Kampanye FortiBleed Manfaatkan Tool Sniffer Khusus untuk Curi Kredensial FortiGate

Perusahaan keamanan siber SOCRadar mengungkap bahwa kampanye serangan berskala besar bernama FortiBleed menggunakan tool sniffer khusus untuk memanen rahasia autentikasi dari perangkat Fortinet FortiGate yang telah disusupi. Laporan terbaru ini memperluas riset sebelumnya yang sempat mendeteksi kebocoran kredensial VPN Fortinet yang terhubung dengan lebih dari 80.000 URL firewall di seluruh dunia.

Berdasarkan temuan terkini, operasi siber ini dilaporkan telah menargetkan lebih dari 430.000 firewall FortiGate secara global dan telah aktif setidaknya sejak Februari 2026. Aktor ancaman di balik kampanye ini diduga bertindak sebagai Initial Access Broker (IAB) yang mengandalkan teknik credential stuffing, serangan brute-force, pemanenan kredensial, serta pembongkaran kata sandi secara offline untuk memperjualbelikan akses ke jaringan korporat.

Eksploitasi Fitur Internal Lewat “FortigateSniffer”

Salah satu temuan paling signifikan dalam investigasi ini adalah penggunaan alat berbasis bahasa pemrograman Golang yang dinamakan FortigateSniffer. Alat ini menyalahgunakan fitur bawaan asli dari FortiOS, yaitu perintah diagnose sniffer packet, untuk menangkap lalu lintas autentikasi yang melewati perangkat FortiGate yang berhasil dikuasai.

Perintah diagnose sniffer packet sebenarnya merupakan instrumen diagnostik resmi yang digunakan oleh para administrator jaringan untuk menganalisis masalah konektivitas, performa, dan kegagalan autentikasi secara real-time. Namun, penyerang memanfaatkan hak akses administratif yang mereka dapatkan dari hasil brute-force untuk mengaktifkan fungsi ini demi tujuan jahat.

Kerangka kerja pemanenan kredensial ini bekerja dengan memantau lalu lintas data pada 24 protokol komunikasi dan layanan akses jarak jauh secara sekaligus, termasuk:

• Protokol Autentikasi & Direktori: RADIUS, NTLM, Kerberos, LDAP.
• Layanan Remote & Berbagi Data: RDP, WinRM, SMB, FTP, Telnet.
• Database: Microsoft SQL Server, MySQL, PostgreSQL.
• Layanan Email: SMTP, IMAP, POP3.

Rekonstruksi Data dan Penggunaan Cluster GPU GenAI

Data paket yang berhasil dikumpulkan dari perangkat FortiGate kemudian diproses melalui komponen bernama SNIFTRAN untuk disusun ulang menjadi file PCAP. Selanjutnya, penyerang menggunakan perangkat analisis berbasis Python bernama PCAP Deep Analysis Toolkit untuk mengekstrak kredensial dalam bentuk teks polos (cleartext), hash kata sandi, tiket Kerberos, hingga material autentikasi email dan database.

Untuk memecahkan hash kata sandi NTLM dan Kerberos yang berhasil diekstrak, aktor intelektual di balik serangan ini menggunakan utilitas password cracking populer, Hashcat, yang dijalankan pada infrastruktur komputasi canggih.

Informasi tambahan dari pakar keamanan siber eksternal menunjukkan indikasi bahwa penyerang menyewa klaster komputasi performa tinggi dari sebuah perusahaan Generative AI (GenAI). Penyerang dilaporkan menyewa 36 GPU kelas perusahaan (enterprise-class)—kapasitas yang sangat besar dan umumnya melebihi infrastruktur AI internal milik organisasi skala besar. Alih-alih digunakan untuk pelatihan model kecerdasan buatan, puluhan GPU bertenaga tinggi tersebut dialokasikan sepenuhnya untuk menjalankan proses pembongkaran kata sandi massal secara instan.

Selain melalui metode sniffing lalu lintas jaringan, para penyerang juga diketahui mengunduh file konfigurasi dari perangkat FortiGate yang kompromi untuk mengambil salinan hash kata sandi yang tersimpan di dalamnya, lalu memecahkannya menggunakan metode performa tinggi yang sama.