Operasi “FortiBleed” Bongkar Kredensial VPN 73.000 Perangkat Fortinet Global
Sebuah kebocoran data berskala masif yang diberi nama sandi “FortiBleed” dilaporkan telah mengekspos paket data berisi kredensial login (username, alamat email, dan kata sandi teks biasa/plaintext) milik 73.932 tautan URL firewall Fortinet dan FortiGate di seluruh dunia. Insiden ini disebut-sebut sebagai salah satu kebocoran kredensial infrastruktur keamanan Fortinet terbesar yang pernah tercatat dalam sejarah siber.
Data sensitif ini awalnya ditemukan oleh peneliti keamanan siber veteran, Bob Diachenko, pada sebuah server terbuka yang tidak terlindungi. Di dalam basis data tersebut, ditemukan tumpukan data matang milik ribuan perusahaan raksasa lintas sektor, lembaga pemerintahan, hingga operator infrastruktur kritis nasional.
Anatomi Serangan: Kampanye Brute-Force Masif via Klaster 45-GPU
Hasil analisis forensik digital dari artefak, skrip otomasi cron jobs, log koneksi, dan riwayat perintah (bash history) yang secara tidak sengaja ditinggalkan oleh para peretas di server mereka mengungkap bahwa operasi ini dijalankan oleh kelompok kriminal siber berbahasa Rusia (Russian-speaking multi-operator threat group).
Kelompok ini menerapkan metodologi serangan terstruktur untuk menembus jaringan korporat:
[ Pemindaian Target Masif ] ──► Serang 320 Ribu Target FortiGate & 163 Ribu Server MS SQL
│
▼
[ Intersepsi Hash Otentikasi] ──► Cegat Autentikasi SSL VPN Hashes
│
▼ (Gunakan Klaster 45-GPU + Hashtopolis)
[ Retas Kata Sandi Kompleks ] ──► Dekripsi Kata Sandi Menjadi Teks Biasa (Plaintext)
│
▼
[ Penetrasi Jaringan Dalam ] ──► Pindah Lateral (Lateral Movement) ke Active Directory
- Brute-Force Skala Besar: Peretas meluncurkan sekitar 1,16 miliar percobaan kecocokan kredensial (credential attempts) terhadap 320.777 target perangkat FortiGate, serta 2,1 billion percobaan terpisah terhadap 163.650 sistem Microsoft SQL Server.
- Pencegatan Hash & Dekripsi Ekstrem: Aktor ancaman mengekstrak atau mencegat kode hash autentikasi SSL VPN milik target, lalu meretasnya (cracking) menggunakan klaster komputasi berkekuatan 45-GPU yang dikelola melalui platform penumbuk enkripsi Hashtopolis. Hal ini menjelaskan mengapa kata sandi yang panjang dan kompleks sekalipun tetap berhasil dibongkar menjadi teks biasa (plaintext).
- Gerakan Lateral & Spionase: Setelah berhasil masuk melalui jalur VPN, peretas bergerak secara lateral ke dalam lingkungan inti Active Directory (AD) korporat. Diachenko mengonfirmasi beberapa organisasi di Jepang, Taiwan, Vietnam, Iraq, dan Turki telah dibobol total, termasuk salah satu kontraktor pertahanan NATO di Turki yang dokumen rahasianya berhasil dijarah.
Peretas bahkan menyusun catatan khusus berisi detail industri, total pendapatan (revenue), serta jumlah karyawan dari masing-masing target guna memetakan potensi keuntungan serangan lanjutan.
Profil Kebocoran: Data Valid dari Ekspor Konfigurasi
Pakar siber independen Kevin Beaumont turut memvalidasi keaslian data tersebut setelah melakukan analisis pencocokan silang melalui mesin pencari jaringan Shodan. Hasil temuannya menunjukkan karakteristik berikut:
- Tingkat Keabsahan Tinggi: Beaumont mengonfirmasi bahwa mayoritas data login admin dan kata sandi yang bocor berstatus valid/otentik, dan hampir seluruh dari 75.000 perangkat korban saat ini masih dalam kondisi aktif beroperasi secara daring (online).
- Berasal dari Berkas Konfigurasi: Informasi spesifik seperti alamat email internal mengindikasikan bahwa data ini kemungkinan besar diekstraksi langsung dari dokumen ekspor konfigurasi (exported Fortinet configurations) internal perangkat, bukan sekadar tebakan acak.
- Separuh Populasi Firewall Terdampak: Data FortiBleed ini mencakup hampir setengah dari total seluruh firewall Fortinet di dunia yang manajemen antarmuka (FortiGate management interfaces) miliknya terekspos secara terbuka langsung ke jaringan internet publik.
Perusahaan intelijen ancaman Hudson Rock merilis statistik yang menunjukkan bahwa korban tersebar merata di 194 negara dan berdampak pada 21.632 domain unik.
[ PROFIL SEKTOR DAN WILAYAH TERDAMPAK FORTIBLEED ]
│
┌─────────────────────────────┴─────────────────────────────┐
▼ ▼
[ 10 Negara Korban Terbanyak ] [ Sektor Industri Utama ]
• India • Thailand • Telekomunikasi / ISP
• Amerika Serikat• Kolombia • Layanan IT / Integrator
• Taiwan • Malaysia • Sektor Keuangan & Perbankan
• Meksiko • Cile • Organisasi Pemerintah
• Turki • Uni Emirat Arab • Manufaktur & Kesehatan
Beberapa nama vendor besar dunia yang teridentifikasi masuk dalam daftar korban di antaranya adalah Samsung, Foxconn, Siemens, Lenovo, Chevron, Comcast, AT&T, Oracle, PwC, Accenture, Mercedes-Benz, dan Toyota.
Langkah Mitigasi Darurat Bagi Organisasi
Hingga saat ini, sumber awal kebocoran data konfigurasi tersebut masih misterius. Belum dapat dipastikan apakah data ini dicuri melalui eksploitasi celah kerentanan lama, zero-day baru, atau metode infiltrasi lainnya.
Mengingat tingkat keabsahan data yang sangat tinggi, para pengelola jaringan yang menggunakan ekosistem Fortinet diimbau untuk segera mengambil langkah penyelamatan darurat:
- Periksa Status Dampak: Gunakan alat pencari gratis FortiBleed lookup tool yang disediakan oleh Hudson Rock untuk memeriksa apakah domain atau URL firewall perusahaan Anda masuk dalam daftar target peretasan.
- Rotasi Kredensial Massal: Lakukan pergantian kata sandi secara paksa (force password reset) untuk seluruh akun VPN, profil pengguna, dan akun administratif pengelola antarmuka Fortinet.
- Wajibkan Multi-Factor Authentication (MFA): Terapkan kebijakan autentikasi ganda secara ketat tanpa pengecualian untuk setiap akses masuk VPN.
- Audit Log Gerbang Jaringan: Periksa log aktivitas akses masuk (gateway logs) untuk mendeteksi adanya anomali alamat IP asing atau sesi masuk mencurigakan dalam beberapa pekan terakhir.
Sumber: Global Cyber Threat Intelligence Network & Shodan Network Audit
