هجوم FortiBleed: قراصنة ناطقون بالروسية يخترقون حسابات حكومية بريطانية عبر أجهزة Fortinet

في هجوم سيبراني وصف بأنه من بين الأكثر اتساعاً خلال [...]

هجوم FortiBleed: قراصنة ناطقون بالروسية يخترقون حسابات حكومية بريطانية عبر أجهزة Fortinet
بيانات اعتماد مسربة تمنح المهاجمين مفاتيح آلاف الشبكات المؤسسية حول العالم.

في هجوم سيبراني وصف بأنه من بين الأكثر اتساعاً خلال العام، استهدفت مجموعة مهاجمة متعددة المشغلين، ناطقة بالروسية، البنية التحتية الرقمية عبر حملة موسعة أُطلق عليها اسم “FortiBleed”. واعتمدت المجموعة في هجومها على أساليب القوة الغاشمة وحشو بيانات الاعتماد لاختراق جدران الحماية وبوابات الشبكات الافتراضية الخاصة من نوع FortiGate من شركة Fortinet. وقد طال هذا الاختراق جهات حكومية بريطانية، وهيئة الخدمات الصحية الوطنية (NHS)، إلى جانب قطاعات حيوية أخرى. 

وفي هذا السياق، كشفت صحيفة “التلغراف” أن القائمة المسربة تضمنت عناوين بريد إلكتروني وكلمات مرور لموظفين في وزارة الخارجية البريطانية، وفي سفارتي المملكة المتحدة في تايلند وموريشيوس، بالإضافة إلى مجالس محلية في ديربيشاير ووالثام فوريست شرق لندن، حيث عرضت البيانات للبيع في منتديات الويب المظلم مقابل مبالغ تصل إلى 60 ألف دولار (نحو 44 ألف جنيه إسترليني).

وبحسب الباحث الأمني فولوديمير دياتشينكو الذي اكتشف الاختراق أولاً، فإن العملية لا تزال نشطة وتدار من قبل المجموعة التي استخدمت كلمات مرور مسربة من حوادث سابقة لاختراق أجهزة جديدة، ثم حولتها إلى منصات لجمع مزيد من بيانات الدخول. وقامت المجموعة بمعالجة 1.16 مليار محاولة تسجيل دخول استهدفت 320,777 جهاز FortiGate حول العالم، بالإضافة إلى 2.1 مليار محاولة ضد 163,650 خادم MSSQL، وفقاً لتقرير نشره دياتشينكو على منصة LinkedIn. وأكد أن أربع منظمات على الأقل في اليابان وتايوان وفيتنام والعراق وتركيا تعرضت لاختراق كامل، من بينها متعاقد دفاعي تركي تعرضت وثائقه السرية للتسريب.

ويتمثل الخطر الأكبر في أن بيانات الدخول المسربة تفتح الباب أمام هجمات فدية مدمرة تستهدف البنية التحتية الحيوية، بما فيها هيئة الخدمات الصحية الوطنية البريطانية (NHS). وقد حذر الدكتور سيف عابد، الخبير في الأمن السيبراني والطبيب السابق في NHS، من أن منظمات الرعاية الصحية والصيدليات والمختبرات ومزوديها يعتمدون بشكل كبير على منتجات مثل تلك التي اخترقتها حملة FortiBleed، مبيناً أن هذا النوع من الاختراق يمهد لهجمات فدية كارثية تهدد سلامة المرضى.

وفي الثامن عشر من يونيو 2026، أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) تحذيراً عاجلاً أكد فيه أن أجهزة Fortinet تعرضت لهجمات القوة الغاشمة وحشو بيانات الاعتماد. ودعا المركز المؤسسات المعنية إلى التحقق فوراً مما إذا كانت أجهزتها ضمن القائمة المسربة، وعزل الأجهزة المخترقة عن الإنترنت، وإعادة ضبطها إلى إعدادات المصنع إذا تأكد الاختراق. وشددت الإرشادات على وجوب اعتماد المصادقة متعددة العوامل (MFA) وتفعيل خوارزمية PBKDF2 في تخزين كلمات المرور الإدارية، إلى جانب تقليص واجهات الإدارة المعرضة للإنترنت.

من جانبها، أوضحت Fortinet أن الهجمات ليست ناتجة عن ثغرة جديدة في منتجاتها، بل تعود إلى إعادة استخدام لبيانات اعتماد مسربة سابقاً مع ضعف في إعدادات كلمات المرور وغياب للمصادقة متعددة العوامل. وأشارت إلى أنها تعمل على التواصل المباشر مع العملاء المتأثرين، ونصحت بإنهاء جميع جلسات الإدارة وVPN وإعادة تعيين كلمات المرور واعتماد السياسات القوية. كما لفتت إلى ضرورة فحص سجلات الدخول بحثاً عن أي حسابات مشبوهة مثل “forticloud” أو “fortinet-support”.

وأكدت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) بدورها حجم التعرض، مشيرة إلى تسريب ما يقرب من 74 ألف جهاز Fortinet يشمل جدران حماية وبوابات VPN. وتضمنت القائمة، بحسب شركة Hudson Rock، 21,632 نطاقاً فريداً في 194 دولة، من بينها شركات عملاقة مثل Samsung وChevron وComcast وجهات حكومية في قطاعات الاتصالات والرعاية الصحية والمالية. وتركزت أعلى الإصابات في الهند والولايات المتحدة وتايوان والمكسيك وتركيا.

ورغم عدم وجود دليل مباشر على تورط الدولة الروسية في هذه الحملة، فإن الكود الخبيث المستخدم مكتوب بالروسية والمجموعة المقفلة تعمل من داخل روسيا. وكانت مديرة مركز الاتصالات الحكومية البريطانية (GCHQ) آن كيست-بتلر قد حذرت في مايو 2024 من أن روسيا أصبحت تحتضن وتوجه هذه الجهات الفاعلة غير الحكومية ولم تعد تكتفي بتهيئة البيئة المناسبة لعمل مجموعات القرصنة. وفي هذا السياق، يطرح تساؤل حول إمكانية استفادة الكرملين من عمليات من هذا النوع لزعزعة استقرار البنى الرقمية الغربية دون ترك بصمات رسمية واضحة.

وتتراوح تقديرات عدد الأجهزة المخترقة بين مصادر متعددة، إذ تشير أرقام CISA إلى نحو 74 ألفاً، بينما تقول شركة SOCRadar إنها رصدت 86,644 شهادة اعتماد مؤكدة، في حين ذكرت “التلغراف” أكثر من 80 ألف جهاز. ولا تزال التحقيقات جارية لمعرفة النطاق الكامل للاختراق داخل الشبكات الحكومية ومدى احتمال حدوث حركة جانبية إلى أنظمة داخلية أخرى.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى