Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet

0
22

Проблема для стройств Fortinet

Реквизиты доступа примерно к 500 тыс. VPN-устройств производства Fortinet оказались в общем доступе на русскоязычном хакерском форуме. Базу выложила шифровальная кибергруппировка Groove, за которой предположительно стоят операторы распавшейся группы Babuk.

Реквизиты доступа были собраны, по-видимому, в течение последних нескольких месяцев; перед публикацией, как утверждают злоумышленники, все реквизиты были проверены на «валидность» и на то, что точки доступа «пропатчены».

Для получения этих данных злоумышленники использовали уязвимость CVE-2018-13379 в операционной системе FortiOS, на которой работают устройства серии Fortigate.

Эта уязвимость класса Path Traversal (обход пути) позволяла неавторизованным злоумышленникам скачивать системные файлы, используя специально подготовленные HTTP-запросы.

Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet

Злоумышленник оставил беззащитными полмиллиона VPN-устройств Fortinet

Различные злоумышленники использовали эту и две другие уязвимости в FortiOS (CVE-2019-5591 и CVE-2020-12812) с весны 2021 г. Эксплуатировали их настолько интенсивно, что ФБР и CISA (Агентство по безопасности цифровой инфраструктуры США) в начале апреля 2021 г. выпустили специальное предупреждение о кампаниях атак против устройств Fortinet.

Таким образом, сама по себе публикация этих данных оказывается весьма серьезным и опасным инцидентом.

В даркнете говорят по-русски

Как отмечается в материале издания Security Affairs, представитель группировки Groove, который опубликовал 7,5-мегабайтный архив скомпрометированных реквизитов, носит тот же псевдоним SongBird, что и бывший оператор группировки Babuk и заодно администратор хакерского форума RAMP, специализирующегося на шифровальщиках. В материале BleepingComputer его называют иначе — Orange, хотя и там он назван экс-участником Babuk и администратором RAMP.

RAMP был создан после того, как другие хакерские форумы, в частности, XSS, RAID и Exploit в мае 2021 г. запретили у себя всякие упоминания шифровальщиков-вымогателей.

ЧИТАТЬ ТАКЖЕ:  В библиотеке OpenSSL найден тривиальный баг, который стал «проблемой для большей части интернета»

Это произошло после успешной атаки со стороны шифрогруппировки Darkside на крупный американский трубопровод Colonial Pipeline. Следствием этого инцидента стали перебои с поставками топлива в некоторых штатах США.

Какие технологии помогут разработчикам цифровизировать Москву Инновации и стартапы

Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet

Испугавшись лишнего шума самые популярные хакерские форумы перекрыли у себя все обсуждения шифровальщиков-вымогателей. RAMP же наоборот объявил, что на этом форуме будут рады другим шифрогруппировкам.

Вскоре после этого неизвестные начали бомбардировать форум порнографией, требуя $5 тыс. за прекращение этой деятельности.

Как отмечается в публикации компании Advanced Intel, Song Bird опубликовал на форуме RAMP большое открытое письмо, где заявил, что реквизиты VPN-устройств Fortinet были выложены в ответ на недавнюю утечку предполагаемых исходников (которые осуществил другой бывший участник группировки Babuk).

Среди прочего, автор письма заявил, что связи между группировками DarkSide и BlackMatter на самом деле нет, и что BlackMatter просто использовала исходный код, выкупленный у кого-то из партнеров DarkSide.

Ранее несколько экспертов по информационной безопасности утверждали, что DarkSide просто переименовалась в BlackMatter и продолжает деятельность под новым наименованием.

«По всей видимости, злоумышленники выложили реквизиты к устройствам, на которые были установлены патчи к весенним уязвимостям, но при этом логины и пароли остались прежними, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Service. — Владельцы этих устройств, очевидно, даже не догадываются, что уже были скомпрометированы и не ожидают атак».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь