أفادت تقارير أمنية حديثة أن وسيط وصول أولي ناطق بالروسية يقف وراء حملة ضخمة لجمع بيانات الاعتماد أُطلق عليها اسم FortiBleed، استهدفت أكثر من 430 ألف جهاز FortiGate حول العالم منذ فبراير 2026. الحملة اعتمدت على قوائم بيانات اعتماد مسربة، البحث عن خدمات مكشوفة، تنفيذ هجمات تخمين كلمات المرور، ثم نشر أدوات مخصصة لالتقاط بيانات المرور على الأجهزة المخترقة. ووفقًا لتقرير SOCRadar، فإن هذه الأدوات قادرة على التقاط كلمات المرور بصيغتها النصية أو المشفرة، ليتم لاحقًا كسرها وإعادة استخدامها ضد نطاقات Active Directory وخدمات أخرى.
أدوات وتقنيات متقدمة
المكون الرئيس في العملية هو أداة مكتوبة بلغة Golang تُعرف باسم FortigateSniffer، تستغل أوامر التشخيص المدمجة في نظام FortiOS لاعتراض حركة المرور ومراقبة 24 بروتوكولًا مختلفًا، بما في ذلك Kerberos وLDAP وSMB وRADIUS. كما يُعتقد أن المهاجمين استعانوا بمنصات مفتوحة المصدر مثل CyberStrike وCyberStrikeAI لدعم سير العمل، خاصة في عمليات المسح الآلي واسعة النطاق. اللافت أن الحملة لم تقتصر على أجهزة Fortinet، بل شملت أيضًا استهداف أجهزة Synology NAS، وجدران Sophos، وبوابات RDWeb، وSSL-VPN الخاصة بـ Citrix، إضافة إلى خوادم MS-SQL، باستخدام هجمات تخمين جماعية منذ فبراير 2026.
حجم الاختراق وأهدافه
بين 31 مايو و15 يونيو 2026، أطلق المهاجمون ما لا يقل عن 659 خط أنابيب لجمع بيانات الاعتماد، نتج عنها استخراج أكثر من 110 مليون بيانات اعتماد، منها:
- 14.8 مليون بيانات اعتماد RADIUS
- 924 ألف تجزئة NTLM
- 130 ألف تجزئة Kerberos
- 89 مليون رمز مصادقة MySQL
التقارير تشير إلى أن التركيز الأكبر كان على الشركات الصغيرة والمتوسطة، خصوصًا في الولايات المتحدة والهند، مع استهداف قطاع خدمات تكنولوجيا المعلومات لفتح مسارات وصول إلى بيئات العملاء.
البنية والهندسة التشغيلية
الحملة اتسمت بانضباط هندسي واضح؛ حيث تُدار عبر دورات زمنية مدتها 300 دقيقة، مع آلاف الخيوط المتزامنة للتحقق من بيانات الاعتماد. كما استخدم المهاجمون أدوات مثل Hashcat وHashtopolis لكسر كلمات المرور، بإدارة آلية عبر بوت على تطبيق Telegram يُعرف باسم HASHBOT. الأدوات تضمنت أيضًا آليات تصفية جغرافية تحدد نطاقات IP المستهدفة وتقيّد النشاط بين السابعة صباحًا والسادسة مساءً بتوقيت موسكو، ما يعكس تخطيطًا دقيقًا لتجنب الرصد. الأكثر إثارة للجدل أن بعض بيانات الاعتماد ظهرت متكررة عبر آلاف الأجهزة، ما يثير احتمال أن تكون حسابات مزروعة عمدًا كأبواب خلفية.































