ГлавнаяИсследованияАнализ кибербезопасности: результаты исследования кибератак на Кипре

Анализ кибербезопасности: результаты исследования кибератак на Кипре

Анализ кибербезопасности: результаты исследования кибератак на Кипре, проведенного независимыми исследователями безопасности После недавнего раскрытия SecNews кибератак на критически важные государственные и частные системы на Кипре турецким хакером RootAyyildiz Turkish Defacer, независимые аналитики кибербезопасности PROMETHEUS GROUP опубликовали соответствующий технический документ с подробным исследованием методологии ОС (Разведка с открытым исходным кодом).

Узнайте больше о хакерских атаках:

1. RootAyyildiz Turkish Defacer: турецкий хакер атакует Кипр!

2. Кибератака на аэропорт Ларнаки hermesairports.com со стороны RootAyyildiz!

SecNews представляет вам часть опроса PROMETHEUS GROUP, который вы можете найти полностью здесь. SecNews ретранслирует это исследование с целью сохранение общества в целом и расследование недавних нарушений, имевших место на Кипре. По их словам, PROMETHEUS GROUP состоит из кипрских независимых исследователей кибербезопасности.

Ниже приведены эксклюзивные выводы и заявления исследователей. SecNews транслирует часть исследования, как показано ниже, без комментариев и изменения содержания исследования. Исследования независимых исследователей могут быть технической методологией расследования подобных случаев.

Анализ кибербезопасности: результаты исследования кибератак на Кипре
Анализ кибербезопасности: результаты исследования кибератак на Кипре

Цитирование учебного перевода https://github.com/prometheusgroup/YPAM-CyberAttack/blob/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf

 ——————————– Цитата на начало исследования ——————————–

За последние две недели появилось сообщение о кибератаке на веб-сайт Министерства обороны со стороны известной турецкой хакерской группы. Оригинальная новостная статья была опубликована SecNews.gr (https://secnews.gr/331587/rootayyildiz-turkish-defacer-hacker-cyprus/) 24 марта 2021 года и включал подробный анализ атаки вместе с фотографическими данными украденных данных.

29 марта 2021 года на сайте Philenews.com среди прочего была опубликована статья (https://www.philenews.com/koinonia/eidiseis/article/1157770/prospatheia-epithesis-apo-chakerstin-istoselida-toy-ypam) о том, что атака на министерство была успешно заблокирована и что министерство приняло все необходимые меры для предотвращения подобных действий в будущем.

Некоторые будут утверждать, что кипрские политики привыкли «молча» освещать крупные инциденты, вызванные некомпетентностью, безразличием, халатностью, прибылью, саморекламой и / или самосохранением (взрыв на военно-морской базе Эвангелоса Флоракиса, «Стрижка в 2013 году», банковские депозиты COOP и Laiki банкротства и т. д.) Поэтому мы решили представить потенциальные последствия вышеупомянутой кибератаки.

Согласно статье SecNews, злоумышленнику удалось поставить под угрозу один из сайтов Минобороны. Но какой? Какую информацию мы можем раскрыть об атаке через Open Source Intelligence (т.е. общедоступную информацию)? Простой запрос на DNSdumpster.com может предоставить нам полезную информацию об общедоступных веб-сайтах министерства.

Анализ кибербезопасности: результаты кибератаки на Кипре PROMETHEUS GROUP
Анализ кибербезопасности: результаты исследования кибератак на Кипре

Согласно изображению выше, мы можем попробовать посетить веб-сайт mod.gov.cy, чтобы проверить, можем ли мы найти индикаторы взлома (IoC) или информацию, которая может привести к выводу о взломе сайта.

ПРОМЕТЕЙ ГРУПП
Анализ кибербезопасности: результаты исследования кибератак на Кипре

На изображении выше показано, что сайт был создан с использованием системы управления контентом MODX (CMS). Это указывает на то, что это взломанный сайт, потому что в некоторых изображениях, опубликованных хакером, экспортированные таблицы базы данных и имена файлов сайтов начинаются с modx_ (например, modx_dashboard.csv). Если это взломанный сайт, какие еще правительственные сайты используют MODX CMS и также были или могут быть взломаны в ближайшем будущем?

Быстрый поиск в Google показывает, что публикации.gov.cy и www.pio.gov.cy потенциально могут стать жертвами одной и той же атаки, поскольку они могут быть подвержены одной и той же уязвимости.

Однако, чтобы получить представление о количестве сайтов, которые могут использовать один и тот же сервер с сайтом MOD и, вероятно, уже были скомпрометированы во время атаки, мы просто нажали «Найти хосты, использующие этот IP-адрес» на сайте DNSsumpster. com в соответствии с изображением ниже.

ПРОМЕТЕЙ ГРУПП
Анализ кибербезопасности: результаты исследования кибератак на Кипре

Ниже приведен примерный список из 78 сайтов, перечисленных на DNSsumpster.com. Имейте в виду, что скомпрометированные данные не были раскрыты хакером, поэтому данные, возможно, не были украдены.

Полный список сайтов на этом сервере приведен ниже, чтобы проинформировать тех, чьи данные могли быть скомпрометированы, и начать расследование.

Анализ кибербезопасности: результаты кибератаки на Кипре PROMETHEUS GROUP
Анализ кибербезопасности: результаты исследования кибератак на Кипре

Как насчет сайта www.mod.gov.cy;

Изображение DNSdumpster.com указывает, что он работает на веб-сервере Lotus Domino, но посещение сайта указывает, что он отключен / недоступен. Следует отметить, что веб-сайт WayBackMachine (archive.org) получает снимки общедоступных веб-сайтов через определенные промежутки времени. WayBackMachine автоматически перенаправляет нас на снимок mod.gov.cy, что означает, что оба домена (mod.gov.cy и www.mod.gov.cy) ведут к одному и тому же IP-адресу и, следовательно, к веб-серверу до недавнего времени (т.е.это был один и тот же веб-сайт).

Таким образом, последний оставшийся изотоп в списке DNSdumpster.com, newarmy.mod.gov.cy, был недоступен на момент написания этого анализа. Однако WayBackMachine показывает, что последний снимок сайта был сделан 19 января 2021 года и имел следующее содержание.

Анализ кибербезопасности: результаты кибератаки на Кипре PROMETHEUS GROUP
Анализ кибербезопасности: результаты исследования кибератак на Кипре

На первый взгляд, это очень важный сайт. Однако, учитывая тот факт, что личные данные заявителей, которые пытались зарегистрироваться в Национальной гвардии (SNC), могли быть украдены, уполномоченному по защите личных данных следует продолжить расследование инцидента. Кроме того, если личные данные профессиональных солдат действительно были скомпрометированы, возникает вопрос национальной безопасности, поскольку они могут находиться в руках иностранного государства.

Попробуем подсчитать вероятность взлома этого сайта. Открывая снимок newarmy.mod.gov.cy, сделанный 20 августа 2019 года, мы видим следующее сообщение о перенаправлении.

Анализ кибербезопасности: результаты исследования кибератак на Кипре
Анализ кибербезопасности: результаты исследования кибератак на Кипре

Анализ кибербезопасности: результаты исследования кибератак на Кипре

[Подробнее в исследовании здесь]

Но были ли они нарушены? Образы, выпущенные хакером, включают список имен экземпляров базы данных MS SQL Server. Это можно легко вывести из имен базы данных MS SQL по умолчанию «master», «msdb» и «model», которые ясно показаны на изображении ниже.

ПРОМЕТЕЙ ГРУПП
Анализ кибербезопасности: результаты исследования кибератак на Кипре

[Подробнее в исследовании здесь]

Список частных и государственных компаний, а также государственных организаций, которые совместно используют один сервер с newarmy.mod.gov.cy:

[Подробнее в исследовании vώ]

Вероятность взлома вышеупомянутых сайтов очень высока, так как они принадлежат одному серверу.

[Подробнее в исследовании vώ]

Больше всего беспокоит то, что две из потенциально скомпрометированных баз данных принадлежат Управлению уполномоченного по электронной связи и почтовым нормам под контролем и управлением Национальной группы реагирования на компьютерную безопасность (CY-CSIRT) и Управления цифровой безопасности (DSA). . Согласно национальному законодательству DSA, это компетентный орган по безопасности цифровых сетей и информационных систем на Кипре и координатор по реализации стратегии национальной безопасности. Проще говоря, он отвечает за защиту критически важной инфраструктуры страны (например, Управление электроэнергетики, водные объекты, органы канализации, банки и т. Д.) И собирает информацию о безопасности, слабых местах и ​​механизмах защиты, а также имеет право налагать штрафы ( штрафы и тюремное заключение сроком до 3 лет) для компаний и физических лиц, находящихся под контролем Управления.

По поводу инцидента возникают следующие вопросы:

1. Приняли ли Министерство обороны и Управление по исследованиям, инновациям и цифровой политике необходимые меры для информирования компетентных органов об инциденте (например, Уполномоченного по защите личных данных)? Если нет, то почему?

2. Почему инцидент был подорван в публичном заявлении Министерства обороны для СМИ?

3. Каков реальный объем утечки личной информации с учетом всех клиентов из приведенного выше списка?

4. Это не первый случай или сообщение об инциденте кибербезопасности, который затронул государственные системы. Почему правительство не приняло необходимые меры для безопасного развития сайта (например, тестирование на проникновение, отказ от среды общего хостинга для конфиденциальной информации и т. Д.)?

5. Кто отвечает за государственные процедуры кибербезопасности?

6. Какая информация о критической инфраструктуре Кипра была просочена с веб-сайта OCECPR? Почему они не были обнаружены ими и какие меры они приняли для предотвращения нарушения таких данных?

Мы считаем, что прикрытие кибератак - обычная практика на Кипре. Это пагубно сказывается на компаниях, поскольку они не видят реального риска атак, поэтому они скептически относятся к необходимости принятия мер предосторожности для их защиты, пока, конечно, не станет слишком поздно (как мы видели на собственном опыте). снова.).

На момент написания этого документа SecNews.gr (secnews.gr/339663/hacked-larnaca-airporthermesairports-rootayyil/), опубликовал статью об атаке на сайт Hermes Airports.

[Подробнее в исследовании здесь]

Поэтому мы хотели бы дать правительству следующие рекомендации относительно систем, политик и процедур:

1. Что касается любых государственных информационных систем, к безопасности нужно относиться серьезно всеми заинтересованными сторонами, и не останавливаться на достигнутом.

2. Правительство должно проводит обзоры безопасности и тесты на проникновение для выявления и устранения критических уязвимостей безопасности. Он также должен постоянно контролировать свои системы на предмет хакерских атак и иметь план на случай любой такой возможности.

3. Определите один Контактное лицо так что любой, кто обнаруживает уязвимость / уязвимость системы безопасности, связанную с правительственной системой, мог ответственно сообщить об этом.

4. Реализуйте программу ошибка баунти, чтобы кипрские хакеры (эксперты по безопасности) могли на законных основаниях тестировать и сообщать об уязвимостях в государственных системах, за которые они получают финансовое вознаграждение.

5. Открыто принимайте и сообщайте об инцидентах безопасности влияющие на государственные системы. Мы рекомендуем назначить представителей для информирования общественности о таких инцидентах.

[Подробнее в исследовании здесь]

Все вышеперечисленные рекомендации также применимы ко всем компаниям частного сектора, которым необходимо предпринять необходимые шаги для подачи заявок. То, что было упомянуто выше, основано исключительно на информации, которую нам удалось собрать из государственных ресурсов, и компетентные органы должны провести соответствующее расследование для их подтверждения (на основе наших комбинированных методов и опыта).

Другие новости: Мобильное вредоносное ПО - одна из самых серьезных угроз для организаций в 2020 году

Мы заранее приносим извинения пострадавшим компаниям, если мы нанесли ущерб их репутации, но мы намеревались ответственно проинформировать общественность и тех, чья личная информация могла быть скомпрометирована, поскольку было очевидно, что никто другой этого не сделает.

Эксперты / аналитики по кибербезопасности Prometheus Group

«Мы - группа кипрских профессионалов в области кибербезопасности, которые предпочитают оставаться анонимными (по крайней мере, на данный момент). Это первый раз, когда мы исследуем и публикуем нашу работу. Мы создали эту группу, чтобы повысить осведомленность общественности о ситуации с кибербезопасностью на Кипре.

Благодаря нашей работе мы реализовали несколько атак на критически важные организации и правительство. К сожалению, эти события остаются неопубликованными или неопубликованными. «Мы стали свидетелями перехода к более ориентированному на безопасность менталитету организаций в частном секторе, но государственный сектор полностью отсутствует».

Техническая документация от PROMETHEUS GROUP

 ------------ [Цитирование в конце исследования] -----------

[ОБНОВЛЕНИЕ SECNEWS 13.04.2021]

Обратите внимание, что заинтересованные стороны были проинформированы о существовании соответствующего исследования на Github. Официального ответа на публикацию нам не предоставили, и по их просьбе их имена были удалены.

spot_img

ЖИВЫЕ НОВОСТИ