Найти в Дзене
CISOCLUB - информационная безопасность
8501 подписчик

Belsen Group и ZeroSevenGroup: Fortinet FortiGate, сходство тактик

4 мин
Оглавление
Источник: www.kelacyber.com
Источник: www.kelacyber.com

Расследование деятельности Belsen Group и ее потенциальной связи с ZeroSevenGroup выявило меняющийся ландшафт киберпреступной активности, связанной с Йеменом. Обе группировки демонстрируют схожие тактики — от бесплатной публикации утечек до последующей монетизации доступа — что требует пристального внимания со стороны специалистów по безопасности и правоохранительных органов.

Краткая сводка ключевых фактов

  • Belsen Group появилась в январе 2025 года; наиболее заметна по утечке 1,6 ГБ данных с более чем 15 000 уязвимых устройств Fortinet FortiGate.
  • Эксплуатация уязвимости осуществлялась с использованием CVE-2022-406841, критической уязвимости обхода аутентификации в брандмауэрах Fortinet.
  • Начальная стратегия Belsen Group включала бесплатное распространение утечек для наработки доверия, затем — попытки продажи доступа к скомпрометированным сетям в Африке, США и Азии.
  • ZeroSevenGroup активна с середины 2024 года; известна множеством компрометаций и массовой утечкой 240 ГБ у американского филиала Toyota.
  • ZeroSevenGroup использовала форумы типа NulledTo и BreachForums, размещая большие наборы данных в облачных сервисах (Terabox, Mega).
  • Аналитика выявила сходства в форматировании сообщений и стилях общения, что указывает на возможное совместное поведение или координацию.

Детали инцидента: Belsen Group

Belsen Group привлекла внимание после публикации 1,6 ГБ конфиденциальных данных, полученных с более чем 15 000 устройств Fortinet FortiGate. Эксплуатация уязвимости CVE-2022-406841 предполагает возможность длительного, «постоянного» доступа к этим устройствам до момента утечки. На первых порах группа распространяла данные бесплатно, чтобы создать репутацию, а затем стала предлагать доступ к скомпрометированным сетям коммерчески. При этом отсутствуют подтверждения, что проданные доступы действительно были использованы третьими лицами.

Коммуникационная инфраструктура группы включала:

  • мессенджеры и протоколы: Tox, XMPP, Telegram;
  • социальные сети и специализированный onion-сайт с описанием деятельности.

Детали инцидента: ZeroSevenGroup

ZeroSevenGroup действует с середины 2024 года и имеет репертуар компрометаций компаний в разных странах. Наиболее заметный кейс — утечка 240 ГБ данных из американского филиала Toyota. Тактика группы включала публикацию небольших выборок бесплатно, чтобы затем выставлять на продажу большие массивы данных, размещая их в облачных хранилищах (Terabox, Mega).

Активность ZeroSevenGroup проявлялась на таких платформах, как NulledTo и BreachForums, где группа целилась в компании ключевых международных рынков, включая Польшу, Израиль и США.

Сходства, указывающие на возможную связь

«Поразительное сходство в форматировании постов и стилях общения»

Анализ показал несколько пересекающихся индикаторов:

  • идентичные форматы заголовков в сообщениях (использование квадратных скобок и согласованных формулировок);
  • сходная стратегия применения хэштегов на платформах типа Twitter;
  • аналогичный подход к первоначальной публикации бесплатных «примеров» данных перед их продажей;
  • похожая сетка коммуникационных каналов (форумы, мессенджеры, onion-ресурсы).

Эти признаки могут свидетельствовать о совместном поведении, наличии общих операторов или о скоординированной тактике. Однако прямых доказательств единой операционной структуры пока недостаточно — требуется дальнейшее расследование.

Оценка рисков и рекомендации

Ситуация представляет повышенный риск для организаций, использующих уязвимые устройства Fortinet FortiGate и для компаний, оперирующих в регионах, на которые ориентировались злоумышленники. Рекомендации для служб безопасности и ИТ‑администраторов:

  • немедленно провести аудит и применить все доступные патчи и обновления, устраняющие CVE-2022-406841;
  • произвести инвентаризацию устройств Fortinet FortiGate и проверить логи на признаки компрометации и длительного доступа;
  • усилить мониторинг исходящего трафика и поиск индикаторов компрометации, включая подозрительные подключения к onion-ресурсам и использованию облачных ссылок;
  • внедрить политики по управлению учетными данными и доступом, включая ротацию ключей и двухфакторную аутентификацию;
  • расширить мониторинг специализированных форумов и платформ (NulledTo, BreachForums) в рамках Threat Intelligence.

Вывод

Наблюдаемая тактика — от бесплатной публикации данных до их продажи, использование сходных форматов сообщений и перекрывающихся коммуникационных каналов — создаёт основание для подозрений в координации или общих операционных подходах между Belsen Group и ZeroSevenGroup. Тем не менее, окончательное подтверждение единства или партнерства требует дальнейшего технического и оперативного анализа. В краткосрочной перспективе приоритетом для защищаемых организаций должно стать устранение уязвимости CVE-2022-406841 и всесторонняя проверка инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Belsen Group и ZeroSevenGroup: Fortinet FortiGate, сходство тактик".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.