Спецпроекты

Безопасность Техника

Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств Fortinet

Администратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.

Проблема для стройств Fortinet

Реквизиты доступа примерно к 500 тыс. VPN-устройств производства Fortinet оказались в общем доступе на русскоязычном хакерском форуме. Базу выложила шифровальная кибергруппировка Groove, за которой предположительно стоят операторы распавшейся группы Babuk.

Реквизиты доступа были собраны, по-видимому, в течение последних нескольких месяцев; перед публикацией, как утверждают злоумышленники, все реквизиты были проверены на «валидность» и на то, что точки доступа «пропатчены».

Для получения этих данных злоумышленники использовали уязвимость CVE-2018-13379 в операционной системе FortiOS, на которой работают устройства серии Fortigate.

Эта уязвимость класса Path Traversal (обход пути) позволяла неавторизованным злоумышленникам скачивать системные файлы, используя специально подготовленные HTTP-запросы.

Злоумышленник оставил беззащитными полмиллиона VPN-устройств Fortinet

Различные злоумышленники использовали эту и две другие уязвимости в FortiOS (CVE-2019-5591 и CVE-2020-12812) с весны 2021 г. Эксплуатировали их настолько интенсивно, что ФБР и CISA (Агентство по безопасности цифровой инфраструктуры США) в начале апреля 2021 г. выпустили специальное предупреждение о кампаниях атак против устройств Fortinet.

Таким образом, сама по себе публикация этих данных оказывается весьма серьезным и опасным инцидентом.

В даркнете говорят по-русски

Как отмечается в материале издания Security Affairs, представитель группировки Groove, который опубликовал 7,5-мегабайтный архив скомпрометированных реквизитов, носит тот же псевдоним SongBird, что и бывший оператор группировки Babuk и заодно администратор хакерского форума RAMP, специализирующегося на шифровальщиках. В материале BleepingComputer его называют иначе — Orange, хотя и там он назван экс-участником Babuk и администратором RAMP.

RAMP был создан после того, как другие хакерские форумы, в частности, XSS, RAID и Exploit в мае 2021 г. запретили у себя всякие упоминания шифровальщиков-вымогателей.

Это произошло после успешной атаки со стороны шифрогруппировки Darkside на крупный американский трубопровод Colonial Pipeline. Следствием этого инцидента стали перебои с поставками топлива в некоторых штатах США.

Испугавшись лишнего шума самые популярные хакерские форумы перекрыли у себя все обсуждения шифровальщиков-вымогателей. RAMP же наоборот объявил, что на этом форуме будут рады другим шифрогруппировкам.

Вскоре после этого неизвестные начали бомбардировать форум порнографией, требуя $5 тыс. за прекращение этой деятельности.

Как отмечается в публикации компании Advanced Intel, Song Bird опубликовал на форуме RAMP большое открытое письмо, где заявил, что реквизиты VPN-устройств Fortinet были выложены в ответ на недавнюю утечку предполагаемых исходников (которые осуществил другой бывший участник группировки Babuk).

Среди прочего, автор письма заявил, что связи между группировками DarkSide и BlackMatter на самом деле нет, и что BlackMatter просто использовала исходный код, выкупленный у кого-то из партнеров DarkSide.

Ранее несколько экспертов по информационной безопасности утверждали, что DarkSide просто переименовалась в BlackMatter и продолжает деятельность под новым наименованием.

«По всей видимости, злоумышленники выложили реквизиты к устройствам, на которые были установлены патчи к весенним уязвимостям, но при этом логины и пароли остались прежними, — полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Service. — Владельцы этих устройств, очевидно, даже не догадываются, что уже были скомпрометированы и не ожидают атак».

Роман Георгиев

Короткая ссылка