SOCRadar บริษัทรักษาความปลอดภัยทางไซเบอร์ออกมาเปิดเผยว่า แคมเปญ FortiBleed ที่มุ่งเป้าการโจมตีไปที่อุปกรณ์ Fortinet FortiGate โดยใช้โปรแกรมดักจับข้อมูล Sniffer แบบพิเศษเพื่อแอบเก็บข้อมูลการ authentication จากไฟร์วอลล์ที่ถูกโจมตี และขโมยข้อมูล credentials
รายงานนี้เกิดขึ้นหลังจากการค้นพบแคมเปญ FortiBleed ที่เปิดเผยข้อมูล VPN credentials ของ Fortinet จำนวนมากที่เกี่ยวข้องกับ firewall URLs มากกว่า 80,000 แห่งทั่วโลก
ตามข้อมูลของ SOCRadar แคมเปญการโจมตีดังกล่าว มุ่งเป้าการโจมตีไปที่ FortiGate firewall มากกว่า 430,000 เครื่องทั่วโลก โดยได้ดำเนินการมาอย่างน้อยตั้งแต่เดือนกุมภาพันธ์ 2026
นักวิจัยระบุว่า Hacker ที่อยู่เบื้องหลังแคมเปญนี้ทำหน้าที่เป็น initial access broker (IAB) โดยใช้การโจมตีแบบ credential stuffing, brute-force attacks, credential harvesting และ offline password cracking เพื่อเข้าถึงเครือข่ายขององค์กร
หนึ่งในสิ่งที่นักวิจัยค้นพบคือ การใช้เครื่องมือที่พัฒนาด้วย Golang-based ที่ชื่อว่า "FortigateSniffer" ซึ่งใช้ประโยชน์จากฟังก์ชัน built-in diagnose sniffer packet ของ FortiOS เพื่อดักจับข้อมูลการ authentication ที่ผ่านอุปกรณ์ FortiGate ที่ถูกโจมตี
SOCRadar ระบุว่า เครื่องมือนี้ได้รับการออกแบบมาเพื่อตรวจสอบข้อมูล credential, รหัสผ่านที่เข้ารหัส และการ authentication จากโปรโตคอลต่าง ๆ รวมถึง RADIUS, NTLM, Kerberos และ LDAP
โดยเครื่องมือนี้ได้รับการออกแบบมาเพื่อตรวจสอบข้อมูลใน 24 โปรโตคอล วิเคราะห์ข้อมูลการ authentication และดึงข้อมูล credential จาก network flows
แม้ว่า Fortinet จะเคยให้ข้อมูลกับ BleepingComputer ก่อนหน้านี้ว่า เหตุการณ์นี้เป็นเพียงการรวบรวมข้อมูล credential ที่ถูกโจมตีมาก่อนหน้านี้ ไม่ใช่ช่องโหว่หรือเหตุการณ์ใหม่ แต่รายงานของ SocRadar แสดงให้เห็นถึงแคมเปญการโจมตีที่กำลังดำเนินการอยู่ ซึ่งกำลังโจมตีอุปกรณ์ VPN ของ FortiGate อย่างต่อเนื่อง
การดักจับข้อมูล credential
SOCRadar ระบุว่า Hacker ได้ติดตั้ง credential-harvesting sniffer framework ที่เรียกว่า "FortigateSniffer" บนอุปกรณ์ FortiGate ที่ถูกโจมตี หลังจากที่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบผ่านการโจมตีแบบ Credential Stuffing และ Brute-force ก่อน
มีรายงานว่าเครื่องมือนี้เชื่อมต่อกับอุปกรณ์ FortiGate ผ่าน SSH และเรียกใช้คำสั่ง "diagnose sniffer packet" ของ FortiOS
คำสั่ง "diagnose sniffer packet" เป็นเครื่องมือวินิจฉัยในตัวของ FortiOS ที่ผู้ดูแลระบบใช้ในการแก้ไขปัญหาการเชื่อมต่อ การ authentication และประสิทธิภาพเครือข่าย
คำสั่งนี้ช่วยให้ผู้ดูแลระบบสามารถตรวจสอบการรับส่งข้อมูล network traffic ที่ผ่านไฟร์วอลล์ FortiGate ได้แบบเรียลไทม์ ทำให้มีประโยชน์ในการระบุปัญหา connection failures, routing problems และ authentication errors
คำสั่งนี้ได้รับการกำหนดค่าให้ตรวจสอบการรับส่งข้อมูลสำหรับโปรโตคอลการ authentication และบริการการเข้าถึงแบบ remote รวมถึง Kerberos, LDAP, SMB, RADIUS, RDP, WinRM, Microsoft SQL Server, MySQL, PostgreSQL, SMTP, IMAP, POP3, FTP และ Telnet
รายงานระบุว่า packet data ที่รวบรวมจากอุปกรณ์ FortiGate ได้รับการประมวลผลผ่านส่วนประกอบที่ชื่อว่า "SNIFTRAN" ซึ่งสร้างการรับส่งข้อมูลที่บันทึกไว้ใหม่เป็น PCAP files
จากนั้นข้อมูลที่บันทึกไว้จะถูกแยกวิเคราะห์ผ่าน "PCAP Deep Analysis Toolkit" ที่ใช้ Python-based ซึ่งดึงข้อมูล credentials แบบ cleartext, password hashes, Kerberos tickets, NTLM authentication, email credentials, database credentials และการ authentication อื่น ๆ จากการรับส่งข้อมูล network traffic
ถัดมา ชุดเครื่องมือดังกล่าวสร้างไฟล์ที่พร้อมใช้งานสำหรับ Hashcat ซึ่งมีแฮช NTLM และ Kerberos และดึงข้อมูล credentials แบบ cleartext จากโปรโตคอลต่าง ๆ เช่น SMTP, IMAP, POP3, MySQL และ RADIUS เมื่อมีให้ใช้งาน
ผู้โจมตีอ้างว่าได้ใช้ GPU-based Hashcat password cracking utility ซึ่งทำงานบน distributed GPU cluster เพื่อถอดรหัสข้อมูล credentials ที่ถูก hash ไว้
Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ แนะนำว่า Hacker ยังได้รับข้อมูล credentials ที่ถูก hash โดยการดาวน์โหลด FortiGate configuration files จากอุปกรณ์ที่ถูกโจมตี จากนั้น Hacker ได้ดึงข้อมูล credentials ที่ถูก hash ออกมา และถอดรหัสโดยใช้ Hashcat และ enterprise-class GPUs 36 ตัว เพื่อให้สามารถถอดรหัสผ่านได้ในปริมาณมากอย่างรวดเร็ว
โดยทาง Beaumont ได้เผยแพร่รายชื่อที่อยู่ IP ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้แล้ว และขอให้องค์กรที่ใช้อุปกรณ์ FortiGate ควรตรวจสอบรายชื่อนี้ และตรวจสอบว่าระบบใดของตนตกเป็นเป้าหมาย หรือถูกบุกรุกหรือไม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.