HomeinvestigationsCybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Cybersecurity analysis: Αποτελέσματα έρευνας ανεξάρτητων ερευνητών ασφάλειας για την κυβερνοεπίθεση στην Κύπρο Σε συνέχεια της πρόσφατης αποκάλυψης του SecNews σχετικά με τις κυβερνοεπιθέσεις που δέχτηκαν κρίσιμα κρατικά αλλά και ιδιωτικά συστήματα της Κύπρου από τον Τούρκο hacker RootAyyildiz Turkish Defacer, η ανεξάρτητη ομάδα cybersecurity αναλυτών, PROMETHEUS GROUP, δημοσίευσε σχετικό whitepaper με μια ενδελεχή μελέτη του περιστατικού βασισμένη σε OSINT μεθοδολογία (Open-source intelligence).

Μάθετε περισσότερα για τις hacking επιθέσεις:

1. RootAyyildiz Turkish Defacer: Ο Τούρκος hacker επιτίθεται στην Κύπρο!

2. Κυβερνοεπίθεση στο Αεροδρόμιο Λάρνακας hermesairports.com από τον RootAyyildiz!

Το SecNews σας παρουσιάζει τμήμα της έρευνας της PROMETHEUS GROUP, την οποία μπορείτε να βρείτε στο σύνολό της εδώ. Το SecNews αναμεταδίδει την εν λόγω έρευνα με στόχο την διαφύλαξη του κοινωνικού συνόλου και την διερεύνηση των πρόσφατων περιστατικών παραβίασης που έλαβαν χώρα στην Κύπρο. Η PROMETHEUS GROUP, κατα δήλωσή τους, αποτελείται απο Κύπριους ανεξάρτητους ερευνητές κυβερνοασφάλειας.

Τα κατωτέρω αναγραφόμενα είναι αποκλειστικά ευρήματα και δηλώσεις των ερευνητών. Το SecNews μεταδίδει τμήμα της μελέτης, ως φαίνεται κατωτέρω, χωρίς να εκφέρει κρίσεις ή να αλλοιώσει το περιεχόμενο της έρευνας. Η μελέτη των ανεξάρτητων ερευνητών, μπορεί να αποτελέσει τεχνική μεθοδολογία διερεύνησης αντίστοιχων περιστατικών.

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Παράθεση μετάφρασης μελέτης https://github.com/prometheusgroup/YPAM-CyberAttack/blob/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf

 ——————————–Έναρξη Παράθεσης Μελέτης——————————–

Τις τελευταίες δύο εβδομάδες έγινε αναφορά για κυβερνοεπίθεση κατά της ιστοσελίδας του Υπουργείο Άμυνας από μια γνωστή τουρκική hacking ομάδα. Το πρωτότυπο άρθρο ειδήσεων δημοσιεύτηκε από το SecNews.gr (https://secnews.gr/331587/rootayyildiz-turkish-defacer-hacker-cyprus/) στις 24 Μάρτιος 2021 και περιελάμβανε λεπτομερή ανάλυση της επίθεσης, μαζί με φωτογραφικά στοιχεία των δεδομένων που έχουν κλαπεί.

Στις 29 Μαρτίου 2021, ο ιστότοπος Philenews.com, μεταξύ άλλων, δημοσίευσε ένα άρθρο (https://www.philenews.com/koinonia/eidiseis/article/1157770/prospatheia-epithesis-apo-chakerstin-istoselida-toy-ypam) που αναφέρει ότι η επίθεση εναντίον του Υπουργείου μπλοκαρίστηκε επιτυχώς και ότι το Υπουργείο έλαβε όλα τα απαραίτητα μέτρα για να αποτρέψει παρόμοιες μελλοντικές ενέργειες.

Κάποιοι θα υποστηρίξουν ότι οι Κύπριοι πολιτικοί είναι συνηθισμένοι στο να καλύπτουν “αθόρυβα” μεγάλα περιστατικά που προκαλούνται από ανικανότητα, αδιαφορία, αμέλεια, κέρδος, αυτοπροώθηση ή / και αυτοσυντήρηση (Έκρηξη στη ναυτική βάση «Ευάγγελος Φλωράκης», Κούρεμα σε τραπεζικές καταθέσεις το 2013, COOP και  Laiki πτωχεύσεις κ.λπ.) Ως εκ τούτου, αποφασίσαμε να παρουσιάσουμε τον πιθανό αντίκτυπο της προαναφερθείσας επίθεσης στον κυβερνοχώρο.

Σύμφωνα με το άρθρο SecNews, ο εισβολέας κατάφερε να θέσει σε κίνδυνο έναν από τους ιστότοπους του Υπουργείου Άμυνας. Αλλά ποιο; Τι πληροφορίες μπορούμε να αποκαλύψουμε σχετικά με την επίθεση μέσω του Open Source Intelligence (δηλ. πληροφορίες που είναι διαθέσιμες στο δημόσιο τομέα); Ένα απλό ερώτημα στον ιστότοπο DNSdumpster.com μπορεί να μας δώσει χρήσιμες πληροφορίες σχετικά με τους δημόσιους ιστότοπους του Υπουργείου.

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Σύμφωνα με την παραπάνω εικόνα μπορούμε να δοκιμάσουμε και να επισκεφθούμε τον ιστότοπο mod.gov.cy για να ελέγξουμε αν μπορούμε να βρούμε δείκτες παραβίασης (IoCs) ή πληροφορίες που θα μπορούσαν να οδηγήσουν στο συμπέρασμα ότι ο ιστότοπος έχει παραβιαστεί.

PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Η παραπάνω εικόνα δείχνει ότι ο ιστότοπος δημιουργήθηκε χρησιμοποιώντας το MODX Content Management System (CMS). Αυτό αποτελεί δείκτη ότι πρόκειται για παραβιασμένο ιστότοπο επειδή σε μερικές από τις εικόνες που δημοσιεύονται από τον hacker, οι εξαγόμενοι πίνακες βάσης δεδομένων και τα ονόματα αρχείων ιστότοπου ξεκινούν με modx_ (π.χ. modx_dashboard.csv). Εάν αυτός είναι ο παραβιασμένος ιστότοπος, ποιοι άλλοι κυβερνητικοί ιστότοποι χρησιμοποιούν το MODX CMS και έχουν επίσης παραβιαστεί ή θα μπορούσαν να παραβιαστούν στο εγγύς μέλλον;

Μια γρήγορη αναζήτηση στη Google δείχνει ότι οι publications.gov.cy και www.pio.gov.cy θα μπορούσαν ενδεχομένως να είναι θύματα της ίδιας επίθεσης, καθώς μπορεί να επηρεαστούν από την ίδια ευπάθεια.

Ωστόσο, για να πάρετε μια ιδέα για τον αριθμό των ιστότοπων που πιθανώς μοιράζονται τον ίδιο διακομιστή με τον ιστότοπο MOD και πιθανότατα έχουν ήδη παραβιαστεί κατά τη διάρκεια της επίθεσης, απλώς κάναμε κλικ στην επιλογή «Find hosts sharing this IP address» στον ιστότοπο DNSsumpster.com σύμφωνα με την παρακάτω εικόνα.

PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Ένα δείγμα της λίστας των 78 ιστότοπων που εμφανίζονται στο DNSsumpster.com θα το βρείτε παρακάτω. Σας παρακαλούμε να μην ξεχνάτε ότι τα παραβιασμένα στοιχεία δεν έχουν κυκλοφορήσει από τον hacker, επομένως ενδέχεται τα δεδομένα να μην έχουν κλαπεί.

Ο πλήρης κατάλογος των ιστότοπων σε αυτόν τον server περιλαμβάνεται παρακάτω προς ενημέρωση όσων τα δεδομένα ενδέχεται να έχουν παραβιαστεί και να ξεκινήσουν έρευνα.

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Τι γίνεται με τον ιστότοπο www.mod.gov.cy;

Το DNSdumpster.com image δείχνει ότι εκτελείται σε ένα Lotus Domino webserver, αλλά μια επίσκεψη στον ιστότοπο δείχνει ότι είναι εκτός λειτουργίας / μη διαθέσιμο. Πρέπει να αναφέρουμε ότι ο ιστότοπος WayBackMachine (archive.org) λαμβάνει snapshots ιστοτόπων προσβάσιμων στο κοινό στο διαδίκτυο σε συγκεκριμένα χρονικά διαστήματα. Το WayBackMachine μας ανακατευθύνει αυτόματα σε ένα snapshot του mod.gov.cy που σημαίνει ότι και τα δύο domains (mod.gov.cy και www.mod.gov.cy) οδηγούν στην ίδια διεύθυνση IP και ως εκ τούτου webserver μέχρι πολύ πρόσφατα (δηλαδή ήταν ο ίδιος ιστότοπος).

Έτσι, ο τελευταίος ισότοπος που απομένει στη λίστα του DNSdumpster.com, το newarmy.mod.gov.cy, δεν ήταν προσβάσιμος κατά τη στιγμή της γραφής αυτής της ανάλυσης. Ωστόσο, το WayBackMachine δείχνει ότι το τελευταίο snapshot του ιστότοπου λήφθηκε στις 19 Ιανουαρίου 2021 και είχε το ακόλουθο περιεχόμενο.

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Με μια πρώτη ματιά, μοιάζει με έναν πολύ σημαντικό ιστότοπο. Ωστόσο, λαμβάνοντας υπόψη το γεγονός ότι τα προσωπικά στοιχεία των αιτούντων που προσπάθησαν να εγγραφούν στην Εθνική Φρουρά (ΣΥΟΠ) ενδέχεται να έχουν κλαπεί, ο Επίτροπος Προστασίας Προσωπικών Δεδομένων θα πρέπει να διερευνήσει το περιστατικό περαιτέρω. Επιπλέον, εάν τα προσωπικά στοιχεία των επαγγελματιών στρατιωτών έχουν πράγματι διακυβευτεί, γίνεται λόγος για ένα ζήτημα εθνικής ασφάλειας, δεδομένου ότι θα μπορούσαν να βρίσκονται στα χέρια ενός ξένου κράτους.

Ας προσπαθήσουμε να υπολογίσουμε την πιθανότητα παραβίασης αυτού του ιστότοπου. Ανοίγοντας το snapshot του newarmy.mod.gov.cy που λήφθηκε στις 20 Αυγούστου 2019, αντικρίζουμε το παρακάτω redirect μήνυμα.

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

[Περισσότερα στην μελέτη εδώ]

Αλλά έχουν παραβιαστεί; Στις εικόνες που κυκλοφόρησε ο hacker περιλαμβάνεται μια λίστα με MS SQL Server database instance names. Αυτό μπορεί εύκολα να συναχθεί από το προεπιλεγμένο MS SQL database names “master”, “msdb” and “model” που εμφανίζονται με σαφήνεια στην παρακάτω εικόνα.

PROMETHEUS GROUP
Cybersecurity analysis: Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

[Περισσότερα στην μελέτη εδώ]

Ο κατάλογος ιδιωτικών και δημόσιων εταιρείες αλλά και κυβερνητικές οντότητες που μοιράστηκαν τον ίδιο server με το newarmy.mod.gov.cy είναι:

[Περισσότερα στην μελέτη εδώ]

Υπάρχει πολύ μεγάλη πιθανότητα παραβίασης των προαναφερθέντων ιστοτόπων, δεδομένου ότι ανήκουν στον ίδιο server.

[Περισσότερα στην μελέτη εδώ]

Το πιο ανησυχητικό από όλα είναι ότι δύο από τις δυνητικά παραβιασμένες βάσεις δεδομένων ανήκουν στο Γραφείο του Επίτροπου Ηλεκτρονικών Επικοινωνιών & Ταχυδρομικών Κανονισμών υπό τον έλεγχο και τη διοίκηση της Εθνικής Ομάδα Ανταπόκρισης σε Ασφάλεια Υπολογιστών (CY-CSIRT) και Αρχής Ψηφιακής Ασφάλειας (DSA). Σύμφωνα με την εθνική νομοθεσία της DSA, είναι η αρμόδια αρχή για την ασφάλεια των ψηφιακών δικτύων και συστήματα πληροφορικής στην Κύπρο και ο συντονιστής για την εφαρμογή της εθνικής στρατηγικής ασφάλειας. Σε απλούς όρους, είναι υπεύθυνο για την προστασία των κρίσιμων υποδομών της χώρας (π.χ. Αρχή Ηλεκτρισμού, Υδάτινα Σώματα, Αρχές Αποχέτευσης, Τράπεζες κ.λπ.) και συλλέγουν πληροφορίες σχετικά με την ασφάλεια, τις αδυναμίες και τους αμυντικούς μηχανισμούς, ενώ έχει την εξουσία να επιβάλλει πρόστιμα (χρηματική ποινή και ποινή φυλάκισης έως 3 ετών) σε εταιρείες και άτομα που εμπίπτουν υπό τον έλεγχο της Αρχής.

Προκύπτουν οι ακόλουθες ερωτήσεις σχετικά με το περιστατικό:

1. To Υπουργείο Άμυνας και το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής έχουν λάβει τα απαραίτητα μέτρα για να ενημερώσουν τις αρμόδιες αρχές σχετικά με το περιστατικό (π.χ. Επίτροπος Προστασίας Προσωπικών Δεδομένων); Εάν όχι, γιατί;

2. Γιατί υπονομεύτηκε το περιστατικό στη δημόσια ανακοίνωση που εξέδωσε το Υπουργείο Άμυνας προς τα Μέσα Μαζικής Ενημέρωσης;

3. Ποια είναι η πραγματική έκταση της διαρροής προσωπικών πληροφοριών, λαμβάνοντας υπόψη όλους τους πελάτες από την παραπάνω λίστα;

4. Αυτή δεν ήταν η πρώτη φορά που έλαβε χώρα ή δημοσιοποιήθηκε ένα περιστατικό ασφάλειας στον κυβερνοχώρο που επηρέασε κυβερνητικά συστήματα. Γιατί η κυβέρνηση δεν έλαβε τα απαραίτητα μέτρα για την ασφαλή ανάπτυξη του ιστότοπου (π.χ. penetration testing, αποφυγή ενός κοινόχρηστου περιβάλλοντος φιλοξενίας για ευαίσθητες πληροφορίες κ.λπ.);

5. Ποια είναι τα άτομα που είναι υπεύθυνα για τις κυβερνητικές διαδικασίες ασφάλειας στον κυβερνοχώρο;

6. Ποιες πληροφορίες σχετικά με την Κυπριακή υποδομή κρίσιμης σημασίας διέρρευσαν από τον ιστότοπο του OCECPR; Γιατί δεν εντοπίστηκαν από αυτούς και ποια μέτρα έχουν λάβει για να αποτρέψουν την παραβίαση τέτοιων δεδομένων;

Πιστεύουμε ότι αποτελεί κοινή πρακτική στην Κύπρο η κάλυψη των κυβερνοεπιθέσεων. Αυτό έχει επιζήμια επίδραση στις εταιρείες, δεδομένου ότι δεν μπορούν να δουν τον πραγματικό κίνδυνο επιθέσεων, επομένως είναι σκεπτικές σχετικά με την αναγκαιότητα λήψης προληπτικών μέτρων για την προστασία τους, έως ότου φυσικά είναι πολύ αργά (όπως έχουμε δει από τις εμπειρίες μας ξανά και ξανά).

Τη στιγμή της σύνταξης αυτού του whitepaper, το SecNews.gr (secnews.gr/339663/hacked-larnaca-airporthermesairports-rootayyil/), δημοσίευσε ένα άρθρο σχετικά με μια επίθεση στον ιστότοπο των Hermes Airports.

[Περισσότερα στην μελέτη εδώ]

Ως εκ τούτου, θα θέλαμε να κάνουμε τις ακόλουθες συστάσεις προς την κυβέρνηση σχετικά με συστήματα, πολιτικές και διαδικασίες:

1. Όσον αφορά οποιοδήποτε και όλα τα κυβερνητικά συστήματα πληροφοριών, η ασφάλεια πρέπει να λαμβάνεται σοβαρά υπόψη από όλα τα ενδιαφερόμενα μέρη, και όχι να αφήνεται ως μεταγενέστερη σκέψη.

2. Η κυβέρνηση θα πρέπει να προβαίνει σε security reviews και penetration tests για να εντοπίσει και να διορθώσει κρίσιμα κενά ασφαλείας. Θα πρέπει επίσης να παρακολουθεί συνεχώς τα συστήματά του για διαχρονικές hacking επιθέσεις και να έχει διαμορφώσει ένα σχέδιο για οποιαδήποτε τέτοια πιθανότητα.

3. Ορίστε έναν υπεύθυνο επικοινωνίας έτσι ώστε όποιος ανακαλύπτει μια αδυναμία ασφάλειας / ευπάθεια που σχετίζεται με ένα κυβερνητικό σύστημα να μπορεί να το αναφέρει υπεύθυνα.

4. Εφαρμόστε ένα πρόγραμμα bug bounty, ώστε οι Κύπριοι hackers (ειδικοί ασφαλείας) να μπορούν να δοκιμάσουν νόμιμα και να αναφέρουν τρωτά σημεία σε κυβερνητικά συστήματα για τα οποία να λαμβάνουν οικονομική ανταμοιβή.

5. Αποδεχτείτε ανοιχτά και αναφέρετε περιστατικά ασφαλείας που επηρεάζουν κυβερνητικά συστήματα. Συνιστούμε να διορίζεται εκπροσώπους για την ανακοίνωση τέτοιων περιστατικών στο κοινό.

[Περισσότερα στην μελέτη εδώ]

Όλες οι παραπάνω συστάσεις ισχύουν επίσης για όλες τις εταιρείες του ιδιωτικού τομέα που πρέπει να λάβουν τα απαραίτητα βήματα για τις εφαρμογές τους. Αυτό που αναφέρθηκε παραπάνω βασίζεται αποκλειστικά σε πληροφορίες που καταφέραμε να συλλέξουμε από δημόσιους πόρους και πρέπει να διενεργηθεί κατάλληλη έρευνα από τις αρμόδιες αρχές για την επιβεβαίωση τους (που βασίζονται στις συνδυασμένες τεχνικές και την εμπειρία μας).

Περισσότερα νέα: Mobile malware-Μια από τις μεγαλύτερες απειλές για τους οργανισμούς το 2020

Ζητούμε συγγνώμη εκ των προτέρων στις πληγείσες εταιρείες εάν έχουμε προκαλέσει ζημιά στη φήμη τους, αλλά η πρόθεση μας ήταν να ενημερώσουμε υπεύθυνα το κοινό και τα πρόσωπα των οποίων τα προσωπικά στοιχεία ενδέχεται να έχουν παραβιαστεί, καθώς ήταν προφανές ότι κανένας άλλος δεν θα το έπραττε.

Prometheus Group cybersecurity experts/analysts

«Είμαστε μια ομάδα Κυπρίων επαγγελματιών στον τομέα της ασφάλειας στον κυβερνοχώρο που προτιμούν να παραμένουν ανώνυμοι (τουλάχιστον προς το παρόν). Αυτή είναι η πρώτη φορά που ερευνούμε και δημοσιεύουμε το έργο μας. Δημιουργήσαμε αυτήν την ομάδα για να ευαισθητοποιήσουμε το κοινό σχετικά με την κατάσταση της ασφάλειας στον κυβερνοχώρο στην Κύπρο.

Λόγω της δουλειάς μας, έχουμε συνειδητοποιήσει αρκετές επιθέσεις σε κρίσιμους οργανισμούς και στην κυβέρνηση. Δυστυχώς, αυτά τα συμβάντα παραμένουν αδημοσίευτα ή υπονομευμένα. Παρατηρήσαμε μια στροφή σε μια πιο προσανατολισμένη στην ασφάλεια νοοτροπία για οργανισμούς στον ιδιωτικό τομέα, αλλά ο δημόσιος τομέας λείπει απόλυτα.»

Whitepaper by PROMETHEUS GROUP

 ———————————- [Τέλος Παράθεσης Μελέτης] ——————————–

[SECNEWS UPDATE 13.04.2021]

Να σημειώσουμε ότι οι εμπλεκόμενοι φορείς ενημερώθηκαν για την ύπαρξη της σχετικής έρευνας στο Github. Δεν μας δόθηκε κάποια επίσημη απάντηση προς δημοσίευση και κατόπιν αιτήματος τους έχουν αφαιρεθεί τα ονόματά τους.

spot_img

LIVE NEWS