft SQL Server.
2. Pencegatan Hash & Dekripsi Ekstrem: Aktor ancaman mencegat kode hash autentikasi SSL VPN milik target, lalu meretasnya (cracking) menggunakan klaster komputasi berkekuatan 45-GPU yang dikelola melalui platform penumbuk enkripsi Hashtopolis. Hal ini menjelaskan mengapa kata sandi yang panjang dan kompleks sekalipun tetap berhasil dibongkar menjadi teks biasa (plaintext).
3. Gerakan Lateral & Spionase: Setelah berhasil masuk melalui jalur VPN, peretas bergerak secara lateral ke dalam lingkungan inti Active Directory (AD) korporat. Diachenko mengonfirmasi beberapa organisasi di Jepang, Taiwan, Vietnam, Irak, dan Turki telah dibobol total, termasuk salah satu kontraktor pertahanan NATO di Turki yang dokumen rahasianya berhasil dijarah.

Profil Kebocoran: Data Valid dari Ekspor Konfigurasi

Pakar siber independen Kevin Beaumont turut memvalidasi keaslian data tersebut setelah melakukan analisis pencocokan silang melalui mesin pencari jaringan Shodan. Hasil temuannya menunjukkan karakteristik berikut:

• Tingkat Keabsahan Tinggi: Beaumont mengonfirmasi bahwa mayoritas data login admin dan kata sandi yang bocor berstatus valid/otentik, dan hampir seluruh dari 75.000 perangkat korban saat ini masih dalam kondisi aktif beroperasi secara daring (online).
• Berasal dari Berkas Konfigurasi: Informasi spesifik seperti alamat email internal mengindikasikan bahwa data ini kemungkinan besar diekstraksi langsung dari dokumen ekspor konfigurasi (exported Fortinet configurations) internal perangkat, bukan sekadar tebakan acak.
• Separuh Populasi Firewall Terdampak: Data FortiBleed ini mencakup hampir setengah dari total seluruh firewall Fortinet di dunia yang manajemen antarmuka (FortiGate management interfaces) miliknya terekspos secara terbuka langsung ke jaringan internet publik.

Perusahaan intelijen ancaman Hudson Rock merilis statistik yang menunjukkan bahwa korban tersebar merata di 194 negara dan berdampak pada 21.632 domain unik.

          [ PROFIL SEKTOR DAN WILAYAH TERDAMPAK FORTIBLEED ]
                                  │
    ┌─────────────────────────────┴─────────────────────────────┐
    ▼                                                           ▼
[ 10 Negara Korban Terbanyak ]                              [ Sektor Industri Utama ]
• India          • Thailand                                 • Telekomunikasi / ISP
• Amerika Serikat• Kolombia                                 • Layanan IT / Integrator
• Taiwan         • Malaysia                                 • Sektor Keuangan & Perbankan
• Meksiko        • Cile                                     • Organisasi Pemerintah
• Turki          • Uni Emirat Arab                          • Manufaktur & Kesehatan

Beberapa nama vendor besar dunia yang teridentifikasi masuk dalam daftar korban di antaranya adalah Samsung, Foxconn, Siemens, Lenovo, Chevron, Comcast, AT&T, Oracle, PwC, Accenture, Mercedes-Benz, dan Toyota.

Sanggahan Fortinet dan Langkah Mitigasi Darurat

Pasca-merebaknya pemberitaan FortiBleed, manajemen pusat Fortinet merilis pernyataan resmi yang menegaskan bahwa kebocoran ini tidak berkaitan dengan eksploitasi celah kerentanan (zero-day vulnerability) baru pada sistem operasi FortiOS mereka.

Pernyataan Resmi Fortinet: “Berdasarkan analisis kami, data yang terlibat adalah pengumpulan kembali (resharing) dari data insiden masa lalu serta hasil serangan brute-force massal terhadap kredensial pengguna, dan bukan disebabkan oleh insiden kebocoran baru pada sistem kami. Organisasi yang rutin menerapkan praktik keamanan terbaik, termasuk menyegarkan kredensial keamanan secara berkala, menghadapi risiko yang minimal.”

Mengingat validitas data yang sangat tinggi, para pengelola jaringan yang menggunakan ekosistem Fortinet diimbau untuk segera mengambil langkah penyelamatan darurat:

1. Periksa Status Dampak: Gunakan alat pencari gratis FortiBleed lookup tool yang disediakan oleh Hudson Rock untuk memeriksa apakah domain perusahaan Anda masuk dalam daftar target peretasan.
2. Rotasi Kredensial Massal: Lakukan pergantian kata sandi secara paksa (force password reset) untuk seluruh akun VPN, profil pengguna, dan akun administratif pengelola antarmuka Fortinet.
3. Wajibkan Multi-Factor Authentication (MFA): Terapkan kebijakan autentikasi ganda secara ketat tanpa pengecualian untuk setiap akses masuk VPN.
4. Audit Log Gerbang Jaringan: Periksa log aktivitas akses masuk (gateway logs) untuk mendeteksi adanya anomali alamat IP asing atau sesi masuk mencurigakan dalam beberapa pekan terakhir.

Sumber: Global Cyber Threat Intelligence Network & Shodan Network Audit