Un nuevo actor de amenaza, denominado Belsen Group, se atribuyó la acción. Los datos fueron dispuestos gratuitamente y la finalidad de la filtración fue para promoverse. Los datos filtrados corresponden a redes gubernamentales y privadas.
Un archivo de 1.6 GB que contiene configuraciones, direcciones IP y contraseñas de más de 15 mil dispositivos FortiGate fue filtrado de manera gratuita en la dark web por un nuevo grupo cibercriminal denominado Belsen Group.
La información, organizada en carpetas por país y por dirección IP, revela datos sensibles como claves privadas y reglas de firewall
Kevin Beaumont, un especialista en ciberseguridad, analizó la información filtrada y publicó en su blog personal que los atacantes explotaron una vulnerabilidad de hace un poco más de dos años, identificada como CVE-2022–40684, que fue explotada antes de que se lanzara un parche. «Los datos parecen haber sido ensamblados en octubre de 2022, como parte de una vulnerabilidad de día cero», señaló Beaumont en su blog.
El grupo, que apareció recientemente en foros de cibercrimen y redes sociales, promocionó la filtración como su «primera operación oficial». En un post, explicaron: «Para iniciar el año y solidificar el nombre de nuestro grupo en su memoria, nos enorgullece anunciar nuestra primera operación: la publicación de datos sensibles de más de 15.000 objetivos en todo el mundo».
La noticia ha generado inquietud, ya que, aunque Fortinet corrigió la vulnerabilidad CVE-2022–40684 en la versión 7.2.2 de FortiOS el 3 de octubre de 2022, los datos filtrados muestran dispositivos que aún usaban versiones vulnerables de firmware, como FortiOS 7.0.0-7.0.6 y 7.2.0-7.2.2.
Para los especialista, las configuraciones filtradas todavía representan una amenaza significativa, porque incluyen información sensible, como reglas de firewall y credenciales que, si no se han modificado en su momento, están al alcance otros actores malintenciosos.