- El recién formado grupo Belzan filtra un archivo de 1,6 GB
- Contiene direcciones IP, contraseñas y más, supuestamente de dispositivos FortiGate.
- Los datos fueron tomados hace dos años, utilizando un día cero.
Se filtró en línea información confidencial sobre más de 15.000 dispositivos FortiGate después de que un nuevo actor de amenazas que se hace llamar “Grupo Belsen” publicara el archivo en un foro de Internet de Apple en un intento de promover su operación y hacerse un nombre.
El grupo dice que los datos incluyen direcciones IP, contraseñas y configuraciones, y para facilitar el análisis, ha categorizado los objetivos por nombres de países.
“A principios de año, y como un comienzo positivo para nosotros, y para fortalecer el nombre de nuestro grupo en vuestra memoria, estamos orgullosos de anunciar nuestro primer ascenso oficial”, se lee en un hilo del foro.
Datos auténticos, pero antiguos.
Como parte de su esfuerzo de filtración de datos, el grupo creó un sitio Tor dedicado, ya que el archivo tiene un tamaño de 1,6 GB.
“Se publicarán datos confidenciales de más de 15.000 objetivos en todo el mundo (tanto gubernamentales como del sector privado) que han sido violados y sus datos extraídos”, señaló.
“Y la mayor sorpresa: todos estos datos sensibles y cruciales son completamente gratuitos y se los ofrece el Grupo Belzen como regalo”.
Varios analistas de seguridad han confirmado que la violación de datos en realidad tiene dos años, pero nunca se hizo pública.
Los datos se obtuvieron abusando de CVE-2022–40684, cuando todavía era una falla de día cero. Esto afectó a FortiOS 7.0.0-7.0.6 y 7.2.0-7.2.2.
“Estaba respondiendo a incidentes en un dispositivo en una organización víctima, y el exploit se realizó utilizando CVE-2022-40684 basado en artefactos del dispositivo”, dijo uno de los investigadores, Kevin Beaumont, en una publicación de blog. “También pude verificar que los nombres de usuario y contraseñas del volcado coinciden con los detalles del dispositivo”.
“Los datos parecen haber sido recopilados en octubre de 2022, como una vulnerabilidad de día cero. Por alguna razón, el volcado de datos de configuración se publicó hoy, poco más de dos años después”.
a través de pitidocomputadora