حذّر باحثون في الأمن السيبراني من ارتفاع كبير في حركة الهجمات القائمة على الاختراق القسري (Brute-Force) ضد أجهزة Fortinet SSL VPN.
نشاط منسق بمشاركة مئات العناوين
وفقًا لشركة استخبارات التهديدات GreyNoise، تم رصد النشاط المنسق في 3 أغسطس 2025، حيث شارك فيه أكثر من 780 عنوان IP فريد، وتم خلال الـ 24 ساعة الأخيرة فقط اكتشاف 56 عنوان IP جديد، جميعها مصنفة كعناوين خبيثة، مصدرها الولايات المتحدة وكندا وروسيا وهولندا. واستهدفت الهجمات دولًا مثل الولايات المتحدة وهونغ كونغ والبرازيل وإسبانيا واليابان.
استهداف دقيق لأجهزة Fortinet
قالت GreyNoise إن حركة الهجمات كانت تستهدف ملف تعريف FortiOS بشكل مباشر، ما يشير إلى أن الهجوم كان مركزًا وليس عشوائيًا. وأضافت الشركة أن تحليل البيانات كشف عن موجتين رئيسيتين قبل وبعد 5 أغسطس:
-
الموجة الأولى: نشاط اختراق قسري طويل الأمد باستخدام توقيع TCP واحد، ظل ثابتًا نسبيًا مع الوقت.
-
الموجة الثانية: انفجار مفاجئ ومكثف في حجم الهجمات بتوقيع TCP مختلف.
تحول في سلوك المهاجمين نحو FortiManager
بعد 5 أغسطس، لوحظ أن التواقيع الجديدة لم تعد تستهدف FortiOS، بل انتقلت لاستهداف خدمة FortiManager، مما يشير إلى تغيير تكتيكي وربما استخدام نفس البنية التحتية أو أدوات معدلة لاستهداف خدمة أخرى ضمن أنظمة Fortinet.
مؤشرات على اختبار الأدوات في بيئة منزلية
كشف الفحص العميق للبيانات المرتبطة بتوقيعات ما بعد 5 أغسطس عن نشاط سابق في يونيو، حيث تم رصد توقيع عميل فريد يرتبط بجهاز FortiGate على شبكة مزود إنترنت منزلي تديرها شركة Pilot Fiber Inc. وهذا يفتح احتمالين: إما أن أدوات الاختراق جُربت أولًا من شبكة منزلية، أو أنه تم استخدام بروكسي سكني لتنفيذ الهجوم.
ارتباط بين الهجمات والإفصاح عن الثغرات
تأتي هذه التطورات في ظل أنماط متكررة تشير إلى أن موجات النشاط الخبيث غالبًا ما تسبق الكشف عن ثغرات أمنية جديدة (CVE) في التقنية المستهدفة خلال فترة لا تتجاوز ستة أسابيع. ووفق تقرير Early Warning Signals الأخير من GreyNoise، فإن هذا النمط شائع بشكل خاص في تقنيات حافة الشبكة المؤسسية مثل الـ VPN، والجدران النارية، وأدوات الوصول عن بُعد، والتي أصبحت هدفًا مفضلًا لجهات التهديد المتقدمة.
