Стало відомо, що адміністратор форуму RAMP і колишній оператор хакерського угруповання Babuk опублікував в інтернеті логіни та паролі 500 тис. скомпрометованих VPN-пристроїв компанії Fortinet. Програмні уразливості в них усунені розробниками, але адміністратори так і не змінили дані для доступу до них. Архів розміщений учасниками угруповання Groove, за якої, як передбачається, стоять оператори розпалася Babuk.
За даними джерела, дані для доступу до VPN-пристроїв збиралися протягом декількох місяців. Відзначається, що перед публікацією реквізити були перевірені на відповідність і працездатність. Згідно з наявними даними, хакер використовував уразливість операційної системи FortiOS, яка спостерігалася під ідентифікатором CVE-2018-13379.
Ця вразливість зачіпала пристрої серії Fortigate і дозволяла неавторизованим користувачам завантажувати системні файли за допомогою спеціальних HTTP-запитів. Варто відзначити, що з весни 2021 року згадана вразливість FortiOS разом з двома іншими (CVE-2019-5591 і CVE-2020-12812) активно експлуатувалися різними хакерськими угрупованнями. Шкідливі кампанії привернули увагу ФБР і Агентства з безпеки цифрової інфраструктури (CISA) США, які випустили відповідне попередження про атаки на пристрої виробництва Fortinet.
Джерело зазначає, що опублікував базу облікових записів VPN-пристроїв представник угруповання Groove носить той же псевдонім SongBird, що і колишній оператор угруповання Babuk і адміністратор форуму RAMP, який спеціалізувався на здирницькі програмному забезпеченні. Інше джерело називає автора публікації Orange, а й там згадується його причетність до хакерів з Babuk і форуму RAMP. Джерело