Una campagna di compromissione su larga scala ha esposto credenziali in chiaro relative a quasi 74.000 dispositivi Fortinet, aprendo un fronte critico per migliaia di reti aziendali e istituzionali. I dati riguardano firewall distribuiti su oltre 21.000 indirizzi IP in 194 Paesi e includono accessi riconducibili a organizzazioni di primo piano, tra cui Oracle, Chevron, Lenovo, Federal Express, un contractor della difesa collegato alla NATO e la stessa Fortinet.
A individuare l’archivio è stato il ricercatore Bob Diachenko, responsabile di SecurityDiscovery.com, dopo avere ottenuto accesso all’infrastruttura di comando e controllo usata dagli attaccanti. Oltre alle credenziali, il database conteneva informazioni sulle organizzazioni compromesse, come settore industriale, ricavi e numero di dipendenti. Il quadro che emerge è quello di una raccolta strutturata, pensata non solo per entrare nei sistemi, ma anche per classificare il valore potenziale dei bersagli.
La portata del caso è resa ancora più rilevante dal fatto che, secondo il ricercatore indipendente Kevin Beaumont, quasi tutti i dispositivi compromessi risultavano ancora online nella mattina di mercoledì. Beaumont ha inoltre dichiarato di avere verificato con più organizzazioni presenti nei log degli attaccanti che le credenziali erano reali e ancora valide. In molti casi, dopo l’accesso iniziale ai firewall, gli attaccanti sarebbero riusciti a raggiungere sistemi centralizzati di autenticazione, tra cui server Radius e ambienti Microsoft Active Directory.
Il numero dei dispositivi coinvolti corrisponderebbe a circa la metà dei firewall Fortinet esposti su Internet, sulla base di rilevazioni effettuate tramite Shodan. Per le imprese, questo dettaglio è particolarmente importante: il firewall non è un sistema periferico qualunque, ma un punto di controllo al margine della rete, progettato per gestire connessioni dall’esterno e proteggere risorse interne ad alto valore. Quando quel presidio viene trasformato in un punto di osservazione o di ingresso, l’intera architettura di sicurezza può risultare indebolita.
La tecnica descritta dai ricercatori combina automazione massiva e capacità di calcolo dedicate. Gli attaccanti, indicati da Diachenko come motivati da finalità criminali e russofoni, avrebbero iniziato scandagliando Internet alla ricerca di endpoint di login remoto FortiGate. Successivamente avrebbero usato un binario personalizzato con 25.000 thread per provare grandi volumi di combinazioni di login e password. Ogni accesso riuscito forniva loro, nelle parole dei ricercatori, una sorta di presa di rete interna all’organizzazione.
Il passaggio successivo ha riguardato l’intercettazione di hash di autenticazione SSL VPN e il loro cracking tramite un cluster dedicato da 45 GPU, gestito con Hashtopolis. Il sistema non si limitava a una singola lista piatta di password: usava un meccanismo ricorsivo a 12 livelli, con dizionari personalizzati fino a otto parole, pattern comuni da tastiera e regole di cracking che si alimentavano con i risultati riusciti. In pratica, ogni password indovinata diventava materiale per generare nuove ipotesi, migliorando progressivamente l’efficacia dell’attacco.
Hudson Rock, che ha analizzato a sua volta i dati, ha descritto una compromissione capace di toccare quasi ogni settore dell’economia globale. Tra i Paesi con più dispositivi compromessi figurano India, Stati Uniti, Taiwan, Messico, Turchia e Thailandia. I settori più colpiti comprendono servizi IT, materiali da costruzione, telecomunicazioni, ingegneria, apparati industriali e servizi finanziari. Nel database comparivano anche nomi come Foxconn, Samsung, Comcast, Siemens, PwC e Accenture, oltre a migliaia di altre organizzazioni, agenzie governative e fornitori di infrastrutture critiche.
Le conseguenze operative indicate dai ricercatori sono già concrete. Diachenko ha confermato compromissioni complete di reti in Giappone, Taiwan, Vietnam, Iraq e Turchia; il caso più delicato riguarda un contractor turco della difesa collegato alla NATO, dal quale il gruppo avrebbe esfiltrato documenti classificati. La frase con cui Diachenko ha sintetizzato il caso, “la scala è la sofisticazione”, descrive bene il punto: non serve necessariamente una tecnica invisibile quando l’automazione, la persistenza e la disponibilità di credenziali valide trasformano migliaia di firewall in ingressi praticabili.
Per gli utenti Fortinet, l’indicazione condivisa dai ricercatori è immediata: investigare le reti alla ricerca di segni di compromissione, perché i dati sono già stati disponibili a criminali informatici e potenzialmente ad altri attori capaci di recuperarli.