Il Gruppo Belsen ha pubblicato file di configurazione, indirizzi IP e credenziali VPN per 15.000 dispositivi FortiGate sul dark web, consentendo ad altri criminali di accedere facilmente a queste informazioni sensibili.
Il Gruppo Belsen è stato avvistato recentemente sui social network e nei forum di hacking. Per motivi di autopromozione, il gruppo ha creato un sito sulla darknet, dove ha pubblicato un dump gratuito con le informazioni dei dispositivi FortiGate, ora liberamente disponibili ad altri criminali.
“All’inizio dell’anno, e come inizio positivo per noi, e per consolidare il nome del nostro gruppo nella vostra memoria, siamo orgogliosi di annunciare la nostra prima operazione ufficiale: saranno pubblicati dati sensibili di oltre 15.000 obiettivi in tutto il mondo (sia governativi che privati) che sono stati hackerati e i cui dati sono stati estratti”
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’archivio rilasciato da 1,6 GB include cartelle ordinate per paese. All’interno di ciascuna di queste sono presenti sottocartelle contenenti dati per ciascun indirizzo IP FortiGate. Secondo l’esperto di sicurezza Kevin Beaumont, ogni cartella con un indirizzo IP contiene un file Configuration.conf (un dump della configurazione di FortiGate), nonché un file vpn-passwords.txt, in cui alcune password sono scritte in chiaro. I file di configurazione contengono anche dati sensibili, comprese chiavi private e regole del firewall.
Beaumont ritiene che questa fuga di notizie sia legata alla vulnerabilitàzero-day CVE-2022-40684, che è stata attivamente sfruttata dagli aggressori anche prima del rilascio delle patch. “Ho esaminato uno dei dispositivi nell’organizzazione interessata e gli artefatti presenti su di esso indicavano lo sfruttamento di CVE-2022-40684. Ho anche potuto confermare che i nomi utente e le password del dump corrispondevano ai dati del dispositivo”, spiega Beaumont.
I dati raccolti, secondo il ricercatore, risalgono all’ottobre 2022, quando la vulnerabilità è stata attivamente esposta agli attacchi. Il motivo per cui il dump è divenuto pubblico solo ora, più di due anni dopo questi eventi, non è chiaro.
Ricordiamo che nel 2022 Fortinet ha avvertito che gli aggressori stavano utilizzando CVE-2022-40684 per scaricare file di configurazione dai dispositivi FortiGate e creare nuovi account super_admin denominati fortigate-tech-support. Come riportato all’epoca dagli analisti di Heise, la fuga di notizie riguardava dispositivi con versioni FortiOS 7.0.0–7.0.6 e 7.2.0–7.2.2. Allo stesso tempo, in FortiOS 7.2.2 il problema CVE-2022-40684 era già stato risolto, quindi non è del tutto chiaro come siano stati interessati anche i dispositivi di questa versione.
Sebbene la fuga di notizie risalga al 2022, Beaumont avverte che i dati trapelati potrebbero ancora contenere informazioni critiche, comprese regole e credenziali del firewall. L’esperto ha affermato che intende pubblicare un elenco degli indirizzi IP interessati in modo che gli amministratori di FortiGate possano verificare se i loro dispositivi sono presenti in questo elenco.
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
L’Azienda Ospedaliera Antonio Cardarelli di Napoli ha diramato un avviso urgente alla cittadinanza, segnalando una truffa che sta circolando tramite SMS. Numerosi cittadini hanno riportato di a...
E’ giallo relativamente al presunto attacco informatico avvenuto tra le notte del 23 e il 24 giugno in Alto Adige: dalle prime ore di martedì, infatti, si sono registrati problemi diffusi ...
Clamoroso in Francia: smantellata una delle più grandi reti globali di cybercriminalità. Gli hacker di BreachForum erano… francesi. Le autorità francesi hanno sgominato una vasta...
È stata scoperta una pericolosa vulnerabilità nell’ultima versione del popolare editor di testo Notepad++ che consente a un aggressore di ottenere il controllo completo del ...
Gli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vitt...
Redazione
