Prima di procedere
Il panorama della sicurezza informatica mondiale sta affrontando una delle sfide più imponenti degli ultimi anni. Una massiccia fuga di dati, identificata dagli esperti con il nome in codice FortiBleed, ha scosso le fondamenta della difesa perimetrale di migliaia di imprese. Secondo le ultime rilevazioni tecniche, un gruppo di criminali informatici è riuscito a ottenere l'accesso non autorizzato a quasi 75.000 dispositivi di sicurezza prodotti da Fortinet, compromettendo le credenziali di accesso di multinazionali leader in 194 Paesi. La portata dell'incidente è tale da aver attirato l'attenzione delle principali agenzie di intelligence, poiché non si tratta di una semplice sottrazione di file, ma della violazione dei 'guardiani' della rete stessa: i firewall FortiGate.
L'indagine, inizialmente partita da testate specializzate come The Register, ha rivelato una lista di vittime che si legge come il 'Who's Who' dell'economia globale. Tra i nomi coinvolti figurano giganti tecnologici e dei servizi come Samsung, FoxConn, Siemens, Lenovo, Oracle, Accenture e PwC, oltre a operatori logistici del calibro di FedEx e colossi delle telecomunicazioni come Comcast. Gli esperti di cybersicurezza, dopo aver analizzato campioni dei dati rubati, hanno confermato l'autenticità delle informazioni. Le credenziali esposte riguardano principalmente gli account associati ai sistemi Fortinet VPN e alle interfacce di gestione remota, strumenti che, se manomessi, garantiscono agli aggressori una porta aperta verso il cuore delle infrastrutture Active Directory delle aziende colpite.
Le radici di questo attacco sembrano riconducibili a una cellula di hacker di lingua russa, secondo quanto dichiarato dal ricercatore Volodymyr 'Bob' Diachenko, il primo a individuare le tracce dell'operazione. La metodologia utilizzata è di una precisione chirurgica e di una potenza bruta impressionante: gli attaccanti hanno intercettato i flussi di autenticazione SSL VPN, utilizzando poi un cluster massiccio composto da 45 acceleratori hardware per decifrare gli hash delle password attraverso la piattaforma Hashtopolis. I numeri diffusi dagli analisti lasciano poco spazio all'immaginazione: sono stati registrati circa 1,16 miliardi di tentativi di accesso forzato contro 320.777 dispositivi FortiGate e oltre 2,1 miliardi di tentativi mirati a 163.650 server Microsoft SQL Server.
L'aspetto più inquietante della vicenda riguarda però la sicurezza nazionale e internazionale. Diachenko ha riportato che almeno quattro sistemi informativi critici sono stati completamente compromessi, inclusa l'infrastruttura di un importante appaltatore della difesa turco legato alla NATO. Da quest'ultima violazione sarebbero stati sottratti documenti riservati relativi a progetti di difesa sensibili, sollevando interrogativi sulla vulnerabilità delle catene di approvvigionamento militare. Anche Kevin Beaumont, un altro autorevole esperto del settore, ha validato l'allarme, sottolineando che molte delle aziende colpite utilizzavano versioni del software FortiOS relativamente recenti, il che suggerisce che gli aggressori abbiano sfruttato una finestra temporale in cui le password non erano state ruotate dopo la scoperta di precedenti vulnerabilità.
In totale, l'attacco ha toccato 21.632 domini unici, coprendo virtualmente ogni settore economico, dall'energia alla finanza, fino alla sanità. Shodan, il motore di ricerca per dispositivi connessi, stima che i dati rubati si riferiscano a circa la metà di tutti i firewall Fortinet attualmente esposti su Internet. Nonostante la gravità della situazione, la risposta ufficiale di Fortinet ha cercato di ridimensionare l'evento, sostenendo che i dati circolanti nel Dark Web siano il risultato di incidenti passati o di attacchi brute-force su account che non seguivano le best practice di sicurezza. Tuttavia, la comunità dei ricercatori avverte che molti di questi dispositivi sono tuttora online e attivi con le medesime credenziali compromesse, rendendo il rischio attuale e immediato.
Per mitigare le conseguenze di FortiBleed, la raccomandazione per gli amministratori di sistema è tassativa: procedere al reset immediato di tutte le password relative alle VPN e alle console di amministrazione Fortinet. È inoltre considerato vitale implementare l'autenticazione a più fattori (MFA), poiché la sola password non è più considerata una barriera sufficiente contro attacchi così strutturati. Al momento, tra le aziende coinvolte, solo Lenovo ha rilasciato una dichiarazione ufficiale confermando l'apertura di un'indagine interna, mentre il resto del mondo industriale rimane in attesa di capire l'entità dei danni collaterali. Questa vicenda sottolinea come, nel 2026, la sicurezza non possa più essere considerata un prodotto statico, ma un processo dinamico che richiede vigilanza costante, rotazione frequente delle chiavi di accesso e un monitoraggio proattivo delle attività sospette sui perimetri di rete.
