كشفت شركة SOCRadar عن تفاصيل جديدة حول حملة FortiBleed، مؤكدة أن بيانات الاعتماد المسروقة من أجهزة FortiGate جرى استخدامها بشكل مباشر في عمليات فدية نفذتها مجموعتا INC Ransom وLynx. التقرير أشار إلى أن أحد المشغلين المرتبطين ببنية FortiBleed كان يدير لوحات تفاوض خاصة بالمجموعتين، ما يمثل أول دليل عملي على أن سرقة بيانات الدخول واسعة النطاق تحولت إلى أداة لنشر برمجيات الفدية.
الشركة أوضحت أنها رصدت نشاط مسح ضد نحو 11,250 بوابة FortiGate في أكثر من 150 دولة، تلاه وصول إداري مؤكد إلى 409 أهداف، واكتمال سلسلة الهجوم على 354 منها. وأسفر ذلك عن 12 عملية فدية على الأقل، نتج عنها تشفير مئات الأجهزة الطرفية داخل المؤسسات المتضررة.
آليات الهجوم وأدوات المهاجمين
الحملة التي ظهرت الشهر الماضي اعتمدت على مسح شامل للإنترنت بحثًا عن أجهزة Fortinet المكشوفة، ثم محاولة اختراقها باستخدام مجموعات بيانات اعتماد معروفة. بعد ذلك، نشر المهاجمون أدوات مخصصة لالتقاط الحزم (Packet Sniffers) مكتوبة بلغة Golang، بهدف جمع بيانات الدخول وكلمات المرور من حركة الشبكة بشكل سلبي.
وفقًا للتقديرات، استهدفت الحملة نحو 430,000 جدار ناري من نوع FortiGate حول العالم، وجمعت أكثر من 110 ملايين بيانات اعتماد. وقد تم كشف النشاط بعد خطأ أمني ارتكبه المهاجمون، إذ تركوا خادمًا يحتوي على بيانات اعتماد مسروقة من آلاف الأجهزة مكشوفًا على الإنترنت. وتشير التقديرات إلى أن أداة الالتقاط نُصبت على نحو 12,000 جهاز، وهو جزء من العدد الكلي المستهدف.
خلفيات تنظيمية ودور الوسطاء الروس
التحقيقات أظهرت أن البنية التحتية للحملة تضمنت نحو 200 خادم جديد، أحدها منح رؤية داخلية لملفات وسجلات ووثائق تشغيلية. هذه البيانات كشفت أن العملية منظمة وتضم نحو 20 شخصًا، بينهم نواة صغيرة من مشغلين يقودون الاختراقات عالية التأثير، مدعومين بفريق من المتخصصين والداعمين.
كما أوضحت الأدلة أن النشاط مرتبط بجهة تهديد ناطقة بالروسية تعمل كوسيط وصول أولي (Initial Access Broker)، حيث يبيع هؤلاء بيانات الدخول المسروقة لمجموعات الفدية. القطاعات الأكثر استهدافًا كانت التصنيع والتكنولوجيا واللوجستيات، خصوصًا في أميركا اللاتينية ومنطقة آسيا والمحيط الهادئ.
توسع الاستهداف إلى منصات أخرى
إلى جانب أجهزة Fortinet، رصدت SOCRadar وثائق داخلية تشير إلى وجود قائمة أهداف تضم نحو 29,000 عنوان IP و37 نطاقًا مرتبطًا ببيئات Citrix، ما يوحي بأن البنية التحتية قد تُستخدم مستقبلًا لاستهداف تقنيات وصول عن بُعد أخرى. ورغم عدم وجود دليل قاطع على تنفيذ هجمات واسعة ضد Citrix حتى الآن، إلا أن الخبراء اعتبروا ذلك إنذارًا مبكرًا للمؤسسات بضرورة مراجعة سجلات الدخول، تدوير كلمات المرور، وتفعيل المصادقة متعددة العوامل MFA.
في السياق ذاته، رصدت شركة eSentire استغلال ثغرة في منتج Fortinet FortiClient EMS (CVE-2026-35616) لنشر أداة سرقة بيانات تدعى EKZ Stealer، استهدفت قطاع الطاقة والمرافق والنفايات، وجمعت بيانات اعتماد من متصفحات Chromium وFirefox عبر أوامر PowerShell.






























