Τα πληροφοριακά συστήματα των ΕΛΤΑ δέχτηκαν κυβερνοεπίθεση τα ξημερώματα της Δευτέρας. Σύμφωνα με τα μέσα ενημέρωσης που δημοσιοποίησαν δελτίο τύπου των ΕΛΤΑ, οι χάκερς ζήτησαν λύτρα προκειμένου να "απελευθερώσουν" τις υπηρεσίες που είχαν ουσιαστικά θέσει σε ομηρία. Τα απαρχαιωμένα συστήματα πληροφορικής των ΕΛΤΑ φαίνεται ότι διευκόλυναν τους χάκερς να τα παραβιάσουν, ενώ οι ενέργειες τους πιθανολογείται ότι είχαν ξεκινήσει μήνες πριν χωρίς να γίνουν αντιληπτοί.
Η παραβίαση των Ελληνικών Ταχυδρομίων (ΕΛΤΑ) που έλαβε χώρα τη νύχτα της Κυριακής 20 Μαρτίου ήταν αρκετά σημαντική ώστε να προκαλέσει αναταραχές τόσο στις κυβερνητικές υπηρεσίες, στις εταιρείες αλλά και στους πολίτες στους οποίους η διανομής αλληλογραφίας είναι ιδιαίτερα σημαντική.
Οι χάκερς κατά την διάρκεια της κυβερνοεπίθεσης στα ΕΛΤΑ φαίνεται να είχαν πλήρη πρόσβαση εντός του εσωτερικού δικτύου του Οργανισμού (Intranet). Είχαν την δυνατότητα να αντλήσουν δεδομένα, να διαγράψουν δεδομένα ή να αλλοιώσουν κατά το δοκούν ή ακόμη και να βγάλουν χρήματα πουλώντας πλήθος πληροφορίων Ελλήνων πολιτών.
ΕΛΤΑ Κυβερνοεπίθεση: Το χρονικό της παραβίασης
Σύμφωνα με τις πληροφορίες που έχουν δημοσιοποιηθεί, κακόβουλος κώδικας μόλυνε αρχικά έναν σταθμό εργασίας των ΕΛΤΑ (πιθανόν εργαζομένου) ο οποίος εν συνεχεία συνδέθηκε με έναν server που ελέγχεται από ομάδα κυβερνοεγκληματιών μέσω της τεχνικής https reverse shell. Οι επιτιθέμενοι εν συνεχεία, πραγματοποίησαν pivoting εντός του εσωτερικού δικτύου του Οργανισμού με αποτέλεσμα να μολύνουν πρόσθετα συστήματα.
Στην συνέχεια, κακόβουλος κώδικας εκτελέστηκε στα συστήματα που ήταν υπό τον έλεγχο των hackers με αποτέλεσμα την μαζική κρυπτογράφηση κύριων διακομιστών αλλά και τερματικών των ΕΛΤΑ. Κλείδωσαν μάλιστα με τυχαίο κλειδί κρυπτογράφησης, το οποίο γνώριζαν αποκλειστικά οι κυβερνοεγκληματίες, τα πληροφοριακά συστήματα ζητώντας λύτρα προκειμένου να το επαναφέρουν και πάλι σε ορθή λειτουργία.
Η στοχευμένη κυβερνοεπίθεση κατά των Ελληνικών Ταχυδρομικών Υπηρεσιών (ΕΛΤΑ), με ταυτόχρονη κρυπτογράφηση των μολυσμένων τερματικών σταθμών & servers είχε ως αποτέλεσμα να μην είναι δυνατές οι οικονομικές συναλλαγές του οργανισμού για πολλές ημέρες.
Μάλιστα όπως ανέφερε στο SecNews αξιωματούχος που επιθυμεί να διατηρήσει την ανωνυμία του «Σκεφτείτε πώς ο ΕΛΤΑ διαχειρίζεται τα ονόματα, τους λογαριασμούς και τις διευθύνσεις σχεδόν κάθε πολίτη αυτής της χώρας. Η βάση προσωπικών δεδομένων που έχουν στην διάθεσή τους είναι ιδιαίτερα ενημερωμένη και πολύτιμη. Η κλοπή αυτών των πληροφοριών θα έχει σίγουρα υψηλό τίμημα για κάθε επίδοξο hacker στα παράνομα darknet markets όπου γίνεται ανταλλαγή βάσεων δεδομένων…»
Οι χάκερς κατά την διάρκεια της επίθεσης φαίνεται να είχαν πλήρη πρόσβαση εντός του εσωτερικού δικτύου του Οργανισμού (Intranet). Είχαν την δυνατότητα να αντλήσουν δεδομένα, να διαγράψουν δεδομένα ή να αλλοιώσουν κατά το δοκούν ή ακόμη και να βγάλουν χρήματα πουλώντας πλήθος πληροφορίων Ελλήνων πολιτών.
Φαίνεται μάλιστα ότι λόγω του απαρχαιωμένου εξοπλισμού & λογισμικού που χρησιμοποιούσαν τα ΕΛΤΑ, οι ενέργειες των κακόβουλων χρηστών δεν απαιτούσαν ιδιαίτερα υψηλή γνώση. Επιπλέον, όπως διαφαίνεται εκ του αποτελέσματος δεν είχαν ληφθεί μέτρα προστασίας των τερματικών & servers που περιείχαν προσωπικά δεδομένα (γεγονός που έπρεπε να αποτελεί ύψιστη προτεραιότητα για τον Οργανισμού) με αποτέλεσμα οι χάκερς μπόρεσαν να αποκτήσουν πρόσβαση με ιδιαίτερα εύκολες τεχνικές, χωρίς να γίνουν αντιληπτοί από συστήματα εντοπισμού απειλών.
Η ΕΥΠ έχει προχωρήσει ήδη την έρευνά της και αναφέρεται ότι έχει προσδιορίσει στοιχεία για την ταυτότητα των δραστών. Ταυτόχρονα, ο οργανισμός διαβεβαιώνει ότι δεν υπάρχει κανένας πλέον κίνδυνος από την επίθεση και τα πληροφοριακά συστήματα εν μέρει έχουν αποκατασταθεί.
Το Υπουργείο Ψηφιακής Πολιτικής, Επικοινωνιών ανέφερε ότι τα ΕΛΤΑ με έδρα την Αθήνα έγιναν στόχος μιας από τις πιο επιζήμιες κυβερνοεπιθέσεις που έχουν γίνει ποτέ εναντίον ελληνικής εταιρείας. Οι αρχές λένε ότι τα περισσότερα από τα back-end συστήματα της εταιρείας έχουν ήδη αποκατασταθεί, ενώ έχουν τεθεί σε εφαρμογή πρόσθετοι έλεγχοι ασφαλείας για να αποτραπεί η επανάληψη παρόμοιας κυβερνοεπίθεσης. Τα πολλαπλά συστήματα πληροφορικής της εταιρείας περιλαμβάνουν ηλεκτρονικό ταχυδρομείο, ανάπτυξη ιστοσελίδων, λογισμικό τιμολόγησης και επεξεργασίας πληρωμών, καθώς και πληρωμές συντάξεων.
ΕΛΤΑ Κυβερνοεπίθεση: “Στο σφυρί” βάσεις δεδομένων Ελλήνων πολιτών στο Dark Web;
Σύμφωνα με αντίστοιχες επιθέσεις στο παρελθόν σε Οργανισμούς που διαχειρίζονταν μεγάλο όγκο προσωπικών δεδομένων, κατά την παραβίαση μιας βάσης δεδομένων που περιείχε στοιχεία σχεδόν 1 εκατομμυρίου χρηστών, η πώλησή της στη "μαύρη αγορά" του Darknet ξεκινούσε από τιμές 600 χιλιάδες ευρώ και άνω. Ανάλογα δεν τον Οργανισμό ή την εταιρεία από την οποία είχαν υποκλαπεί τα δεδομένα, οι τιμές πώλησης μπορούν να είναι πολύ υψηλότερες.
Τελικά, πίσω από την επιζήμια κυβερνοεπίθεση στα ΕΛΤΑ κρύβονται Τούρκοι χάκερς; Αν ναι, μάλλον μιλάμε για μια επίθεση οιωνό για μια μεγαλύτερης κλίμακας απειλή από την γειτονική χώρα; Η επιτυχής κυβερνοεπίθεση σε κρίσιμη κρατική υποδομή αποτελεί μια προειδοποίηση προς την Ελλάδα ή μια υπενθύμιση ότι σε έναν επικείμενο κυβερνοπόλεμο οι κυβερνοάμυνες μας είναι ανύπαρκτες; Είμαστε τόσο εύκολος στόχος, τελικά; Σήμερα τα ΕΛΤΑ, αύριο ποιος;
Οι χάκερς έχουν γίνει όλο και πιο δραστήριοι τα τελευταία χρόνια. Έχουμε γίνει μάρτυρες αρκετών επιτυχημένων επιθέσεων όχι μόνο σε ελληνικές υπηρεσίες, αλλά και σε ξένες. Σκεφτείτε τις αποκαλύψεις του Έντουαρντ Σνόουντεν, ο οποίος αποκάλυψε εντυπωσιακά στοιχεία για την κατασκοπεία των ΗΠΑ στην Ελλάδα και σε όλη την Ευρώπη. Πόσο αποτελεσματικές μπορούν όμως να είναι οι πράξεις τους; Πρόσφατα πληροφορήθηκαμε ότι η εν λόγω υπηρεσία κατασκοπείας αγόρασε μια βάση δεδομένων που περιέχει πληροφορίες για πάνω από 750.000 πολίτες έναντι περίπου 500.000 ευρώ. Ο καθένας θα μπορούσε να σκεφτεί ότι ένα τέτοιο ποσό θα μπορούσε να είναι ακόμη υψηλότερο δεδομένης της αξίας που προσδίδουν οι συγκεκριμένες βάσεις δεδομένων στην ίδια την υπηρεσία κατασκοπείας – απλά και μόνο επειδή οι πληροφορίες θα ήταν αρκετές για να δημιουργήσουν μια νέα ταυτότητα για κάθε πολίτη ή ακόμη και πολλαπλές ταυτότητες!
ΕΛΤΑ Κυβερνοεπίθεση: Η αποτύπωση του τοπίου απειλών (Threat Landscape)
Το SecNews πραγματοποίησε έρευνα ώστε να διαπιστώσει ποιο είναι το επίπεδο έκθεσης έναντι απειλών του Οργανισμού (Threat landscape), ώστε να προσδιορίσει πιθανόν το σημείο εισόδου των κακόβουλων hackers από όπου ξεκίνησε η επίθεση.
Πόσο σίγουροι όμως μπορεί να είμαστε ότι οι κυβερνοκατάσκοποι δεν άφησαν κακόβουλο λογισμικό ή κερκόπορτες στα ΕΛΤΑ ώστε να διατηρήσουν την πρόσβασή τους στις κρίσιμες υποδομές;
Με χρήση εξειδικευμένων εργαλείων και υπηρεσιών διαπιστώθηκε ότι η πληοροφιακή υποδομή των ΕΛΤΑ ήταν εκτεθειμένη με πλήθος ανοικτών πορτών πρόσβασης (21/FTP, 1723/VPN, 22/SSH,3389 Remote Desktop) ήδη απο το 2018. Το σύνολο των στοιχείων που εμφανίζονται στην παρούσα έρευνα είναι στοιχεία που είναι διαθέσιμα ΣΤΟΝ ΚΑΘΕΝΑ μέσω διαδικτύου με χρήση εξειδικευμένων υπηρεσιών threat landscape monitoring. Τα εν λόγω στοιχεία συνεπώς θα μπορούσε να είναι στην διάθεση των hackers/κυβερνοκατασκόπων προς χρήση.
Απο το 2018 ήδη φαίνεται ότι υπήρχαν ανοικτές πύλες εισόδου/πρόσβασης (από εξουσιοδοτημένο προσωπικό) που μπορούσαν να τύχουν εκμετάλλευσης από κακόβουλους χάκερς. Στο κατωτέρω διάγραμμα εμφανίζονται τα ports που ήταν ενεργα.
Διαπιστώνουμε μάλιστα ότι τον Μάρτιο του 2022 (πιθανολογούμε μετά την επίθεση) οι αρμόδιοι άρχισαν να κλείνουν σταδιακά τις εκτεθειμένες πόρτες πρόσβασης. Σημαντικό στοιχείο είναι το γεγονός ότι υπήρχε εξυπηρετητής (server/workstation) που είχε ενεργοποιημένη την πόρτα 3389 (Remote Desktop). Πολλά malware, σύμφωνα με μελέτες εταιρειών ασφάλειας στο εξωτερικό, χρησιμοποιούν την συγκεκριμένη πόρτα, ωστε με τεχνικές brute force, εντοπίζουν αδύναμους κωδικούς πρόσβασης και αποκτούν πρόσβαση στην υποδομή.
Τα στοιχεία της εν λόγω αποτύπωσης εμφανίζουν τις ακριβείς πόρτες εισόδου που ήταν ενεργές απο τον Νοέμβριο του 2021 έως τον Απρίλιο του 2022. Παρατηρούμε ότι η πόρτα 3389 (Remote Desktop) που πιθανόν να αποτέλεσε και την κερκόπορτα πρόσβασης των χακερς/επιτιθέμενων παρέμενε ανοικτή για πολύ μεγάλο χρονικό διάστημα.
Όπως είναι εμφανές στο διάγραμμα οι εκτεθειμένες υπηρεσίες του Οργανισμού αυξάνονταν μέχρι και τον Μάρτιο του 2022, όποτε ελήφθησαν μέτρα για τον περιορισμό των εκτεθειμένων υπηρεσιών.
Οι αρμόδιοι της Διεύθυνσης Πληροφορικής φαίνεται να έλαβαν δράση περιορίζοντας την πρόσβαση στον συγκεκριμένο εξυπηρετητή και στην συγκεκριμένη υπηρεσία που ήταν ανοικτή πλήρως στο διαδίκτυο για οποιονδήποτε αφού προηγήθηκε η επίθεση.
Οι εγγραφές που μπορεί να εντοπίσει κάποιος στις μηχανές αναζήτησης αδυναμιών αναφέρονται στις κατωτέρω IP διευθύνσεις.
Πόσο σίγουροι όμως μπορεί να είμαστε ότι οι κυβερνοκατάσκοποι δεν άφησαν κακόβουλο λογισμικό ή κερκόπορτες στα ΕΛΤΑ ώστε να διατηρήσουν την πρόσβασή τους στις κρίσιμες υποδομές; Ένα ερώτημα που σίγουρα θα πρέπει να απασχολεί την αρμόδια Διεύθυνση Πληροφορικής.
Απο τις ανωτέρω πληροφορίες που είναι διαθέσιμες στο διαδίκτυο, μπορεί κανείς να διαπιστώσει ότι οι επιτιθέμενοι δεν είχαν ιδιαίτερα υψηλό γνωστικό επίπεδο, εφόσον μπορούσαν να χρησιμοποιήσουν public available εργαλεία για να εντοπίσουν αδύναμα σημεία πρόσβασης στον Οργανισμό και να επιτύχουν τον στόχο τους.
ΕΛΤΑ Κυβερνοεπίθεση: Το Disaster Recovery site είναι ακόμα … στο δρόμο!
Σύμφωνα με ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που έφτασαν στο SecNews μέσω της πλατφόρμας ανώνυμων καταγγελιών που έχει δημιουργήσει και παρέχει το SecNews σε οποιονδήποτε επιθυμεί να κοινοποιήσει με ασφάλεια οποιαδήποτε πληροφορία, τα ΕΛΤΑ είχαν προκηρύξει διαγωνισμό για την δημιουργία Κέντρου Αποκατάστασης Datacenter. Πιο συγκεκριμένα, τα ΕΛΤΑ είχαν προκηρύξει ανοικτό διαγωνισμό για ανάδειξη αναδόχου για το έργο «Δημιουργία και παροχή στα ΕΛΤΑ κύριας και εφεδρικής υποδομής Data center (disaster recovery site) ως υπηρεσία. Το σύνολο των εγγράφων είναι αναρτημένα ελεύθερα στο διαδίκτυο. Ο εν λόγω διαγωνισμός είχε καταληκτική ημερομηνία υποβολής προσφορών την 05-01-2022 του τρέχοντος έτους.
Φαίνεται όμως ότι έλαβε δεύτερη αναβολή (για αδιευκρίνιστους λόγους) στις 07-02-2022 για τις 31-03-2022
Και τρίτη Αναβολή για τις 08.04.2022. Σημειώνουμε δε, ότι η επίθεση έγινε αντιληπτή σύμφωνα με τα ΕΛΤΑ το βράδυ της Κυριακής 20 Μαρτίου προς 21 Μαρτίου 2022.
Άραγε μπορεί να απαντηθεί από τους αρμοδίους, εάν τα πληροφοριακά συστήματα του ΕΛΤΑ διέθεταν κύρια και εφεδρική υποδομή Datacenter (Disaster recovery) θα είχε αποφευχθεί το εν λόγω περιστατικό χωρίς το παραμικρό πρόβλημα?
Επιπλέον ποιοι οι λόγοι που ο εν λόγω διαγωνισμός δεν έχει μέχρι την παρούσα χρονική στιγμή κριθεί γόνιμος?
ΕΛΤΑ Κυβερνοεπίθεση: Ταυτότητα των χάκερς & Phishing SMS σε ανυποψίαστους πολίτες!
Λίγες ημέρες μετά την επίθεση των κυβερνοεγκληματιών, σύμφωνα με ενημέρωση που έλαβε το SecNews απο αναγνώστες που δεν επιθυμούν να δημοσιοποιήσουν την ταυτότητά τους, άρχισαν να εμφανίζονται τα ακόλουθα SMS σε Έλληνες πολίτες.
Στα SMS αυτά, άγνωστοι, με Phishing URL προσπαθούν να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα. Η ιστοσελίδα που αναφέρεται rb.gy είναι γνωστός URL Shorterner ο οποίος επιτρέπει να γίνεται mask ο προορισμος πρόσβασης URL. Ερευνώντας τον συγκεκριμένο σύνδεσμο, η ερευνητική ομάδα του SecNews διαπίστωσε ότι πραγματοποιεί σύνδεση σε τούρκικη εταιρεία σχετιζόμενη με εφαρμογές υγείας με έδρα την Κωνσταντινούπολη.
Τελικά, πίσω από την επιζήμια κυβερνοεπίθεση στα ΕΛΤΑ κρύβονται Τούρκοι χάκερς; Αν ναι, μάλλον μιλάμε για μια επίθεση οιωνό για μια μεγαλύτερης κλίμακας απειλή από την γειτονική χώρα; Η επιτυχής κυβερνοεπίθεση σε κρίσιμη κρατική υποδομή αποτελεί μια προειδοποίηση προς την Ελλάδα ή μια υπενθύμιση ότι σε έναν επικείμενο κυβερνοπόλεμο οι κυβερνοάμυνες μας είναι ανύπαρκτες; Είμαστε τόσο εύκολος στόχος, τελικά; Σήμερα τα ΕΛΤΑ, αύριο ποιος;
Σε επικοινωνία της συντακτικής ομάδας του SecNews με τους αρμόδιους των ΕΛΤΑ, πριν την δημοσιοποίηση του παρόντος άρθρου, αρνήθηκαν να μας κάνουν δηλώσεις λόγω υψηλού φόρτου εργασίας.
