Dunia keamanan siber tengah digemparkan oleh kampanye peretasan masif yang menargetkan puluhan ribu firewall dan VPN Fortinet yang digunakan oleh perusahaan-perusahaan besar secara global. Laporan terbaru dari firma keamanan siber Hudson Rock dan SOCRadar mengungkapkan bahwa serangan yang dijuluki sebagai 'FortiBleed' ini telah berhasil mengompromikan infrastruktur kritis milik berbagai entitas bisnis dan pemerintahan di berbagai negara.
Berbeda dengan serangan siber pada umumnya yang sering memanfaatkan celah keamanan perangkat lunak (zero-day vulnerabilities), kampanye ini justru mengandalkan metode yang lebih mendasar namun sangat efektif. Para peretas dilaporkan menggunakan daftar kredensial atau kata sandi yang telah bocor sebelumnya untuk mengakses perangkat yang tidak memperbarui kata sandi admin mereka. Dengan menggunakan alat otomatisasi, pelaku memindai internet untuk mencari firewall Fortinet yang rentan dan kemudian melakukan penetrasi menggunakan kredensial yang sudah mereka miliki.
Setelah berhasil masuk ke dalam sistem, peretas tidak sekadar berhenti di sana. Perangkat yang telah dikompromikan tersebut kemudian difungsikan sebagai 'pos pemantau' untuk menyadap lalu lintas data yang melintas. Strategi ini memungkinkan pelaku untuk mencuri lebih banyak kredensial tambahan yang mengalir di jaringan, yang kemudian digunakan kembali untuk memperluas jangkauan serangan ke perangkat lainnya. Fenomena ini menciptakan siklus serangan yang terus berkembang dan menyulitkan proses mitigasi.
Data dari Hudson Rock menunjukkan bahwa lebih dari 73.000 URL unik Fortinet telah terdampak, sementara SOCRadar mengestimasi jumlah perangkat yang disusupi mencapai lebih dari 30.000 unit. Beberapa nama besar yang disebut-sebut masuk dalam daftar korban meliputi Accenture, Comcast, Foxconn, Lenovo, Oracle, Samsung, Siemens, dan PwC. Meskipun beberapa perusahaan telah dihubungi untuk memberikan klarifikasi, sebagian besar belum memberikan respons resmi terkait insiden ini.
Secara geografis, India, Amerika Serikat, Taiwan, dan Meksiko tercatat sebagai wilayah dengan jumlah perangkat terdampak paling tinggi. Namun, laporan menegaskan bahwa serangan ini bersifat global dan menyentuh berbagai sektor industri, mulai dari layanan TI, konstruksi, hingga telekomunikasi dan instansi pemerintah. Berdasarkan pola serangan dan data yang ditemukan, para peneliti keamanan siber menduga kuat bahwa kelompok di balik aksi ini merupakan aktor peretas yang menggunakan bahasa Rusia.
Temuan ini pertama kali dilaporkan oleh peneliti keamanan Bob Diachenko dan kemudian diverifikasi keasliannya oleh pakar keamanan Kevin Beaumont. Kasus ini menjadi pengingat keras bagi perusahaan di seluruh dunia tentang pentingnya praktik kebersihan siber (cyber hygiene) yang disiplin. Mengganti kata sandi secara berkala dan memastikan kredensial sistem sensitif yang terekspos ke internet tidak menggunakan data yang sudah bocor adalah langkah krusial untuk mencegah eksploitasi oleh pihak yang tidak bertanggung jawab.