Operasi pencurian kredensial ini pertama kali diendus oleh peneliti keamanan Volodymyr "Bob" Diachenko, yang mengaitkannya dengan kelompok peretas berbahasa Rusia. Dalam analisisnya, kelompok itu mencegat proses autentikasi SSL VPN di perangkat FortiGate, lalu memecahkan hash kata sandi menggunakan kluster 45 GPU yang dikelola lewat platform Hashtopolis. Hasilnya, mereka berhasil menyusup ke direktori Active Directory internal perusahaan korban.
1,16 Miliar Percobaan Kredensial dan 21.632 Domain Terdampak
Perusahaan keamanan Hudson Rock, yang turut menganalisis data curian, menyebutkan bahwa 21.632 domain unik terdampak dalam serangan ini. "Skala pelanggaran ini menyentuh hampir setiap sektor ekonomi global, tanpa terkecuali," tulis Hudson Rock dalam laporannya. Mereka menambahkan bahwa para pelaku telah membangun basis data kredensial kerja yang terverifikasi untuk beberapa perusahaan terbesar di planet ini.
Diachenko melaporkan skala operasi yang mencengangkan: 1,16 miliar percobaan kredensial diluncurkan terhadap 320.777 target perangkat FortiGate. Selain itu, 2,1 miliar percobaan lainnya diarahkan ke 163.650 server MSSQL. Dari semua target itu, setidaknya empat organisasi berhasil dikuasai penuh, termasuk satu kontraktor pertahanan NATO di Turki yang kehilangan dokumen rahasia pertahanan.
Kredensial Terverifikasi, Perangkat dengan Patch Terbaru Ikut Bobol
Pakar keamanan Kevin Beaumont, yang ikut memverifikasi data curian, menegaskan bahwa kredensial yang bocor adalah asli. "Saya telah bekerja dengan beberapa organisasi yang tercantum, dan dapat mengonfirmasi bahwa login serta kata sandi tersebut nyata," tulis Beaumont. Ia juga menemukan bahwa banyak perangkat yang disusupi ternyata menjalankan patch keamanan yang relatif baru — artinya, celah yang dieksploitasi bukanlah kerentanan lawas yang sudah ditambal.
Menurut data dari mesin pencari perangkat Shodan, jumlah firewall yang dibobol setara dengan sekitar setengah dari seluruh perangkat Fortinet yang terhubung ke internet secara global. Beaumont juga mencatat bahwa sebagian besar perangkat yang dikompromikan masih tetap online setelah kredensialnya dicuri.
Fortinet Membantah Serangan Baru, Sebut Data dari Insiden Lama
Menanggapi laporan ini, Fortinet mengeluarkan pernyataan yang membantah bahwa serangan tersebut merupakan insiden baru. "Berdasarkan analisis kami, data yang dimaksud adalah penggunaan kembali data dari insiden sebelumnya, serta hasil brute-force kredensial, dan tidak terkait dengan insiden atau imbauan keamanan terkini," kata juru bicara Fortinet kepada The Register. Perusahaan menyarankan organisasi untuk mengikuti praktik terbaik, termasuk memperbarui kredensial keamanan secara rutin.
Namun, pernyataan Fortinet ini kontras dengan temuan Beaumont dan Diachenko yang menyebut perangkat dengan patch terbaru tetap berhasil ditembus. The Register telah menghubungi perusahaan-perusahaan yang disebut terdampak — Lenovo mengatakan sedang menyelidiki, sementara lainnya belum memberikan respons.
Langkah Darurat: Reset Kata Sandi dan Aktifkan MFA Sekarang
Bagi pengguna Fortinet di Indonesia, langkah pertama yang harus segera dilakukan adalah merotasi semua kata sandi yang terkait dengan VPN Fortinet dan antarmuka administrasi. Jangan tunggu konfirmasi dari vendor. Pastikan autentikasi multi-faktor (MFA) diaktifkan di semua titik akses — karena serangan ini membuktikan bahwa kata sandi saja tidak lagi cukup untuk mengamankan perimeter jaringan perusahaan.
