Reklama
  • WIADOMOŚCI

Rosyjski ślad FortiBleed. Jak wyciek loginów uderzył w brytyjskie instytucje

Londyn w Wielkiej Brytanii. Big Ben z motywem haker.
W Wielkiej Brytanii doszło do poważnego incydentu.
Autor. CyberDefence24/Canva

Atak nazwany przez badaczy FortiBleed nie jest zwykłym wyciekiem haseł. To przykład operacji, w której przestępcy wykorzystali słabo zabezpieczone urządzenia brzegowe, stare dane logowania i mechanizm automatycznego sprawdzania haseł. Wszystko po to, aby uzyskać dostęp do brytyjskich systemów rządowych.

Według The Telegraph oraz relacji powtórzonych przez The Gaze, wśród przejętych w ten sposób danych znalazły się loginy pracowników Foreign Office, zagranicznych placówek dyplomatycznych oraz lokalnych władz w Wielkiej Brytanii.

Reklama

Dane wystawione w darknecie za tysiące dolarów

Najważniejsze w tej sprawie jest jednak nie samo słowo „hakerzy”, lecz charakter dostępu, który mogli uzyskać. 

Jak podaje Insurance Business, skradzione dane pracowników Foreign Office i lokalnych samorządów miały być oferowane na forach darknetowych za kwotę sięgającą 60 tys. dolarów, czyli około 44 tys. funtów

Kampania trwała od co najmniej lutego 2026 roku, a liczba skompromitowanych zapór Fortinet na świecie miała przekraczać 80 tys

Równoczesne Narodowe Centrum Cyberbezpieczeństwa (NCSC) wydało pilny alert, potwierdzając atak siłowy na zapory sieciowe i systemy VPN firmy Fortinet. Organizacje zostały poinstruowane, aby przeprowadzić audyt swoich sieci i odizolować wszelkie naruszone urządzenia.

W doniesieniach medialnych pojawiają się konkretne instytucje i lokalizacje. Według UNN, wśród zagrożonych kont miały znaleźć się dane pracowników brytyjskich placówek w Tajlandii i Mauritiusie, a także urzędników lokalnychw Derbyshire i londyńskim Waltham Forest. 

Podobnie opisuje to agencja Anadolu/A News, zastrzegając jednocześnie, że bezpośredni udział rosyjskiego państwanie został jeszcze udowodniony.

Rosyjski ślad

To zastrzeżenie jest kluczowe. W sensie politycznym sprawa natychmiast została opisana jako rosyjski atak, ale w sensie dowodowym obraz jest bardziej złożony. 

The Sun wskazuje, że w infrastrukturze i kodzie operacji miały pojawić się elementy rosyjskojęzyczne, a dostęp do danych miał oferować użytkownik o pseudonimie SantaAd. Jednocześnie ten sam materiał podkreśla, że nie ma publicznego dowodu na bezpośredni udział Rosji jako państwa.

Atak FortiBleed może być rosyjski w trzech różnych znaczeniach. 

Po pierwsze, może oznaczać operację prowadzoną przez rosyjskojęzyczne środowisko cyberprzestępcze. 

Po drugie, może być działaniem grupy ransomware korzystającej z rosyjskiej infrastruktury, języka, forów i tolerancji państwa rosyjskiego. 

Po trzecie, może wpisywać się w szerszy model działań, w którym rosyjskie służby nie muszą same wykonywać każdego ataku, lecz korzystają z efektów działalności przestępców, pośredników i grup proxy. 

Także Recorded Future w swej analizie pisze ostrożnie o „rosyjskojęzycznej grupie”, wskazując jednocześnie, że skala, wybór celów i obecność podmiotów z sektora rządowego, infrastruktury krytycznej oraz obronnego podnoszą prawdopodobieństwo celów szpiegowskich obok zwykłej monetyzacji dostępu.

Reklama

Hakerzy nie musieli łamać drzwi. Wystarczył brak higieny cyfrowej

Technicznie nie była to operacja oparta wyłącznie na jednym spektakularnym włamaniu. 

National Cyber Security Centre w swym oficjalnym alercie potwierdziło, że urządzenia Fortinet — zapory sieciowe i bramy VPN — były celem globalnej kampanii, a baza danych uwierzytelniających wyciekła po próbach brute force, atakach słownikowych i credential stuffing, czyli wykorzystywaniu haseł skradzionych wcześniej z innych serwisów.

Oznacza to, że głównym problemem nie musiała być jedna nowa luka techniczna, lecz połączenie kilku zaniedbań: wystawionych do internetu interfejsów administracyjnych, ponownie używanych haseł, braku wieloskładnikowego uwierzytelniania i opóźnionej reakcji na wcześniejsze wycieki. 

Sama firma  Fortinet z racji, że atak dotyczył właśnie urządzeń FortiGate przez nią produkowanych, podkreśla, iż według wstępnej oceny nie chodzi o nową podatność ani o świeży incydent produktowy, lecz o ponowne wykorzystanie danych z wcześniejszych incydentów i techniki brute force wobec urządzeń ze słabą higieną haseł i bez MFA.

Od routera do paraliżu szpitali

Skala problemu wynika z tego, że urządzenia brzegowe są bramą do całej organizacji. Kiedy napastnik uzyskuje dostęp do zapory sieciowej lub bramy VPN, nie zdobywa jedynie pojedynczej skrzynki pocztowej, lecz możliwość obserwowania ruchu, przejmowania kolejnych danych logowania, zakładania kont, modyfikowania konfiguracji i szukania drogi do systemów wewnętrznych. 

Z tej racji Kudelski Security Research Center opisuje ten mechanizm jako cykl: skanowanie internetu, testowanie wcześniej wyciekłych danych, przejmowanie urządzeń, zbieranie kolejnych danych uwierzytelniających i ruch boczny w kierunku systemów wewnętrznych, w tym Active Directory.

W tym sensie FortiBleed jest groźniejszy niż zwykła lista haseł. Jak wskazuje SOCRadar w swej analizie, badacze mieli zidentyfikować 86 644 zainfekowanych urządzeń w 194 państwach, ponad 22 tys. domen oraz ponad 80 tys. unikalnych adresów IP

Według SOCRadar dane nie miały być przypadkowymi zgadywankami, lecz zweryfikowanymi, działającymi loginami i hasłami testowanymi przez atakujących automatycznie.

Dla Wielkiej Brytanii szczególnie niebezpieczny jest profil ofiar. Zdaniem The Gaze zagrożone miały być nie tylko konta urzędników państwowych i dyplomatycznych, ale także dane mogące prowadzić do systemów związanych z NHS, dostawcami energii i firmami farmaceutycznymi. 

Reklama

To przesuwa sprawę z poziomu cyberincydentu administracyjnego na poziom bezpieczeństwa państwa, ponieważ podobny dostęp może zostać wykorzystany do szantażu, sabotażu, ransomware albo przygotowania operacji wywiadowczej.

Ryzyko dla ochrony zdrowia nie jest abstrakcyjne. Insurance Business, powołując się na wypowiedź byłego lekarza NHS i eksperta cyberbezpieczeństwa Saifa Abeda dla The Telegraph, wskazuje, że organizacje NHS, apteki, laboratoria i dostawcy leków są silnie zależne od systemów podobnych do tych, które zostały dotknięte FortiBleed

Abed ostrzegał, że taki atak może być pierwszym etapem większej operacji ransomware, której skutki mogłyby uderzyć w bezpieczeństwo pacjentów.

Najbardziej niepokojące jest to, że napastnicy nie muszą natychmiast wykorzystywać wszystkich zdobytych dostępów. 

Dane logowania mogą być sprzedawane, dzielone, selekcjonowane i łączone z innymi wyciekami. 

Recorded Future podkreśla, że przynajmniej jeden z podmiotów oferujących dane, SantaAd, wyglądał na wiarygodnego sprzedawcę dostępu, podczas gdy inny podmiot mógł próbować jedynie wtórnie szantażować ofiary i wzmacniać panikę wokół incydentu. 

To ważne, bo pokazuje, że po pierwotnym przejęciu danych zaczyna działać rynek wtórny: jedni zdobywają dostęp, inni go odsprzedają, kolejni wykorzystują go do wymuszeń albo operacji wywiadowczych.

W tej sprawie widać również szerszy rosyjski wzorzec działania w cyberprzestrzeni. W kwietniu 2026 roku NCSC ostrzegało przed aktywnością grupy APT28, wiązanej z rosyjskim wywiadem wojskowym, polegającą na przejmowaniu routerów i wykorzystywaniu ich do operacji DNS hijacking, czyli przekierowywania ruchu przez infrastrukturę napastnika w celu kradzieży haseł i tokenów uwierzytelniających.

Reklama

Pilny alert służb

FortiBleed nie musi być więc formalnie tą samą operacją, aby pasował do tego samego modelu. 

Rosyjskie lub rosyjskojęzyczne grupy nie zawsze zaczynają od włamania do serwera ministerstwa, ale od infrastruktury pośredniej: routerów, VPN-ów, zapór sieciowych, kont technicznych, dostawców usług, starych haseł i błędów konfiguracyjnych. 

Z punktu widzenia wywiadu taki dostęp jest cenny, bo pozwala nie tylko ukraść dane, ale także mapować sieci, identyfikować osoby, rozpoznawać procedury i przygotowywać przyszłe uderzenia.

Z tej racji oficjalne zalecenia są tak ostre. NCSC rekomenduje brytyjskim instytucjom korzystającym z Fortinet sprawdzenie, czy ich domeny znajdują się w narzędziach FortiBleed checker, ustalenie, czy urządzenia należą do organizacji, analizę wskaźników kompromitacji, izolowanie urządzeń z oznakami przejęcia, reset do ustawień fabrycznych, wymianę haseł, usunięcie interfejsów zarządzania z internetu i wymuszenie MFA na kontach VPN oraz administracyjnych.

Podobne zalecenia wydał sam Fortinet. Firma rekomenduje zakończenie aktywnych sesji administracyjnych i VPN, reset haseł, wdrożenie MFA, aktualizację do najnowszych wersji oprogramowania, porównanie konfiguracji z wersją znaną jako bezpieczna, szukanie nieautoryzowanych kont oraz ograniczenie zewnętrznego dostępu administracyjnego do urządzeń.

Lekcja dla Zachodu: klucz pozostawiony atakującym

FortiBleed pokazuje, że granica między cyberprzestępczością a operacją bezpieczeństwa państwa uległa zatarciu

Dla sprawców hasła są towarem. Dla grup ransomware — punktem wejścia do szantażu. Dla rosyjskiego ekosystemu cyberoperacji — potencjalnym narzędziem presji, rozpoznania i destabilizacji. 

Nawet jeśli nie ma publicznego dowodu, że za całą operacją stoi bezpośrednio rosyjskie państwo, jej skutki są zgodne z interesem Moskwy: osłabiają zaufanie do zachodnich instytucji, pokazują podatność administracji i infrastruktury krytycznej, a jednocześnie tworzą zasób dostępów, który może zostać użyty później.

Najważniejsza lekcja z FortiBleed nie dotyczy więc samego Fortinetu, lecz całego modelu bezpieczeństwa Zachodu. Państwo może inwestować miliardy w służby, obronę i cyberstrategie, ale jeśli brama VPN pozostaje wystawiona do internetu, hasła są powtarzane, MFA nie działa, a stare wycieki nie wymuszają natychmiastowej rotacji danych uwierzytelniających, przeciwnik nie musi łamać drzwi. Wystarczy, że znajdzie klucz pozostawiony w obiegu.

Reklama
CyberDefence24.pl - Digital EU Ambassador

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama