Peneliti keamanan Bob Diachenko dari SecurityDiscovery.com menemukan kebocoran ini setelah berhasil mengakses server komando dan kontrol (C2) milik para peretas. Data yang terekspos tidak hanya berisi kata sandi, tetapi juga informasi sensitif seperti industri, pendapatan tahunan, dan jumlah karyawan dari setiap organisasi yang menjadi korban. Total perangkat yang dibobol mencakup hampir setengah dari seluruh firewall Fortinet yang terhubung ke internet, berdasarkan data pemindaian dari Shodan.
Kredensial Nyata dan Masih Aktif
Peneliti independen Kevin Beaumont mengonfirmasi bahwa hampir semua perangkat yang diretas masih tetap online hingga Rabu pagi waktu setempat. Ia juga memverifikasi langsung dengan beberapa organisasi yang tercatat dalam log peretas bahwa kredensial yang bocor adalah asli dan masih berlaku. "Saya sudah mengonfirmasi dengan beberapa perusahaan bahwa data login yang ada di tangan peretas itu real dan masih dipakai," tulis Beaumont dalam analisisnya.
Yang lebih mengkhawatirkan, setelah berhasil menembus firewall, para peretas tidak berhenti di situ. Mereka kemudian menyusup ke sistem autentikasi terpusat korban, termasuk server Radius dan Microsoft Active Directory. Akses ini memberi mereka kendali yang hampir tak terbatas untuk bergerak lateral di dalam jaringan korban, mencuri data, atau memasang ransomware.
Daftar Korban: Dari Raksasa Teknologi hingga Kontraktor Militer
Data yang bocor mengonfirmasi bahwa target serangan ini mencakup perusahaan-perusahaan paling bernilai di dunia. Oracle, perusahaan perangkat lunak enterprise raksasa, dan Lenovo, produsen PC terbesar di dunia, tercatat dalam daftar. Chevron, salah satu perusahaan energi global, dan Federal Express (FedEx), raksasa logistik, juga menjadi korban. Yang paling sensitif adalah keterlibatan kontraktor pertahanan NATO, yang menunjukkan bahwa serangan ini memiliki implikasi keamanan nasional. Ironisnya, Fortinet sendiri—pembuat firewall yang dieksploitasi—juga tercatat dalam data yang bocor.
Peluang Peretasan Beruntun dan Serangan Ransomware
Kebocoran kredensial dalam skala ini membuka pintu bagi gelombang serangan siber lanjutan. Dengan memiliki akses ke Active Directory dan server autentikasi, peretas dapat menyamar sebagai karyawan sah, menonaktifkan sistem keamanan, dan menyebarkan malware ke seluruh organisasi. Para analis memperingatkan bahwa data yang sudah bocor kemungkinan besar akan digunakan untuk serangan ransomware dalam beberapa pekan ke depan. Organisasi yang terdaftar dalam log peretas kini berada dalam kondisi darurat siber dan harus segera merotasi semua kredensial serta melakukan audit menyeluruh terhadap akses jaringan mereka.
