Στις 19 Απριλίου του 2019 είχε ανακοινωθεί επίσημα ότι το μητρώο ονομάτων διαδικτύου με κατάληξη .gr και .ελ είχε δεχθεί κυβερνοεπίθεση που έδωσε σε επιτιθέμενους πρόσβαση στις υπηρεσίες του.
Η ανακοίνωση τότε ήταν η ακόλουθη:
"Αγαπητέ/ή Κύριε/α, Το Μητρώο ονομάτων χώρου με κατάληξη [.gr] και [.ελ] υπέστη επίθεση κατά των πληροφοριακών του συστημάτων. Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεασθεί αρνητικά η λειτουργία των Μητρώων ονομάτων του διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο της προσπάθειας του Μητρώου ονομάτων χώρου με κατάληξη [.gr] και [.ελ] να διασφαλίσει την ακεραιότητα των δεδομένων του, καθώς και να προστατεύσει τους δικαιούχους των διαδικτυακών ονομάτων, προχώρησε σε άμεση αλλαγή των κωδικών εξουσιοδότησης των ονομάτων χώρου [.gr] και [.ελ]. Επιπρόσθετα, ως προληπτικό μέτρο προστασίας, αλλά και συνολικότερα για τη διευκόλυνση των δικαιούχων, σας ενημερώνουμε ότι σύντομα θα τροποποιηθεί η διαδικασία αλλαγής των κωδικών εξουσιοδότησης των ονομάτων χώρου [.gr] και [.ελ]. Σε περίπτωση που επιθυμείτε τη γνωστοποίηση του νέου κωδικού ή την αλλαγή του, μπορείτε να απευθυνθείτε στον καταχωρητή σας."
Την Δευτέρα 9 Ιουλίου του 2019 η ομάδα Talos αποκάλυψε ότι αυτή η επίθεση ήταν μέρος μίας μεγαλύτερης επιχείρησης κυβερνοκατασκοπείας. Έδωσε το κωδικό όνομα «Sea Turtle» στην ομάδα που βρίσκεται πίσω από αυτή την επιχείρηση. Παρότι η ομάδα Talos δεν είναι σε θέση να ταυτοποιήσει το κράτος πίσω από την επιχείρηση, η εταιρία ασφαλείας FireEye αναφέρει ότι πίσω από την επιχείρηση κρύβεται η κυβέρνηση του Ιράν. Μέχρι και σήμερα δεν είναι ξεκάθαρο ποιο κράτος κρύβεται πίσω της. Η ομάδα Talos έχει ταυτοποιήσει τους στόχους αυτής της ομάδας κυβερνοκατασκοπείας και είναι κυβερνητικές υπηρεσίες, εταιρίες ενέργειας, διεθνείς μη κερδοσκοπικοί οργανισμοί, και τουλάχιστον ένα αεροδρόμιο, από τις ακόλουθες χώρες: ΗΠΑ, Σουηδία, Ελβετία, Ελλάδα, Αλβανία, Κύπρος, Λίβανος, Τουρκία, Αρμενία, Συρία, Λιβύη, Ιράκ, Ιορδανία, Ηνωμένα Αραβικά Εμιράτα, Σουδάν, Αίγυπτος. Είναι χωρίς αμφιβολία μία σημαντική υπόθεση κυβερνοκατασκοπείας.
Η τεχνική της επιθέσεως είναι πολύ στοχευμένη και προηγμένη. Ξεκινάει στέλνοντας email με κακόβουλο λογισμικό στην εταιρία που ελέγχει όλα τα ονόματα του κράτους (δηλαδή το .gr και .ελ για την Ελλάδα) και όταν πάρουν πρόσβαση εκεί το χρησιμοποιούν για να πάρουν τον έλεγχο των ονομάτων που τους ενδιαφέρει.
Στην περίπτωση της Ελλάδας που αποκαλύφθηκε πήραν πρόσβαση στα ακόλουθα ονόματα.
Έπειτα εξέδωσαν πιστοποιητικά ασφαλείας ώστε οι συνδέσεις να φαίνονται ασφαλείς μέσω HTTPS χωρίς κάποιο σφάλμα. Εν συνεχεία, άλλαξαν την διεύθυνση στο μητρώο ονομάτων ώστε όταν κάποιος πληκτρολογεί κάποια από τις παραπάνω διευθύνσεις να οδηγείται στον εξυπηρετητή των επιτιθέμενων αντί για το πραγματικό. [Ο εξυπηρετητής του επιτιθέμενου υποκλέπτει όλη την επικοινωνία και απλώς τη προωθεί στο πραγματικό, δηλαδή μία επίθεση MITM (Man In The Middle)].
Από τα τέλη Μαρτίου με αρχές Απριλίου ξεκίνησαν τις επιχειρήσεις πρόσβασης στο μητρώο ονομάτων και αν κρίνουμε από τις ημερομηνίες έκδοσης των πιστοποιητικών και την ανακοίνωση που είδαμε στις 19 Απριλίου του 2019, τότε το Υπουργείο Εξωτερικών, η Ελληνική Κυβέρνηση και η Ελληνική Αστυνομία πρέπει να είχαν υποκλοπές στις επικοινωνίες email τους για περίπου 5-10 ημέρες.
https://defensegr.wordpress.com/2019/07/10/kybernoepithesh-kai-ypoklopes-sto-ypourgeio-ekswterikwn-kai-astynomia/
Κρατικοί Hackers παραβίασαν το ICS-Forth, τον οργανισμό που διαχειρίζεται τα κορυφαία domain codes .gr και .el. της Ελλάδας.
Η ανακοίνωση τότε ήταν η ακόλουθη:
"Αγαπητέ/ή Κύριε/α, Το Μητρώο ονομάτων χώρου με κατάληξη [.gr] και [.ελ] υπέστη επίθεση κατά των πληροφοριακών του συστημάτων. Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεασθεί αρνητικά η λειτουργία των Μητρώων ονομάτων του διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα. Στο πλαίσιο της προσπάθειας του Μητρώου ονομάτων χώρου με κατάληξη [.gr] και [.ελ] να διασφαλίσει την ακεραιότητα των δεδομένων του, καθώς και να προστατεύσει τους δικαιούχους των διαδικτυακών ονομάτων, προχώρησε σε άμεση αλλαγή των κωδικών εξουσιοδότησης των ονομάτων χώρου [.gr] και [.ελ]. Επιπρόσθετα, ως προληπτικό μέτρο προστασίας, αλλά και συνολικότερα για τη διευκόλυνση των δικαιούχων, σας ενημερώνουμε ότι σύντομα θα τροποποιηθεί η διαδικασία αλλαγής των κωδικών εξουσιοδότησης των ονομάτων χώρου [.gr] και [.ελ]. Σε περίπτωση που επιθυμείτε τη γνωστοποίηση του νέου κωδικού ή την αλλαγή του, μπορείτε να απευθυνθείτε στον καταχωρητή σας."
Την Δευτέρα 9 Ιουλίου του 2019 η ομάδα Talos αποκάλυψε ότι αυτή η επίθεση ήταν μέρος μίας μεγαλύτερης επιχείρησης κυβερνοκατασκοπείας. Έδωσε το κωδικό όνομα «Sea Turtle» στην ομάδα που βρίσκεται πίσω από αυτή την επιχείρηση. Παρότι η ομάδα Talos δεν είναι σε θέση να ταυτοποιήσει το κράτος πίσω από την επιχείρηση, η εταιρία ασφαλείας FireEye αναφέρει ότι πίσω από την επιχείρηση κρύβεται η κυβέρνηση του Ιράν. Μέχρι και σήμερα δεν είναι ξεκάθαρο ποιο κράτος κρύβεται πίσω της. Η ομάδα Talos έχει ταυτοποιήσει τους στόχους αυτής της ομάδας κυβερνοκατασκοπείας και είναι κυβερνητικές υπηρεσίες, εταιρίες ενέργειας, διεθνείς μη κερδοσκοπικοί οργανισμοί, και τουλάχιστον ένα αεροδρόμιο, από τις ακόλουθες χώρες: ΗΠΑ, Σουηδία, Ελβετία, Ελλάδα, Αλβανία, Κύπρος, Λίβανος, Τουρκία, Αρμενία, Συρία, Λιβύη, Ιράκ, Ιορδανία, Ηνωμένα Αραβικά Εμιράτα, Σουδάν, Αίγυπτος. Είναι χωρίς αμφιβολία μία σημαντική υπόθεση κυβερνοκατασκοπείας.
Η τεχνική της επιθέσεως είναι πολύ στοχευμένη και προηγμένη. Ξεκινάει στέλνοντας email με κακόβουλο λογισμικό στην εταιρία που ελέγχει όλα τα ονόματα του κράτους (δηλαδή το .gr και .ελ για την Ελλάδα) και όταν πάρουν πρόσβαση εκεί το χρησιμοποιούν για να πάρουν τον έλεγχο των ονομάτων που τους ενδιαφέρει.
Στην περίπτωση της Ελλάδας που αποκαλύφθηκε πήραν πρόσβαση στα ακόλουθα ονόματα.
- mail.mfa.gr (εξυπηρετητής email του Υπουργείου Εξωτερικών)
- mailhost.mfa.gr (εξυπηρετητής email του Υπουργείου Εξωτερικών)
- webmail.astynomia.gr (εξυπηρετητής email της Ελληνικής Αστυνομίας)
- mail.kyvernisi.gr (εξυπηρετητής email της Ελληνικής Κυβέρνησης)
Έπειτα εξέδωσαν πιστοποιητικά ασφαλείας ώστε οι συνδέσεις να φαίνονται ασφαλείς μέσω HTTPS χωρίς κάποιο σφάλμα. Εν συνεχεία, άλλαξαν την διεύθυνση στο μητρώο ονομάτων ώστε όταν κάποιος πληκτρολογεί κάποια από τις παραπάνω διευθύνσεις να οδηγείται στον εξυπηρετητή των επιτιθέμενων αντί για το πραγματικό. [Ο εξυπηρετητής του επιτιθέμενου υποκλέπτει όλη την επικοινωνία και απλώς τη προωθεί στο πραγματικό, δηλαδή μία επίθεση MITM (Man In The Middle)].Από τα τέλη Μαρτίου με αρχές Απριλίου ξεκίνησαν τις επιχειρήσεις πρόσβασης στο μητρώο ονομάτων και αν κρίνουμε από τις ημερομηνίες έκδοσης των πιστοποιητικών και την ανακοίνωση που είδαμε στις 19 Απριλίου του 2019, τότε το Υπουργείο Εξωτερικών, η Ελληνική Κυβέρνηση και η Ελληνική Αστυνομία πρέπει να είχαν υποκλοπές στις επικοινωνίες email τους για περίπου 5-10 ημέρες.
- webmail.astynomia.gr 5 Απριλίου 2019
- mail.mfa.gr 10 Απριλίου 2019
- mailhost.mfa.gr 11 Απριλίου 2019
- mail.kyvernisi.gr 16 Απριλίου 2019
https://defensegr.wordpress.com/2019/07/10/kybernoepithesh-kai-ypoklopes-sto-ypourgeio-ekswterikwn-kai-astynomia/
Κρατικοί Hackers παραβίασαν το ICS-Forth, τον οργανισμό που διαχειρίζεται τα κορυφαία domain codes .gr και .el. της Ελλάδας.
Το ICS-Forth (Institute of Computer Science of the Foundation for Research and Technology), δημοσίως παραδέχτηκε το περιστατικό ασφαλείας μέσω email που απέστειλε στους ιδιοκτήτες των domains. Οι hackers πίσω από την παραβίαση είναι η ίδια ομάδα που αναφέρεται σε μια έκθεση της Cisco Talos τον Απρίλιο, την οποία ονόμασαν Sea Turtle. Η ομάδα χρησιμοποιεί μια σχετικά νέα προσέγγιση για τις hacking επιθέσεις της. Αντί να απευθύνονται άμεσα στα θύματα, παραβιάζουν ή αποκτούν πρόσβαση σε λογαριασμούς σε domain registrars και διαχειρίζονται παρόχους DNS όπου πραγματοποιούν τροποποιήσεις στις ρυθμίσεις DNS μιας εταιρείας. Με την τροποποίηση των DNS records για εσωτερικούς διακομιστές, ανακατευθύνουν το traffic που προορίζεται για τις νόμιμες εφαρμογές μιας εταιρείας ή τις webmail υπηρεσίες για να κλωνοποιήσουν servers όπου εκτελούν man-in-the-middle επιθέσεις και παρεμποδίζουν τα διαπιστευτήρια σύνδεσης. Οι επιθέσεις είναι βραχείας διάρκειας, διαρκούν από ώρες έως ημέρες και είναι εξαιρετικά δύσκολο να εντοπιστούν λόγω του γεγονότος ότι οι περισσότερες εταιρείες δεν παρακολουθούν τις αλλαγές στις ρυθμίσεις DNS.
Οι εκθέσεις σχετικά με τις δραστηριότητες αυτής της hacking ομάδας έχουν δημοσιευθεί από τους FireEye, Crowdstrike και Cisco Talos. Η FireEye απέδωσε τις επιθέσεις στην ιρανική κυβέρνηση, ενώ η Crowdstrike και η Cisco Talos απέφυγαν να κάνουν οποιαδήποτε αναφορά για τις επιθέσεις. Οι αμερικανικές υπηρεσίες DHS και UK NCSC έχουν επίσης εκδώσει ειδοποιήσεις ασφαλείας σχετικά με τις νέες στρατηγικές της ομάδας. Η ομάδα Sea Turtle παραβιάζει συνήθως λογαριασμούς σε domain registrars και διαχειρίζεται DNS providers – accounts που ανήκουν στους στόχους τους, οι οποίοι τις χρησιμοποιούν για τη διαχείριση καταχωρήσεων DNS για διάφορους διακομιστές και υπηρεσίες. Ωστόσο, τώρα, η Sea Turtle τόλμησε να χακάρει έναν ολόκληρο πάροχο υπηρεσιών για να πετύχει τον στόχο της – δηλαδή, να τροποποιήσει τις ρυθμίσεις διακομιστή DNS του διακομιστή-στόχου. Στην πρώτη της έκθεση, η ομάδα της Cisco Talos δήλωσε ότι η ομάδα Sea Turtle έχει καταστρέψει το NetNod, ένα internet exchange node που βασίζεται στη Σουηδία,το οποίο μεταξύ άλλων προσέφερε υπηρεσίες DNS για οργανισμούς ccTLD όπως το ICS-Forth. Δυστυχώς, αυτή τη φορά, για την επίθεση στο ICS-Forth, η ομάδα Talos δεν έχει λεπτομέρειες για το τι έκαναν οι hackers στο δίκτυο αφού είχαν αποκτήσει πρόσβαση στα συστήματά του. Επίσης, ακόμα δεν είναι επιβεβαιωμένα τα domain names για τα οποία οι hackers άλλαξαν τις ρυθμίσεις DNS, αλλά σίγουρα διατήρησαν πρόσβαση για άλλες πέντε ημέρες μετά την ανακοίνωση του περιστατικού από το ICS-Forth.
https://www.secnews.gr/185505/korifaia-domain-elladas-hacked-hackers-kratous/
https://www.wired.com/story/sea-turtle-dns-hijacking/
ΣΧΕΤΙΚΟ: Οι υπάλληλοι δυσκολεύονται να εντοπίσουν διαδικτυακές απειλές
Οι εκθέσεις σχετικά με τις δραστηριότητες αυτής της hacking ομάδας έχουν δημοσιευθεί από τους FireEye, Crowdstrike και Cisco Talos. Η FireEye απέδωσε τις επιθέσεις στην ιρανική κυβέρνηση, ενώ η Crowdstrike και η Cisco Talos απέφυγαν να κάνουν οποιαδήποτε αναφορά για τις επιθέσεις. Οι αμερικανικές υπηρεσίες DHS και UK NCSC έχουν επίσης εκδώσει ειδοποιήσεις ασφαλείας σχετικά με τις νέες στρατηγικές της ομάδας. Η ομάδα Sea Turtle παραβιάζει συνήθως λογαριασμούς σε domain registrars και διαχειρίζεται DNS providers – accounts που ανήκουν στους στόχους τους, οι οποίοι τις χρησιμοποιούν για τη διαχείριση καταχωρήσεων DNS για διάφορους διακομιστές και υπηρεσίες. Ωστόσο, τώρα, η Sea Turtle τόλμησε να χακάρει έναν ολόκληρο πάροχο υπηρεσιών για να πετύχει τον στόχο της – δηλαδή, να τροποποιήσει τις ρυθμίσεις διακομιστή DNS του διακομιστή-στόχου. Στην πρώτη της έκθεση, η ομάδα της Cisco Talos δήλωσε ότι η ομάδα Sea Turtle έχει καταστρέψει το NetNod, ένα internet exchange node που βασίζεται στη Σουηδία,το οποίο μεταξύ άλλων προσέφερε υπηρεσίες DNS για οργανισμούς ccTLD όπως το ICS-Forth. Δυστυχώς, αυτή τη φορά, για την επίθεση στο ICS-Forth, η ομάδα Talos δεν έχει λεπτομέρειες για το τι έκαναν οι hackers στο δίκτυο αφού είχαν αποκτήσει πρόσβαση στα συστήματά του. Επίσης, ακόμα δεν είναι επιβεβαιωμένα τα domain names για τα οποία οι hackers άλλαξαν τις ρυθμίσεις DNS, αλλά σίγουρα διατήρησαν πρόσβαση για άλλες πέντε ημέρες μετά την ανακοίνωση του περιστατικού από το ICS-Forth.
https://www.secnews.gr/185505/korifaia-domain-elladas-hacked-hackers-kratous/
https://www.wired.com/story/sea-turtle-dns-hijacking/
ΣΧΕΤΙΚΟ: Οι υπάλληλοι δυσκολεύονται να εντοπίσουν διαδικτυακές απειλές
No comments :
Post a Comment