Il Gruppo Belsen ha pubblicato file di configurazione, indirizzi IP e credenziali VPN per 15.000 dispositivi FortiGate sul dark web, consentendo ad altri criminali di accedere facilmente a queste informazioni sensibili.
Il Gruppo Belsen è stato avvistato recentemente sui social network e nei forum di hacking. Per motivi di autopromozione, il gruppo ha creato un sito sulla darknet, dove ha pubblicato un dump gratuito con le informazioni dei dispositivi FortiGate, ora liberamente disponibili ad altri criminali.
“All’inizio dell’anno, e come inizio positivo per noi, e per consolidare il nome del nostro gruppo nella vostra memoria, siamo orgogliosi di annunciare la nostra prima operazione ufficiale: saranno pubblicati dati sensibili di oltre 15.000 obiettivi in tutto il mondo (sia governativi che privati) che sono stati hackerati e i cui dati sono stati estratti”
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio. A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’archivio rilasciato da 1,6 GB include cartelle ordinate per paese. All’interno di ciascuna di queste sono presenti sottocartelle contenenti dati per ciascun indirizzo IP FortiGate. Secondo l’esperto di sicurezza Kevin Beaumont, ogni cartella con un indirizzo IP contiene un file Configuration.conf (un dump della configurazione di FortiGate), nonché un file vpn-passwords.txt, in cui alcune password sono scritte in chiaro. I file di configurazione contengono anche dati sensibili, comprese chiavi private e regole del firewall.
Beaumont ritiene che questa fuga di notizie sia legata alla vulnerabilitàzero-day CVE-2022-40684, che è stata attivamente sfruttata dagli aggressori anche prima del rilascio delle patch. “Ho esaminato uno dei dispositivi nell’organizzazione interessata e gli artefatti presenti su di esso indicavano lo sfruttamento di CVE-2022-40684. Ho anche potuto confermare che i nomi utente e le password del dump corrispondevano ai dati del dispositivo”, spiega Beaumont.
I dati raccolti, secondo il ricercatore, risalgono all’ottobre 2022, quando la vulnerabilità è stata attivamente esposta agli attacchi. Il motivo per cui il dump è divenuto pubblico solo ora, più di due anni dopo questi eventi, non è chiaro.
Ricordiamo che nel 2022 Fortinet ha avvertito che gli aggressori stavano utilizzando CVE-2022-40684 per scaricare file di configurazione dai dispositivi FortiGate e creare nuovi account super_admin denominati fortigate-tech-support. Come riportato all’epoca dagli analisti di Heise, la fuga di notizie riguardava dispositivi con versioni FortiOS 7.0.0–7.0.6 e 7.2.0–7.2.2. Allo stesso tempo, in FortiOS 7.2.2 il problema CVE-2022-40684 era già stato risolto, quindi non è del tutto chiaro come siano stati interessati anche i dispositivi di questa versione.
Sebbene la fuga di notizie risalga al 2022, Beaumont avverte che i dati trapelati potrebbero ancora contenere informazioni critiche, comprese regole e credenziali del firewall. L’esperto ha affermato che intende pubblicare un elenco degli indirizzi IP interessati in modo che gli amministratori di FortiGate possano verificare se i loro dispositivi sono presenti in questo elenco.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Negli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...
E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato? Una ...
Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...
Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...
Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...
Redazione
