หน้าแรก Security Data Leak แฮ็กเกอร์ Belsen Group แอบปล่อยข้อมูลอุปกรณ์ FortiGate กว่า 15,000 เครื่องบนดาร์กเว็บ

แฮ็กเกอร์ Belsen Group แอบปล่อยข้อมูลอุปกรณ์ FortiGate กว่า 15,000 เครื่องบนดาร์กเว็บ

กลุ่มแฮ็กเกอร์ใหม่ชื่อ “Belsen Group” ได้เปิดเผยข้อมูลสำคัญของอุปกรณ์ FortiGate กว่า 15,000 เครื่องบนดาร์กเว็บ ซึ่งรวมถึงไฟล์คอนฟิกูเรชัน ที่อยู่ IP และข้อมูลการเข้าถึง VPN สำหรับใช้โดยอาชญากรไซเบอร์กลุ่มอื่นๆ ข้อมูลนี้มีมูลค่าสูง เนื่องจากเป็นการเปิดเผยข้อมูลทางเทคนิคที่ละเอียดอ่อน

ข้อมูลที่รั่วไหลมาในรูปแบบไฟล์ขนาด 1.6 GB ที่จัดเรียงตามประเทศ โดยในแต่ละประเทศจะมีโฟลเดอร์ย่อยสำหรับที่อยู่ IP ของ FortiGate แต่ละเครื่อง ซึ่งในแต่ละไฟล์ยังมีข้อมูลที่เป็นอันตราย เช่น รหัสผ่านในรูปแบบข้อความธรรมดา รวมถึงกุญแจส่วนตัวและกฎของไฟร์วอลล์

กลุ่ม Belsen Group ซึ่งปรากฏตัวครั้งแรกในเดือนนี้ ได้เปิดเผยข้อมูลดังกล่าวผ่านเว็บไซต์บน Tor เพื่อโปรโมตกลุ่มของตนเอง โดยในโพสต์ฟอรัมแฮ็กเกอร์ พวกเขาได้ประกาศว่า การรั่วไหลนี้เป็นการดำเนินการอย่างเป็นทางการครั้งแรกของกลุ่ม และข้อมูลที่เผยแพร่ได้แก่ข้อมูลที่สำคัญจากกว่า 15,000 เป้าหมายทั่วโลก ซึ่งรวมถึงทั้งภาครัฐและเอกชน

Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ได้ระบุว่า การรั่วไหลของข้อมูลนี้เชื่อมโยงกับช่องโหว่ zero-day CVE-2022–40684 ที่ถูกโจมตีก่อนที่จะมีการออกแพตช์แก้ไข โดยเขาได้ทำการตรวจสอบอุปกรณ์ขององค์กรที่ถูกโจมตี และยืนยันว่า การใช้ประโยชน์จากช่องโหว่นี้เป็นการโจมตีที่ใช้ช่องโหว่ CVE-2022–40684 นอกจากนี้เขายังสามารถยืนยันได้ว่า ชื่อผู้ใช้งานและรหัสผ่านที่พบในข้อมูลที่รั่วไหลตรงกับรายละเอียดที่พบในอุปกรณ์จริง

รายงานระบุว่าอุปกรณ์ทั้งหมดที่ได้รับผลกระทบถูกติดตั้ง FortiOS เวอร์ชัน 7.0.0-7.0.6 หรือ 7.2.0-7.2.2 โดยส่วนใหญ่อยู่ที่เวอร์ชัน 7.2.0 และไม่มีการพบเวอร์ชันใหม่กว่านี้ในชุดข้อมูลที่ถูกรวบรวมไว้ ซึ่งเวอร์ชัน 7.2.2 ถูกปล่อยออกมาเมื่อวันที่ 3 ตุลาคม 2022

จากข้อมูลที่เปิดเผยพบว่า ชุดข้อมูลเหล่านี้น่าจะถูกรวบรวมในเดือนตุลาคม 2022 ซึ่งตรงกับช่วงเวลาที่เกิดช่องโหว่ Zero Day อย่างไรก็ตาม ข้อมูลการตั้งค่าเหล่านี้เพิ่งถูกปล่อยออกมาในวันนี้ หลังจากผ่านไปกว่า 2 ปี

ย้อนกลับไปในปี 2022 บริษัท Fortinet ได้ออกคำเตือนเกี่ยวกับการโจมตีจากผู้ไม่ประสงค์ดีที่ใช้ช่องโหว่ Zero Day โดยช่องโหว่นี้ได้รับรหัส CVE-2022-40684 โดยผู้โจมตีได้ดาวน์โหลดไฟล์การตั้งค่าจากอุปกรณ์ FortiGate ที่เป็นเป้าหมาย จากนั้นเพิ่มบัญชีผู้ดูแลระบบ (super_admin) ที่เป็นอันตรายชื่อ “fortigate-tech-support” เข้ามา

การรั่วไหลของข้อมูลในครั้งนี้เป็นการเตือนให้ผู้ใช้งาน FortiGate ทั่วโลกระมัดระวัง และเร่งดำเนินการแก้ไขช่องโหว่ที่มีอยู่เพื่อป้องกันการโจมตีจากอาชญากรไซเบอร์ที่อาจเกิดขึ้นในอนาคต

อ่านเพิ่มเติมที่นี่ – BPC

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน

ฟอร์ติเน็ต เปิดตัวโซลูชันป้องกันภัยคุกคามขั้นสูงบน AWS Marketplace เป็นรายแรกในไทย

ม.สวนดุสิต จับมือ ฟอร์ติเน็ต เปิดหลักสูตรความมั่นคงปลอดภัยทางไซเบอร์

แฮ็กเกอร์โจมตีไฟร์วอลล์ Palo Alto Networks ผ่านช่องโหว่อันตราย

พบช่องโหว่ร้ายแรงใน SonicWall SSLVPN กว่า 25,000 เครื่อง เสี่ยงตกเป็นเป้าหมายของแฮกเกอร์

Palo Alto Networks เตือน! ช่องโหว่ CVE-2024-3393 เสี่ยงทำให้ไฟร์วอลล์หยุดทำงาน

ฟอร์ติเน็ตเปิดเผยช่องโหว่ร้ายแรงใน FortiWLM เสี่ยงถูกโจมตีจากระยะไกล

ฟอร์ติเน็ต เผย รายงานช่องว่างด้านทักษะประจำปี พบความการละเมิดความปลอดภัยทางไซเบอร์ และการขาดทักษะ

ดาวน์โหลดฟรี : SafeLine โซลูชั่น Web Application Firewall (WAF) แบบโอเพ่นซอร์ส

Fortinet เตือนพบช่องโหว่ร้ายแรงใหม่ใน FortiManager และถูกนำไปใช้ในการโจมตีด้วย