A Hudson Rock publicou um alerta sobre uma base com credenciais administrativas de 75 mil firewalls Fortinet comprometidos. O volume chama atenção, mas o aspecto mais relevante para equipes técnicas está na metodologia descrita no artigo. O caso mostra como a combinação entre exposição de interface de gerenciamento, roubo de credenciais e movimentação interna continua sendo uma das rotas mais eficazes para comprometer ambientes corporativos.
Segundo o texto, os atacantes não agiram de forma oportunista ou desorganizada. A operação teria seguido um fluxo repetível, com foco em dispositivos de borda expostos à internet e potencial para gerar acesso confiável a redes internas.
Como o ataque teria funcionado
De acordo com a Hudson Rock, a campanha foi associada ao grupo “Belsen Group”. A análise citada no artigo indica que os operadores exploraram firewalls Fortinet expostos para obter arquivos de configuração e, a partir deles, recuperar credenciais administrativas. Em seguida, com acesso válido em mãos, o grupo teria avançado para dentro das redes comprometidas.
O texto atribui um papel importante ao modo como as credenciais estavam armazenadas. Embora a Fortinet tenha reforçado esse processo no início de 2025 com PBKDF2, o artigo afirma que a proteção dependia de um novo login dos administradores após a atualização. Caso isso não ocorresse, muitos dispositivos permaneceriam com hashes antigos em SHA-256 com salt. Além disso, esse cenário teria tornado viável o brute force offline depois da extração dos arquivos de configuração.
A matéria também menciona o uso de uma infraestrutura robusta para cracking, descrita como um cluster com 45 GPUs gerenciado por Hashtopolis. Esse detalhe ajuda a explicar a escala da operação. Em vez de depender apenas de exploração direta em cada alvo, os atacantes poderiam transformar configurações extraídas em credenciais reutilizáveis, acelerando a conversão de exposição em acesso administrativo real.
O que acontece depois do acesso inicial
O ponto mais crítico da metodologia aparece após o login bem-sucedido. Segundo a Hudson Rock, uma vez dentro do perímetro, os operadores pivoteavam para ambientes internos de Active Directory para consolidar persistência. Esse movimento é decisivo porque muda o incidente de um problema isolado no firewall para um risco de comprometimento amplo da rede corporativa.
O artigo afirma que esse método levou a comprometimentos completos em organizações no Japão, Taiwan, Vietnã, Iraque e Turquia. Também cita o caso de uma empresa turca ligada à defesa da OTAN, da qual documentos classificados teriam sido exfiltrados. Como esse ponto vem da própria fonte analisada, ele deve ser tratado como alegação reportada pela Hudson Rock dentro do contexto da pesquisa apresentada.
Outro aspecto relevante é a organização dos dados coletados. O texto diz que a base vazada classificava vítimas por tipo de empresa, receita e país. Por exemplo, esse tipo de estrutura sugere preparo para revenda ou uso operacional por outros atores, algo compatível com a lógica de acesso inicial comercializado no ecossistema de eCrime.
O que esse caso ensina
O FortiBleed reforça que a borda segue sendo uma peça central da defesa. Senhas complexas, sozinhas, não resolvem o problema quando a credencial já foi exposta ou recuperada em texto claro. Além disso, a fonte destaca que interfaces administrativas acessíveis pela internet continuam ampliando desnecessariamente a superfície de ataque.
No recorte geográfico publicado pela Hudson Rock, o Brasil aparece com 1.737 dispositivos afetados, o que coloca o tema em um nível prático para organizações locais. Portanto, a resposta mais coerente não é apenas aplicar patch. Também é necessário revisar a exposição da interface de gerenciamento, forçar nova autenticação administrativa para atualizar o hashing, investigar acessos suspeitos e exigir MFA em todos os pontos de administração externa.
O valor técnico do caso está justamente na clareza da cadeia ofensiva: exposição, extração, cracking, acesso válido e pivot interno. Quando essa sequência funciona, o firewall deixa de ser barreira e passa a ser porta de entrada.
About The Author
