La cadena de ataque de FortiBleed: de los barridos masivos a la exfiltración DFS
Un informe técnico de SOCRadar, la firma que bautizó la campaña, reconstruye el operativo en cinco fases perfectamente engrasadas. Todo arranca con un rastreo masivo de IPs usando Masscan y una herramienta casera apodada Shodan_Recon para enriquecer los resultados con datos pasivos. El actor, al que los analistas sitúan en algún micro-hoster del este de Europa, filtra los equipos con un binario ligero llamado FortiProbe-fast: sólo le interesan los firewalls FortiGate que respondan de cierta manera.
Después llega el detalle que delata planificación y no simple oportunismo: cruza los objetivos con sus ingresos brutos y asigna recursos de ataque en función de la facturación. No se tira a por todo; elige qué merece la pena exprimir. El acceso inicial combina fuerza bruta SSH, con dieciséis diccionarios creados ex profeso para convenciones de nombres de administradores de FortiGate, y relleno de credenciales contra los portales SSL-VPN.
El corazón técnico es FortigateSniffer, una herramienta escrita en Golang que abusa del comando legítimo diagnose sniffer packet. Se instala sin levantar alarmas y se dedica a capturar tráfico de autenticación en veinticuatro protocolos: Kerberos, NTLM, RADIUS, RDP, LDAP o MSSQL entre otros. Todo lo que huela a credencial pasa por la sonda.
La fase de cracking es un prodigio de eficiencia corsaria. El operador despliega un clúster GPU distribuido gestionado con Hashtopolis, que usa Hashcat como motor y envía los resultados en tiempo real a un administrador único a través de un bot de Telegram. Además alquila capacidad extra en vast.ai para acelerar la rotura de hashes. El movimiento lateral mediante Active Directory y, en al menos el caso confirmado, la exfiltración de copias de seguridad DFS de un contratista de defensa ligado a la OTAN se ejecutan en minutos tras crackear los tickets Kerberos.
FortigateSniffer y la disciplina horaria de Moscú: el arte de la evasión
El sniffer no corre a cualquier hora. Los autores lo configuraron para que sólo esté activo entre las 07:00 y las 18:00 hora de Moscú, un guiño a la cultura laboral de la capital rusa y una maniobra deliberada para fundirse con el tráfico legítimo de oficina. Esta disciplina horaria reduce la probabilidad de que un analista de seguridad detecte patrones anómalos en el SIEM.
La infraestructura de mando y control se apoya en cuatro subredes alojadas en micro-hosters del este europeo con regulación lava: una agrupa los nodos de C2, otra valida credenciales, una tercera despliega sniffer y la cuarta rota proxies. El entorno de pruebas, que los investigadores pudieron cartografiar, corre siete máquinas virtuales Kali Linux bajo QEMU/KVM, endurecidas con reglas IPTables muy restrictivas y pensadas para que múltiples operadores colaboren en sesiones tmux remotas. Los comentarios en las herramientas aparecen en alfabeto cirílico.
El perfil óptimo encaja con un bróker de acceso inicial que vende sus cosechas a grupos de ransomware. La violación de un contratista de defensa de la OTAN cambia el tablero y apunta a una colaboración cuando menos oportunista con actores estatales rusos. No es un APT clásico, pero la frontera entre el bandidaje digital y el espionaje por delegación se emborrona peligrosamente.
Las víctimas son sobre todo pymes: dos tercios tienen menos de 200 empleados y casi el 90% facturan por debajo de cien millones de dólares. La India, Estados Unidos y Taiwán copan un tercio de los dominios afectados. El sector de servicios TI lidera el ranking porque comprometer un proveedor gestionado abre puertas en cascada hacia sus clientes; una decisión de targeting del todo racional.
Dossier Moncloa: Ojos en la Sombra
Veo FortiBleed como un caso de manual sobre cómo la cosecha masiva de credenciales, una técnica vieja, alcanza una escala industrial cuando el actor mezcla sapiencia ofensiva, herramientas a medida y una arquitectura de cracking distribuida. El vector de amenaza es, ante todo, un ciberataque de auto-financiación criminal que, por las víctimas y las consecuencias, roza la banda de una operación de bandera falsa difusa: usted nunca sabe si el que lee sus correos es un mafioso digital o un oficial del GRU.
El atacante es un grupo de origen ruso, probablemente un bróker independiente, pero la intrusión en el contratista de defensa de la OTAN sugiere que alguien en Langley, en Vauxhall Cross o en el CNI debería preguntarse si el SVR o el FSB estaban al tanto y callaron. La parte defensora está fragmentada en miles de organizaciones que ni siquiera son conscientes de que sus firewalls han estado esnifando tráfico desde hace meses. Los terceros que observan son los miembros de los Cinco Ojos, que ya habrán calificado el incidente como un problema de contrainteligencia cibernética de nivel "muy alto".
Desde mi atalaya en Madrid, me consta que el CCN-CERT y el CNI siguen estos informes porque los firewalls FortiGate están presentes en administraciones autonómicas, operadores de infraestructuras críticas y el sector financiero español. Ya advertí en El quinto elemento que en España hay más de 8.000 infraestructuras críticas y que bastaría un clic para iniciar una crisis. FortiBleed es ese clic multiplicado por cuatrocientos mil.
Este es el tipo de campaña que difumina la frontera entre el crimen organizado ruso y el espionaje de Estado. La distinción ya no importa.
Estimo que la clasificación del material sustraído al contratista de la OTAN ronda el nivel Confidencial o Secreto, sobre todo si los backups DFS contenían planos de sistemas de armas o evaluaciones de amenazas. No sería la primera vez que un actor criminal termina convirtiéndose en una mera extensión operativa de los servicios oficiales de su país. El precedente de la filtración de SolarWinds, atribuida al SVR, nos enseñó que la paciencia y la cadena de suministro son armas perfectas; FortiBleed demuestra que con los firewalls de un solo fabricante también se puede construir una plataforma global de espionaje.
Le dejo una recomendación práctica y urgente: si su organización maneja un FortiGate con la interfaz de gestión expuesta a internet, corra a comprobar si sus credenciales figuran en los pipelines de esta campaña. SOCRadar ha publicado un verificador gratuito en esta herramienta de exposición, y le aconsejo que rote ya mismo las claves de VPN y consola administrativa. La campaña sigue activa y el reloj corre.
