كشفت تقارير أمنية حديثة عن حملة سيبرانية واسعة النطاق تُعرف باسم FortiBleed، استهدفت أجهزة حماية الشبكات FortiGate حول العالم. وتركزت الحملة على جمع بيانات الاعتماد من الأجهزة والخدمات المكشوفة عبر شبكة الإنترنت، ضمن نشاط يرجح ارتباطه بوسيط وصول أولي يتحدث اللغة الروسية.
ووفقاً للمعطيات التقنية الصادرة يوم الثلاثاء 23 يونيو 2026، شمل الاستهداف أكثر من 430 ألف جهاز FortiGate. وقد اعتمد المهاجمون على قوائم بيانات اعتماد جاهزة، وإجراء عمليات مسح مكثفة للخدمات المتصلة بالإنترنت، فضلاً عن تنفيذ هجمات التخمين، وصولاً إلى نشر أدوات مخصصة لاعتراض حزم البيانات والتقاط معلومات المصادقة المارة عبر الأجهزة المخترقة.
وتعتمد هذه العملية أساساً على أداة مطورة بلغة Golang تُدعى FortigateSniffer، حيث تستغل أوامر التشخيص المدمجة في نظام التشغيل FortiOS لمراقبة حركة المصادقة سلبياً وبشكل غير محسوس. وتمتلك الأداة القدرة على فحص بروتوكولات متعددة، تشمل RADIUS وKerberos وSMB وLDAP وFTP وRDP وMySQL، مما يتيح لها استخراج كلمات المرور أو التجزئات القابلة للكسر وإعادة الاستخدام في اختراقات لاحقة.
وتوضح البيانات الإحصائية أن المهاجمين أداروا ما لا يقل عن 659 خطاً مخصصاً لحصاد بيانات الاعتماد في يومي 31 مايو و15 يونيو 2026، ما أسفر عن تجميع أكثر من 110 ملايين بيان اعتماد. وتضمنت هذه الحصيلة نحو 14.8 مليون سجل لبروتوكول RADIUS، و924 ألف تجزئة NTLM، و130 ألف تجزئة Kerberos، إلى جانب 89 مليون رمز مصادقة خاص بقواعد بيانات MySQL.
ولا تقتصر حملة FortiBleed على منتجات Fortinet فحسب؛ إذ بينت تحليلات شركة SpyCloud أن البنية التحتية للمهاجمين استخدمت أيضاً لاستهداف أجهزة التخزين الشبكي Synology NAS، وجدران الحماية Sophos، وخوادم MSSQL، عبر منهجية قائمة على المسح الشبكي الشامل ومحاولات الولوج المؤتمتة. ورصدت التحليلات مؤشرات تدل على دمج أدوات تطوير مدعومة بالذكاء الاصطناعي، وأطر عمل مفتوحة المصدر مخصصة لاختبار الاختراق ضمن مراحل الهجوم المتتابعة.
وتشير التفاصيل المتاحة إلى أن المهاجمين عمدوا إلى تصنيف الضحايا بناء على قيمتهم الاقتصادية، مع تركيز مكثف على قطاع الشركات الصغيرة والمتوسطة، وبروز قطاع خدمات تقنية المعلومات كأحد أكثر القطاعات استهدافاً. ويضاعف هذا التوجه من حجم المخاطر الأمنية اللاحقة، بالنظر إلى أن اختراق مزودي الخدمات التقنية يمهد الطريق للوصول إلى الشبكات الداخلية لعملائهم.
وفي سياق متصل بالتحقيقات، أفادت تقارير برصد مجموعة أولية من بيانات أجهزة FortiGate شملت 73,932 جهازاً موزعة على 21,632 نطاقاً في 194 دولة. وأوضحت شركة Fortinet، في تعقيب نقلته منصات تقنية، أن هذه البيانات لا تعود إلى خرق أمني حديث أو ثغرة مكتشفة حديثاً، بل تمثل تجميعاً لبيانات مُعاد تدويرها من حوادث أمنية سابقة ومحاولات قديمة لتخمين بيانات الاعتماد.
وتؤكد هذه الحادثة ضرورة الحد من ظهور بوابات الشبكات الافتراضية الخاصة (VPN) وواجهات الإدارة على شبكة الإنترنت المفتوحة، مع إلزامية دورية تغيير كلمات المرور، وتطبيق المصادقة متعددة العوامل، وتحليل سجلات الدخول بانتظام لكشف أي نشاط غير مصرح به داخل دليل النشاط (Active Directory) أو الخوادم الداخلية. ونظراً لأن توظيف أدوات التقاط البيانات يتم على أجهزة الحافة الشبكية، فإن الاكتفاء بتغيير كلمات المرور يظل إجراءً غير كافٍ ما لم يقترن بفحص أمني دقيق وشامل للجهاز المصاب والبنية التحتية المرتبطة به.
