В даркнете опубликованы данные VPN с 15 тыс. устройств FortiGate
Xeriss (unsplash)
Хакерская группа под названием Belsen Group, недавно появившаяся на киберкриминальном горизонте, разместила на своём ресурсе даркнета обширный архив с конфиденциальной информацией, связанной с более чем 15 000 устройств FortiGate. Алексей Леднев, руководитель продуктовой экспертизы PT Expert Security Center, Positive Technologies, рассказал CISOCLUB, как повлияла эта утечка на пользователей продуктов FortiGate из РФ.
Деятельность Belsen Group привлекла внимание киберэкспертов в начале января 2025 года, когда группа активно начала заявлять о себе на профильных форумах и в соцсетях. В качестве демонстрации своих возможностей злоумышленники разработали специальный сайт в сети Tor, где и опубликовали данные в открытом доступе.
По информации, размещённой на их платформе, участники группы называют эту утечку своей первой значимой операцией. Они подчёркивают, что публикация данных направлена на привлечение внимания и повышение их статуса в криминальной среде. Архив, общий размер которого составляет 1,6 ГБ, содержит файлы, распределённые по географическому принципу. Каждая из стран представлена отдельной папкой, внутри которой данные организованы по IP-адресам устройств FortiGate.
Алексей Леднев, руководитель продуктовой экспертизы PT Expert Security Center, Positive Technologies, рассказал CISOCLUB, что многие российские клиенты не ушли с FortiGate на отечественные межсетевые экраны, потому что миграция с одного NGFW на другой — процесс долгий и трудозатратный. Те компании, которые относятся к объектам КИИ, первыми, согласно законодательству, должны перейти на российские решения. Коммерческий бизнес пока может изучить рынок и спланировать переход. Те, кто не относится к объектам КИИ могут продолжать работать на Fortinet как минимум до окончания действия лицензии.
«Согласно зарубежным исследователям, которые изучили утечку, в слитом дампе всего одна потенциально пострадавшая российская компания. Поэтому сотрудникам организации необходимо сменить пароли, так как дамп стал публичным. Однако могут быть по факту и другие компании, которые стали жертвой атаки, поэтому им также стоит поменять пароли, если не делали этого после исправления уязвимости CVE-2022-40684, так как по мнению ресерчеров именно благодаря ей был собран дамп этих данных», — отметил эксперт.
По словам Алексея Леднева, если требуется патчи на устройства FortiGate в России, то самый надежный способ — это харденинг инфраструктуры. Не выставлять систему управления в интернет, чтобы злоумышленники не использовали это как простую точку входа в компанию.
