Κυβερνοεπίθεση με αλλοίωση ιστοσελίδας (και πιθανότατα εκτενή διαρροή δεδομένων) έχει πραγματοποιηθεί σύμφωνα με πληροφορίες του SecNews πρίν από μερικές ώρες εναντίον της ιστοσελίδας του Υπουργείο Εξωτερικών. Συγκεκριμένα Τούρκοι hackers, σύμφωνα με πληροφορίες που εντόπισε το SecNews σε forums του εξωτερικού προχώρησαν σε ισχυρή κυβερνοεπίθεση εναντίον του Υπουργείου Εξωτερικών στοχοποιώντας την Γενική Γραμματεία Διεθνών Οικονομικών Σχέσεων & Αναπτυξιακής Συνεργασίας! Η εν λόγω ιστοσελίδα-portal agora.mfa.gr (ιδιαίτερα υψηλού κατασκευαστικού κόστους όπως αναφέρουν ΜΗ επιβεβαιωμένες πληροφορίες από την αγορά της πληροφορικής) αποτελεί one-stop-shop πύλη της Γενικής Διεύθυνσης Οικονομικών Σχέσεων του Υπουργειου Εξωτερικών. Εκτός απο τα γραφεία Οικονομικών και Εμπορικών υποθέσεων που διαθέτουν πρόσβαση για ανταλλαγή δεδομένων και αναζήτηση πληροφοριών μέσω της εν λόγω ιστοσελίδα για το σύνολο των δρσατηριοτήτων τους, στην Γενική Διεύθυνση περιλαμβάνονται επίσης η Διεύθυνση Διεθνών Ενεργειακών Θεμάτων, η διοργάνωση επιχειρηματικών αποστολών καθώς και η διεύθυνση στρατηγικού σχεδιασμού & ηλεκτρονικής διαχείρισης πληροφοριών!!! Η ιστοσελίδα που δέχτηκε την κυβερνοεπίθεση, αποτελεί το κέντρο της Οικονομικής Διπλωματίας της Ελλάδας, επιδιώκοντας την εξωστρέφεια των Ελληνικών επιχειρήσεων επιδιώκοντας την βελτίωση της διεθνούς ανταγωνιστικότητάς τους, την αξιοποίηση των συγκριτικών πλεονεκτημάτων της ελληνικής οικονομίας, την αύξηση των εξαγωγών και την προσέλκυση ξένων επενδύσεων.
Φαίνεται λοιπόν ότι Τούρκοι hackers, για λόγους που δεν είναι γνωστοί μέχρι στιγμής (και θεωρούμε οτι πρέπει να αποτελέσει στοιχείο περαιτέρω έρευνας από τις αρμόδιες αρχές υπεύθυνες για την εθνική ασφάλεια ειδικότερα υπο το πρίσμα της πιθανής διαρροής δεδομένων), επέλεξαν να αλλοιώσουν εσωτερικό σύνδεσμο στην ιστοσελίδα υποδηλώνοντας εμφανέστατα την παρουσία τους! Αξίζει να σημειώσουμε ότι μέσω της ιστοσελίδας μπορούν να αντληθούν δεδομένα όπως τα e-mail επικοινωνίας ολων των εμπορικών αποστολών σε χώρες του εξωτερικού καθώς και λοιπά στοιχεία σχετικά με τις διεθνείς εμπορικές και οικονομικές σχέσεις του Υπουργείου! Όπως είναι εμφανές, οι Τούρκοι hackers διέθεταν πρόσβαση με επαυξημένα δικαιώματα (πιθανόν διαχειριστή) έχοντας την δυνατότητα να αλλοιώσουν ή να διαγράψουν την εν λόγω ιστοσελίδα και δεδομένα αυτής. Οι Τούρκοι hackers, που ανήκουν στο hacking group International Muslim Turkish Hackers, τοποθέτησαν λογότυπο με Τούρκους στρατιώτες αλλά και ένα σήμα συνδυασμό του σήματος της NASA με το λογότυπο της Τούρκικης σημαίας (υποδηλώνοντας πιθανόν τον υψηλό βαθμό τεχνογνωσίας τους). Επιπλέον με ένα υποτιμητικό μηνυμα, τονίζουν ότι “το σύστημά σας δεν διαθέτει επαρκη ασφάλεια και μπορεί να αποκτήσει πρόσβαση ο οποιοσδήποδε. Να προσέχετε. Το να είναι κάποιος ειλικρινής δεν χάνει τίποτα”. Πιθανόν οι hackers να επέλεξαν την αλλοίωση για να υποδηλώσουν την αδυναμία του Ελληνικού Υπουργείου Εξωτερικών (στα πλαίσια ψυχολογικών επιχειρήσεων) ή αφού είχαν ολοκληρώσει πρώτα τους κακόβουλους στόχους τους.
Κατά την στιγμή πρόσβασης που γράφεται αυτό το άρθρο, η ιστοσελίδα φαίνεται να ανταποκρίνεται σχετικά αργα κάτι που μπορεί να είναι είτε τυχαίο γεγονός είτε να οφείλετε στην επίθεση που είναι σε εξέλιξη αυτή την στίγμη. Την ίδια στιγμή οι Τούρκοι hackers φαίνεται ότι διαθέτουν πρόσβαση και έχουν προβεί σε αντίστοιχη αλλοίωση της ιστοσελίδας της Γενικής Διεύθυνσης Διεθνούς Αναπτυξιακής Συνεργασίας. Συγκεκριμένα σε εσωτερική ιστοσελίδα του αρχείου υπάρχει αντίστοιχη αλλοιωμένη σελίδα. Η σελίδα παρουσιάζει την ίδια ακριβώς εικόνα που παρουσιάζει και η ιστοσελίδα του agora.mfa.gr, όπως έχει αναρτηθεί παραπάνω. Πρέπει να διερευνηθεί αν και κατα πόσο οι δυο επιθέσεις σχετίζονται ή αν χρησιμοποιήθηκαν στοιχεία από την μια επίθεση για να επιτευχθεί η άλλη. Αυτό που διαπίστωσε η τεχνική ομάδα του SecNews είναι ότι η κεντρική ιστοσελίδα του Υπουργείου Εξωτερικών με την ιστοσελίδα agora.mfa.gr αλλά και την ιστοσελίδα archive.hellenicaid.gr χρησιμοποιούν τον ίδιο ακριβώς εξυπηρετητή (!) (web server) κάτι που σημαίνει ότι πιθανόν να έχει τεθεί σε κίνδυνο και η κεντρική ιστοσελίδα του Υπουργείου ή οι hackers να προσπαθούν να αλλοιώσουν και αυτή! To SecNews σε προγενέστερο άρθρο του είχε προειδοποίησει για μη επιβεβαιωμένες πληροφορίες που ανέφεραν επερχόμενες επιθέσεις Τούρκων hackers ευρείας κλίμακας σε κρίσιμες υποδομές με στόχο την βιομηχανική κατασκοπεία. Το SecNews μετά απο έρευνα που πραγματοποίησε, σε συνεργασία με εθελοντές-συνεργάτες εντόπισε ότι οι Τούρκοι hackers είναι οργανωμένοι μέσω Facebook όπου υποδεικνύουν τις δυνατότητες τους στην απομακρυσμένη παρακολούθηση με χρήση malware και την άντληση δεδομένων απο τερματικούς σταθμούς ανυποψίαστων χρηστών.
Δείτε τα παρακάτω συσχετιζόμενα προφίλ όπως προέκυψαν από την έρευνα των εθελοντών σχετικά με την ομάδα που διέπραξε τις επιθέσεις:
https://www.facebook.com/HerseyyVatanicinn
https://www.facebook.com/NaSaH34
https://www.facebook.com/avcininidunyasi
https://www.facebook.com/pages/Nasah-Security-1981/153516691484061?ref=stream
https://www.facebook.com/akin.tekin2
Το σίγουρο είναι ότι οι αρμόδιοι διαχειριστές των ιστοσελίδων που στοχοποιήθηκαν θα πρέπει να εξετάσουν άμεσα σε συνεργασία με τις αρμόδιες υπηρεσίες και την Δίωξη Ηλεκτρονικού Εγκλήματος αν και κατα πόσο αντλήθηκαν ευαίσθητα δεδομένα από την επίθεση των Τούρκων hackers. Επιπλέον πρέπει να αξιολογηθεί αν είναι ασφαλής η υπάρχουσα υποδομή ιστοσελίδων με την χρήση κοινών εξυπηρετητών (shared hosting) για τις διάφορες υπηρεσίες του Υπουργείου Εξωτερικών καθώς και να αναλυθεί αν έχουν προβλεφθεί επαρκή μέτρα αναφορικά με την ασφάλεια των εξυπηρετητών ή/και της άντλησης δεδομένων απο εξωτερικούς επιτιθέμενους.
ΑΝΑΝΕΩΣΗ: Η είδηση αναρτήθηκε και σε Τούρκικες ιστοσελίδες (αναφερόμενες ως επιχείρηση NasaH) ήδη απο χτές το απόγευμα όπως μπορείτε να δείτε και [εδώ] Διαπιστώσαμε ότι οι υπεύθυνοι του Υπουργείου Εξωτερικών, μετά την δημοσιοποίηση του άρθρου,αντελήφθησαν την επίθεση και προχώρησαν σε αποκατάσταση της ιστοσελίδας agora.mfa.gr με την ιστοσελίδα archive.hellenicaid.gr όμως να παραμένει ακόμα υπο τον έλεγχο των hackers. Η ιστοσελίδα archive.hellenicaid.gr φαίνεται να έχει επανέλθει και αυτή, με τους υπευθύνους να προχώρησαν σε αποκατάσταση της ιστοσελίδας. Όπως είναι εμφανές οι διαχειριστές έδρασαν άμεσα και αποτελεσματικά μετά την δημοσίοτητα και τις διαστάσεις που πήρε το θέμα που εντόπισε το SecNews. Μένει πλέον να ελεγχθεί από τις αρμόδιες υπηρεσίες τι δεδομένα πιθανόν αντλήθηκαν και βρίσκονται στα χέρια των Τούρκων hackers, καθώς και να διερευνηθούν εις βάθος οι λεπτομέρειες τις επίθεσεις. Η ασφάλεια του νευραλγικού Υπουργείου εξωτερικών πρέπει σίγουρα να αναθεωρηθεί, μιας και σίγουρα αποτελεί όπως διαπιστώθηκε εκ του αποτελέσματος στόχο κυβερνοεπιχειρήσεων της γείτονος χώρας. Επιπλέον οι αρμόδιες υπηρεσίες ασφαλείας οφείλουν να διερευνήσουν τα Facebook accounts που έχουν κοινοποιηθεί ώστε να εντοπίσουν τα πρόσωπα (και πιθανόν τις σχέσεις τους με κυβερνητικές υπηρεσίες) πίσω απο τις κυβερνοεπιθέσεις.
http://www.secnews.gr/archives/61874
Φαίνεται λοιπόν ότι Τούρκοι hackers, για λόγους που δεν είναι γνωστοί μέχρι στιγμής (και θεωρούμε οτι πρέπει να αποτελέσει στοιχείο περαιτέρω έρευνας από τις αρμόδιες αρχές υπεύθυνες για την εθνική ασφάλεια ειδικότερα υπο το πρίσμα της πιθανής διαρροής δεδομένων), επέλεξαν να αλλοιώσουν εσωτερικό σύνδεσμο στην ιστοσελίδα υποδηλώνοντας εμφανέστατα την παρουσία τους! Αξίζει να σημειώσουμε ότι μέσω της ιστοσελίδας μπορούν να αντληθούν δεδομένα όπως τα e-mail επικοινωνίας ολων των εμπορικών αποστολών σε χώρες του εξωτερικού καθώς και λοιπά στοιχεία σχετικά με τις διεθνείς εμπορικές και οικονομικές σχέσεις του Υπουργείου! Όπως είναι εμφανές, οι Τούρκοι hackers διέθεταν πρόσβαση με επαυξημένα δικαιώματα (πιθανόν διαχειριστή) έχοντας την δυνατότητα να αλλοιώσουν ή να διαγράψουν την εν λόγω ιστοσελίδα και δεδομένα αυτής. Οι Τούρκοι hackers, που ανήκουν στο hacking group International Muslim Turkish Hackers, τοποθέτησαν λογότυπο με Τούρκους στρατιώτες αλλά και ένα σήμα συνδυασμό του σήματος της NASA με το λογότυπο της Τούρκικης σημαίας (υποδηλώνοντας πιθανόν τον υψηλό βαθμό τεχνογνωσίας τους). Επιπλέον με ένα υποτιμητικό μηνυμα, τονίζουν ότι “το σύστημά σας δεν διαθέτει επαρκη ασφάλεια και μπορεί να αποκτήσει πρόσβαση ο οποιοσδήποδε. Να προσέχετε. Το να είναι κάποιος ειλικρινής δεν χάνει τίποτα”. Πιθανόν οι hackers να επέλεξαν την αλλοίωση για να υποδηλώσουν την αδυναμία του Ελληνικού Υπουργείου Εξωτερικών (στα πλαίσια ψυχολογικών επιχειρήσεων) ή αφού είχαν ολοκληρώσει πρώτα τους κακόβουλους στόχους τους.
Κατά την στιγμή πρόσβασης που γράφεται αυτό το άρθρο, η ιστοσελίδα φαίνεται να ανταποκρίνεται σχετικά αργα κάτι που μπορεί να είναι είτε τυχαίο γεγονός είτε να οφείλετε στην επίθεση που είναι σε εξέλιξη αυτή την στίγμη. Την ίδια στιγμή οι Τούρκοι hackers φαίνεται ότι διαθέτουν πρόσβαση και έχουν προβεί σε αντίστοιχη αλλοίωση της ιστοσελίδας της Γενικής Διεύθυνσης Διεθνούς Αναπτυξιακής Συνεργασίας. Συγκεκριμένα σε εσωτερική ιστοσελίδα του αρχείου υπάρχει αντίστοιχη αλλοιωμένη σελίδα. Η σελίδα παρουσιάζει την ίδια ακριβώς εικόνα που παρουσιάζει και η ιστοσελίδα του agora.mfa.gr, όπως έχει αναρτηθεί παραπάνω. Πρέπει να διερευνηθεί αν και κατα πόσο οι δυο επιθέσεις σχετίζονται ή αν χρησιμοποιήθηκαν στοιχεία από την μια επίθεση για να επιτευχθεί η άλλη. Αυτό που διαπίστωσε η τεχνική ομάδα του SecNews είναι ότι η κεντρική ιστοσελίδα του Υπουργείου Εξωτερικών με την ιστοσελίδα agora.mfa.gr αλλά και την ιστοσελίδα archive.hellenicaid.gr χρησιμοποιούν τον ίδιο ακριβώς εξυπηρετητή (!) (web server) κάτι που σημαίνει ότι πιθανόν να έχει τεθεί σε κίνδυνο και η κεντρική ιστοσελίδα του Υπουργείου ή οι hackers να προσπαθούν να αλλοιώσουν και αυτή! To SecNews σε προγενέστερο άρθρο του είχε προειδοποίησει για μη επιβεβαιωμένες πληροφορίες που ανέφεραν επερχόμενες επιθέσεις Τούρκων hackers ευρείας κλίμακας σε κρίσιμες υποδομές με στόχο την βιομηχανική κατασκοπεία. Το SecNews μετά απο έρευνα που πραγματοποίησε, σε συνεργασία με εθελοντές-συνεργάτες εντόπισε ότι οι Τούρκοι hackers είναι οργανωμένοι μέσω Facebook όπου υποδεικνύουν τις δυνατότητες τους στην απομακρυσμένη παρακολούθηση με χρήση malware και την άντληση δεδομένων απο τερματικούς σταθμούς ανυποψίαστων χρηστών.
Δείτε τα παρακάτω συσχετιζόμενα προφίλ όπως προέκυψαν από την έρευνα των εθελοντών σχετικά με την ομάδα που διέπραξε τις επιθέσεις:
https://www.facebook.com/HerseyyVatanicinn
https://www.facebook.com/NaSaH34
https://www.facebook.com/avcininidunyasi
https://www.facebook.com/pages/Nasah-Security-1981/153516691484061?ref=stream
https://www.facebook.com/akin.tekin2
Το σίγουρο είναι ότι οι αρμόδιοι διαχειριστές των ιστοσελίδων που στοχοποιήθηκαν θα πρέπει να εξετάσουν άμεσα σε συνεργασία με τις αρμόδιες υπηρεσίες και την Δίωξη Ηλεκτρονικού Εγκλήματος αν και κατα πόσο αντλήθηκαν ευαίσθητα δεδομένα από την επίθεση των Τούρκων hackers. Επιπλέον πρέπει να αξιολογηθεί αν είναι ασφαλής η υπάρχουσα υποδομή ιστοσελίδων με την χρήση κοινών εξυπηρετητών (shared hosting) για τις διάφορες υπηρεσίες του Υπουργείου Εξωτερικών καθώς και να αναλυθεί αν έχουν προβλεφθεί επαρκή μέτρα αναφορικά με την ασφάλεια των εξυπηρετητών ή/και της άντλησης δεδομένων απο εξωτερικούς επιτιθέμενους.
ΑΝΑΝΕΩΣΗ: Η είδηση αναρτήθηκε και σε Τούρκικες ιστοσελίδες (αναφερόμενες ως επιχείρηση NasaH) ήδη απο χτές το απόγευμα όπως μπορείτε να δείτε και [εδώ] Διαπιστώσαμε ότι οι υπεύθυνοι του Υπουργείου Εξωτερικών, μετά την δημοσιοποίηση του άρθρου,αντελήφθησαν την επίθεση και προχώρησαν σε αποκατάσταση της ιστοσελίδας agora.mfa.gr με την ιστοσελίδα archive.hellenicaid.gr όμως να παραμένει ακόμα υπο τον έλεγχο των hackers. Η ιστοσελίδα archive.hellenicaid.gr φαίνεται να έχει επανέλθει και αυτή, με τους υπευθύνους να προχώρησαν σε αποκατάσταση της ιστοσελίδας. Όπως είναι εμφανές οι διαχειριστές έδρασαν άμεσα και αποτελεσματικά μετά την δημοσίοτητα και τις διαστάσεις που πήρε το θέμα που εντόπισε το SecNews. Μένει πλέον να ελεγχθεί από τις αρμόδιες υπηρεσίες τι δεδομένα πιθανόν αντλήθηκαν και βρίσκονται στα χέρια των Τούρκων hackers, καθώς και να διερευνηθούν εις βάθος οι λεπτομέρειες τις επίθεσεις. Η ασφάλεια του νευραλγικού Υπουργείου εξωτερικών πρέπει σίγουρα να αναθεωρηθεί, μιας και σίγουρα αποτελεί όπως διαπιστώθηκε εκ του αποτελέσματος στόχο κυβερνοεπιχειρήσεων της γείτονος χώρας. Επιπλέον οι αρμόδιες υπηρεσίες ασφαλείας οφείλουν να διερευνήσουν τα Facebook accounts που έχουν κοινοποιηθεί ώστε να εντοπίσουν τα πρόσωπα (και πιθανόν τις σχέσεις τους με κυβερνητικές υπηρεσίες) πίσω απο τις κυβερνοεπιθέσεις.
http://www.secnews.gr/archives/61874
No comments :
Post a Comment