Νέα επίθεση από χάκερ στη Τράπεζα Θεμάτων, σήμερα 30 Μαΐου και όλοι μιλούν για DDOS επίθεση. Ήταν όμως DDOS ή οφείλεται σε ελλιπή μέτρα προστασίας και ασφάλειας των πληροφοριακών συστημάτων; Το Υπουργείο Παιδείας ανακοίνωσε ότι «Δεχθήκαμε μία επίθεση μεγατόνων από χάκερς» με αποτέλεσμα να ήταν αδύνατη η πρόσβαση στην πλατφόρμα για πολλές ώρες και δεν μπορούσαν να πάρουν τα θέματα οι καθηγητές. Επιπλέον σε σημερινή ανακοίνωση η Τράπεζα Θεμάτων ενημέρωσε ότι δέχτηκε 165 εκατομμυρια χτυπήματα σε μια ώρα απο 140 χώρες.
Δείτε Ακόμα: Ανακοίνωση στρατηγικής συνεργασίας Trust-IT LTD και Cloudflare Inc.
To SecNews έχει ήδη ξεκινήσει τις έρευνες για να βρεθεί η πραγματική αιτία πίσω από το φιάσκο με την Τράπεζα Θεμάτων. Σε tweets, από χθές το βράδυ, τεχνικοί του SecNews έχουν δημοσιεύσει τις πρώτες εκτιμήσεις σχετικά με την κυβερνοεπίθεση. Μπορείτε να δείτε εδώ όλα τα tweets με τις σχετικές πληροφορίες. Ακολουθεί η τεχνική ανάλυση.
Δείτε Ακόμα: Η Cloudflare μετριάζει μια DDoS επίθεση με 71 εκατομμύρια request-per-second
Σύμφωνα, λοιπόν, με δημοσιεύματα η ιστοσελίδα trapeza.iep.edu.gr (server που εξυπηρετεί την Τράπεζα Θεμάτων και βρίσκεται στις υποδομές του Ινστιτουτου Εκπαιδευτικής Πολιτικής) δέχθηκε μια ισχυρή επίθεση Distributed Denial of Service (DDoS), μια επίθεση που ως γνωστών παραλύει και απειλεί τη λειτουργία των υπολογιστικών συστημάτων οργανισμών αλλά και την ασφάλεια των πληροφοριών που διαθέτει.
Τι είναι οι επιθέσεις DDoS;
Οι επιθέσεις DDoS είναι κυβερνοεπιθέσεις όπου πολλαπλοί υπολογιστές (συνήθως από χώρες που διαθέτουν υψηλό bandwidth όπως Ρωσία,Κίνα,Ινδία,ΗΠΑ) κατακλύζουν έναν στόχο με τόσο μεγάλο όγκο δεδομένων/αιτημάτων, ώστε να μην μπορεί να επεξεργαστεί όλες τις αιτήσεις, με αποτέλεσμα να γίνεται ανενεργός κοινώς να “πέφτει”. Αυτό επιτυγχάνεται συνήθως χρησιμοποιώντας την τακτική της επίθεσης από πολλαπλά σημεία, με τον στόχο να κατακλύσουν το σύστημα ή το δίκτυο του θύματος με επιβαρυντικές αιτήσεις.
Ο εξυπηρετητής (server) δεν μπορεί να ανταποκριθεί στα αιτήματα και η παροχή της υπηρεσίας σταματάει. Οι υπολογιστές που χρησιμοποιούνται για την διεξαγωγή αυτών των επιθέσεων είναι συνήθως εν αγνοία των κατόχων τους (botnets/zombies) και διατάσσονται από τους χειριστές/hackers να αρχίσουν την αποστολή αιτημάτων προς τον server-στόχο. Μετά από λίγο και ανάλογα με τον αριθμό των αιτημάτων ο server-στοχος τίθεται εκτός λειτουργίας με αποτέλεσμα να μην μπορεί να ανταποκριθεί σε νέα αιτήματα. Σχηματική αναπαράσταση των επιθέσεων φαίνεται παρακάτω:
Τράπεζα Θεμάτων DDoS επίθεση: Τι συνέβη στην περίπτωση κυβερνοεπίθεσης στη Τράπεζα Θεμάτων;
Στην περίπτωση της Τράπεζας θεμάτων, η επίθεση DDoS «φέρεται» σύμφωνα με τις πληροφορίες των μέσων ενημέρωσης αλλά και την ανάρτηση του Υπουργείου Παιδείας, να παρέλυσε τα ψηφιακά του συστήματα για αρκετές ώρες, τόσο στις 29/5/2023 αλλά και σήμερα στις 30/5/2023. Η ανακοίνωση μάλιστα ανέφερε ότι:
“Έγιναν μαζικές επισκέψεις από τρίτους προς την πλατφόρμα -η ανακοίνωση κάνει λόγο για έως 280.000 συνδέσεις ανά δευτερόλεπτο-, συνδέσεις που έχουν ως σκοπό να την κάνουν μη λειτουργική. «Αυτές οι κατανεμημένες επιθέσεις DDοS αποσκοπούν κακόβουλα να εμποδίσουν την ομαλή πρόσβαση των χρηστών στο σύστημα. Δεν αποτελούν παραβίαση του συστήματος ούτε είναι σε θέση να αποκτήσουν πρόσβαση στα στοιχεία του και τα δεδομένα του», αναφέρεται στην ανακοίνωση.
Όπως ενημέρωσαν τα υπουργεία, η επίθεση απομονώθηκε στις 9:20 το πρωί, με κοινές ενέργειες από το ΙΕΠ και το ΕΔΥΤΕ και τότε επανήλθε η δυνατότητα πρόσβασης των χρηστών. Ωστόσο, οι κακόβουλες επιθέσεις επέμειναν και συνεχίστηκαν και μετά τις 9:20, αντιμετωπίστηκαν όμως με επιτυχία.
Το SecNews προχώρησε σε τεχνική δημοσιογραφική έρευνα ώστε να προσδιορίσει τα πραγματικά περιστατικά. Πληροφορίες που έφτασαν στο SecNews, μέσω Twitter (ευχαριστούμε τον φίλο-αναγνώστη μας) καθοδήγησαν την τεχνική μας ομάδα στο να αναζητήσει σχετικά τεχνικά δεδομένα στην ιστοσελίδα https://mon.grnet.gr και πιο συγκεκριμένα στο
https://mon.grnet.gr/rg/543947/details/#tabs=aggregate
Το Εθνικό Δίκτυο Υποδομών Τεχνολογίας και Έρευνας (ΕΔΥΤΕ) https://www.grnet.gr στελέχη του οποίου διαθέτουν υψηλή κατάρτιση υποστηρίζοντας πλήθος υποδομών στη χώρα μας, έχουν δημιουργήσει Monitoring Tool (με χρήση Opensource εργαλείων) ώστε σε πραγματικό χρόνο και κάθε χρονική στιγμή να καταγράφουν της διακυμάνσεις του διαδικτυακού φόρτου.
Όπως μπορεί να αναγνώσει ο οποιοσδήποτε στα σχετικά γραφήματα, τα στελέχη του ΕΔΥΤΕ καταγράφουν ογκομετρικά κάθε στιγμή πλήθος φορέων που παρέχουν υπηρεσίες διαδικτύου, όπως Σχολικό Δίκτυο, Wireless Νοσοκομείων, NOC(Network Operation Center), Backbone links και συνδέσεις με εξωτερικό, Πανεπιστήμια, Syzefxis κ.α.
Τα γραφήματα αυτά βοηθούν τους τεχνικούς υπεύθυνους να εντοπίζουν δυσλειτουργίες, αυξημένη κίνηση (η οποία μπορεί υπό συνθήκες να οφείλεται σε επιθέσεις), καθώς και να διατηρούν στατιστικά στοιχεία για πρόληψη βλαβών, αντικατάσταση εξοπλισμού κ.α. Τα στοιχεία που αντλούν από το ΕΔΥΤΕ (μέσω SNMP) αφορούν στοιχεία που διέρχονται από τους δρομολογητές που διαχειρίζεται το ΕΔΥΤΕ (routers).
Η ιστοσελίδα που αναφέρουν ότι δέχτηκε κυβερνοεπίθεση μεγάλης κλιμακας, https://trapeza.iep.edu.gr την διαχειρίζεται το Ινστιτούτου Εκπαιδευτικής Πολιτικής.
Το Ινστιτούτο Εκπαιδευτικής Πολιτικής (ΙΕΠ) είναι επιτελικός επιστημονικός φορέας που υποστηρίζει το ΥΠΑΙΘ στα θέματα που αφορούν την Πρωτοβάθμια και Δευτεροβάθμια Εκπαίδευση, καθώς και τη μετάβαση από τη Δευτεροβάθμια στην Τριτοβάθμια εκπαίδευση. Γνωμοδοτεί ή εισηγείται κατόπιν σχετικού ερωτήματος του/της Υπουργού Παιδείας και Θρησκευμάτων ή αυτεπαγγέλτως, σύμφωνα με την περ. (α) της παρ. (3) του άρθρου 2 του ν. 3966/2011, όπως ισχύει.
Κατα την διάρκεια της «μεγάλης κλίμακας κυβερνοεπίθεσης» προσπαθήσαμε να προσδιορίσουμε την διαδρομή σύνδεσης προς τον εξυπηρετητή trapeza.iep.edu.gr
Διαπιστώνουμε ότι η διαδικτυακή σύνδεση προς τον εξυπηρετητή διέρχεται από τους ανωτέρω routers (gnt14-1902.louros.grnet.gr) και lourdcfs1-eier-1.backbone.grnet.gr. Συνεπώς οποιαδήποτε προσπάθεια σύνδεσης προς τον εξυπηρετητή περιέρχεται από την συγκεκριμένη διαδρομή.
Εν συνεχεία αναζητήσαμε τους ανωτέρω δρομολογητές (routers) στο σύστημα καταγραφής/monitoring του GRNET https://mon.grnet.gr
To σύνολο της διαδικτυακής κίνησης MRTG diagrams (Multi Router Traffic Grapher)αναφορικά με τα hosted sites μπορεί να δει κάποιος εδώ:
https://mon.grnet.gr/rg/search/
Επιλέξαμε την οπτική απεικόνιση εβδομαδιαία (week) αλλά και μηνιαία για στατιστικούς λόγους όπου προκύπτουν τα παρακάτω συμπεράσματα:
- είναι εμφανές ότι η συνολική κίνηση από τον εν λόγω router/firewall που εξυπηρετούσε το trapeza.iep.edu.gr ήταν αυξημένη και 26-27 Μαΐου αλλά και 29-30. Υπήρχαν και άλλες περίοδοι επίσης όπου παρατηρείται υπεραυξημένη κίνηση. Δεν απασχόλησε όμως κανέναν όπως φαίνεται…
- Στην μηνιαία κατανομή διαπιστώνουμε ότι υπάρχουν αυξομειώσεις στο διαδικτυακό φόρτο αλλά ουδέν αξιοσημείωτο
- Σύμφωνα με απόψεις ειδικών δεν αποτελεί ιδιαίτερα αυξημένη κίνηση για κρίσιμες υποδομές ο όγκος 5.1Gb data από τους δρομολογητές και δικαιολογείται ΑΠΟΛΥΤΑ για το χρόνο διεξαγωγής των εξετάσεων λαμβανομένου υπόψη ότι μεγάλος αριθμός συνδέσεων θα πραγματοποιηθούν για την άντληση θεμάτων από τα κατά τόπους σχολεία.
- Ακόμα και αν πρόκειται για κυβερνοεπίθεση από τα διαγράμματα είναι εμφανές ότι αντίστοιχος όγκος διαδικτυακής κίνησης εντοπίστηκε από το monitoring σύστημα του GRNET, στις 26-27 Μαΐου αλλά και αρκετές φορές εντός του έτους (πχ Week18/Week19). Γιατί λοιπόν οι αρμόδιοι τότε ΔΕΝ μίλησαν για κυβερνοεπίθεση ή δεν πήραν τα αναγκαία μέτρα πάρα μόνο ανακάλυψαν το εύρημα της κυβερνοεπίθεσης την ημέρα που χιλιάδες μαθητές προσπαθούν να διαγωνιστούν στα σχολεία τους;
- Τα δελτία τύπου της υπηρεσιακής κυβέρνησης κάνουν λόγο για 280.000 connections/second. Επιπλέον αναφέρουν εκατομύρια requests απο 140 χώρες. Κάτι τέτοιο δεν δεν αποτυπώνεται ούτε υπάρχει πουθενά το συγκεκριμένο νούμερο στα όσα είναι δημοσίως διαθέσιμα από το ΕΔΥΤΕ. Απο τα επίσημα στατιστικά του φορέα δεν μπορεί να προσδιοριστεί σε καμία περίπτωση τα νούμερα που αναφέρονται.
Το SecNews από την πρώτη στιγμή της κυβερνοεπίθεσης ζητάει να αναρτηθούν τεχνικά στοιχεία που να υποδηλώνουν τις λεπτομέρειες της επίθεσης κάτι που μέχρι αυτή την στιγμή δεν έχει συμβεί
Εφόσον το ΕΔΥΤΕ διαθέτει πρόσθετα στοιχεία αναφορικά με τον όγκο του traffic που δέχτηκε και ΔΕΝ αποτυπώνεται στα επίσημα στατιστικά του mon.grnet.gr θα ήταν αξιο λόγου να κοινοποιηθεί.
Επιπλέον, το GRNET/ΕΔΥΤΕ γνωρίζοντας επακριβώς την τοπολογία των routers αλλά και το traffic που διαμεταγάγουν κατά την διάρκεια της επίθεσης θα μπορούσε να αναρτήσει τα σχετικά διαγράμματα
Τράπεζα Θεμάτων DDoS επίθεση: Ενέργειες και μέτρα αποκατάστασης χωρίς αντίκρισμα;
Οι επιπτώσεις από μια τέτοια επίθεση είναι πολυάριθμες και μπορεί να περιλαμβάνουν την απώλεια εμπιστοσύνης των πολιτών, οικονομικές απώλειες από την προσωρινή αναστολή των υπηρεσιών και την αποκάλυψη ευαίσθητων δεδομένων. Η απειλή των επιθέσεων DDoS σε οργανισμούς και επιχειρήσεις δεν είναι μόνο η παρεμπόδιση της λειτουργίας τους, αλλά και η πιθανότητα να χρησιμοποιηθούν ως αποπροσανατολισμός για άλλες, πιο επιθετικές κυβερνοεπιθέσεις.
Από την στιγμή που δημοσιοποιήθηκε το θέμα της «κυβερνοεπίθεσης», η Τράπεζα θεμάτων φέρεται να συνεργάστηκε με συγκεκριμένη εταιρεία για να ανακόψει την επίθεση και να αποκαταστήσει τη λειτουργία του (AKAMAI). Πιθανολογούμε ότι στόχος είναι να εγκατασταθεί συστήμα αποτροπής DDoS για να αποφύγει μελλοντικές επιθέσεις και να ενισχύσει την αντοχή τους στην κυβερνοεπίθεση. Παρ’όλα αυτά ακόμα και αυτό έγινε λανθασμένα. Ενώ ενεργοποιήθηκε η υπηρεσία ΑΚΑΜΑΙ (σ.σ συνήθως αυτές οι εταιρείες αναλαμβάνουν την αποτροπή κυβερνοεπιθέσεων με αντάλλαγμα συμβόλαια υποστήριξης στο μέλλον – δεν εντοπίσαμε κάποια σχετική προμήθεια στην ΔΙΑΥΓΕΙΑ) το setup που επιλέχθηκε δεν ήταν το βέλτιστο.
- Οι επιτιθέμενοι έχοντας καταγράψει το threat landscape του Οργανισμού ακόμα και αν ενεργοποιήθηκε υπηρεσία ddos mitigation, μπορούν πολύ εύκολα να την παρακάμψουν απλά στοχοποιώντας απευθείας την IP διεύθυνση και όχι το DNS hostname (trapeza.iep.edu.gr). Ακόμα και αν οι αρμόδιοι άλλαζαν την IP διεύθυνση, εχει παρατηρηθεί οι χάκερς να στοχοποιούν τον router που δίνει διαδίκτυο στην εν λόγω υπηρεσία και με αυτό τον τρόπο μπορούν να προκαλέσουν το ίδιο ακριβώς αποτέλεσμα. Για πολλές ώρες η IP διεύθυνση του εξυπηρετητή trapeza.iep.edu.gr ήταν ορατή στον καθένα και δεν είχε “αποκρυφθεί” ορθώς απο το CDN της ΑΚΑΜΑΙ
- Η πρόσβαση στο iep.edu.gr θα μπορούσε να επιτραπεί ΑΠΟΚΛΕΙΣΤΙΚΑ και ΜΟΝΟ από Ελληνικές IP διευθύνσεις. Το Secnews πραγματοποίησε έρευνα πρόσβασης από πολλαπλές IP διευθύνσεις όπως Αίγυπτο, Τουρκία, Κίνα, ΗΠΑ και η πλατφόρμα ήταν ορατή. Από την στιγμή που η εν λόγω υπηρεσία αφορά μόνο Ελληνικά σχολεία δεν υπήρχε οποιοσδήποτε λόγος να είναι ορατή από το σύνολο του διαδικτύου. Εκτός αν οι καθηγητές που ενδιαφέρονται για την Τράπεζα Θεμάτων εδρεύουν σε χώρες όπως Ρωσία/Κίνα ή άλλου (εκτός της Ελληνικής επικράτειας)
- Ενώ το GRNET/ΕΔΥΤΕ διαθέτει μηχανικούς με υψηλή τεχνογνωσία και όλο το απαιτούμενο τεχνολογικό εξοπλισμό, φαίνεται ότι όσοι αποφασίζουν για την δημιουργία των εν λόγω υπηρεσιών δεν λαμβάνουν υπόψη τους την άποψη τεχνοκρατών, παρέχοντας υπηρεσίες και πλατφόρμες με σημαντικότατα λογικά σφάλματα (logical flaws).
Τράπεζα Θεμάτων DDoS επίθεση: Τελικές σκέψεις για την κυβερνοεπίθεση
Η κυβερνοασφάλεια είναι μια αναγκαία επένδυση στη σύγχρονη εποχή. Οι επιθέσεις DDoS είναι μόνο ένα από τα πολλά εργαλεία στη διάθεση των κυβερνοεγκληματιών. Οι οργανισμοί πρέπει να λαμβάνουν προληπτικά μέτρα για να προστατεύσουν τους εαυτούς τους και τα δεδομένα τους από τέτοιες επιθέσεις. Η προετοιμασία και η εκπαίδευση είναι κλειδιά στην αντιμετώπιση αυτής της κυβερνοαπειλής.
Στην Τράπεζα Θεμάτων, πιθανολογούμε ότι το περιστατικό οφείλεται
Α) αποκλειστικά στην έλλειψη παντελούς προετοιμασίας για ανάλογα περιστατικά
Β) στην μη αξιοποίηση με τον βέλτιστο τρόπο των πόρων του GRNET/ΕΔΥΤΕ
Γ) στον λανθασμένο λογικό σχεδιασμό της εφαρμογής
Δ) Στην μη αξιοποίηση των υπάρχοντών στοιχείων (μιας και διαπιστώσαμε ότι υπήρξε επαυξημένη κίνηση διαδικτυακού φόρτου μέρες πριν το περιστατικό)
Ε) Στην πλήρη έλλειψη πλάνου και εκπαίδευσης των φορέων σχετικά με την αντιμετώπιση αντίστοιχων καταστάσεων και ανυπαρξία plan-b
Να σημειώσουμε ότι ο εισαγγελέας του Αρείου Πάγου, Ισίδωρος Ντογιάκος, έδωσε εντολή για έρευνα με τη συνδρομή της Δίωξης Ηλεκτρονικού Εγκλήματος, καθώς το υπουργείο Παιδείας καταγγέλλει κυβερνοεπίθεση. Σύμφωνα με την εντολή Ντογιάκου οι αρμόδιες υπηρεσίες μπορούν να προχωρήσουν και σε κατασχέσεις υπολογιστών και άλλων στοιχείων προκειμένου να ερευνήσουν τις καταγγελίες για επίθεση από χάκερς.
LastHint: Μιλάμε για (Ασφάλεια) Ελλάδα 2.0 και τεχνολογική επανάσταση. Ας ξεκινήσουμε όμως την τεχνολογική επανάσταση με την τοποθέτηση ενός SSL Certificate. Με μια απλή επίσκεψη στην επίσημη ιστοσελίδα του Ινστιτούτου Εκπαιδευτικής Πολιτικής (http://www.iep.edu.gr) δεν έχουν ενεργοποιήσει ούτε το γνωστό σε όλους μας SSL. Αν επισκεφθεί κάποιος την ιστοσελίδα με SSL λαμβάνει μήνυμα η ιστοσελίδα δεν βρέθηκε. Ασφάλεια πάνω από όλα!
H τεχνική έρευνα του SecNews συνεχίζεται για το περιστατικό κυβερνοεπίθεσης στη Τράπεζα Θεμάτων. Μείνετε συντονισμένοι.
