Новосозданная группа Belsen выкладывает в сеть архив объемом 1,6 ГБ, который содержит IP-адреса, пароли и другую информацию, предположительно, с устройств FortiGate. Эта информация была получена два года назад с использованием уязвимости нулевого дня.
Чувствительные данные более чем 15,000 устройств FortiGate утекли в сеть. Это произошло после того, как новая киберпреступная группа под названием «Belsen Group» разместила архив на форуме в даркнете в попытке продвинуть свою деятельность и создать себе имя.
Группа утверждает, что данные включают IP-адреса, пароли и конфигурации устройств. Для облегчения анализа информация была классифицирована по странам.
«В начале года, как позитивное начало для нас, и чтобы укрепить имя нашей группы в вашей памяти, мы с гордостью объявляем о нашей первой официальной операции», — так говорится в теме на форуме.
Достоверные, но устаревшие данные
В рамках утечки данных, группа создала специальный сайт в сети Tor, так как архив имеет размер 1,6 ГБ.
«Будут опубликованы чувствительные данные более 15,000 целей по всему миру (как в государственных, так и в частных секторах), которые были взломаны, и данные которых были извлечены,» — отмечается в сообщении.
«И самая большая неожиданность: все эти чувствительные и важные данные абсолютно бесплатны, предлагаются вам как подарок от группы Belsen.»
Различные аналитики безопасности подтвердили, что утечка данных действительно двухлетней давности, но она никогда не была представлена общественности.
Данные были собраны с использованием CVE-2022–40684, пока она еще была уязвимостью нулевого дня. Это касалось FortiOS версий 7.0.0-7.0.6 и 7.2.0-7.2.2.
«Я проводил ликвидацию инцидента на одном устройстве в пострадавшей организации, и эксплуатация действительно проходила через CVE-2022–40684 на основании артефактов на устройстве,» — отметил один из исследователей, Кевин Бомонт, в своем блоге. «Также я смог подтвердить, что имена пользователей и пароли, указанные в дампе, совпадают с данными на устройстве.»
«Данные, как представляется, были собраны в октябре 2022 года, как уязвимость нулевого дня. По какой-то причине свалка данных конфигурации была выпущена только сегодня, спустя чуть более двух лет.»
Источник: TechRadar
