Αποτελέσματα έρευνας για την κυβερνοεπίθεση στην Κύπρο

Cybersecurity

analysis: Αποτελέσματα έρευνας ανεξάρτητων ερευνητών ασφάλειας για την



κυβερνοεπίθεση

στην Κύπρο



Σε συνέχεια της πρόσφατης αποκάλυψης του SecNews σχετικά με τις



κυβερνοεπιθέσεις

που δέχτηκαν κρίσιμα κρατικά αλλά και ιδιωτικά

συστήματα

της Κύπρου από τον Τούρκο hacker RootAyyildiz Turkish Defacer, η ανεξάρτητη ομάδα

cybersecurity

αναλυτών, PROMETHEUS GROUP, δημοσίευσε σχετικό whitepaper με μια ενδελεχή μελέτη του περιστατικού βασισμένη σε OSINT μεθοδολογία (

Open-source intelligence

).

Μάθετε περισσότερα για τις



hacking




επιθέσεις

:

1.

RootAyyildiz Turkish Defacer: Ο Τούρκος hacker επιτίθεται στην Κύπρο!

2.




Κυβερνοεπίθεση

στο Αεροδρόμιο Λάρνακας hermesairports.com από τον RootAyyildiz!

Το SecNews σας παρουσιάζει τμήμα της έρευνας της PROMETHEUS GROUP, την οποία μπορείτε να βρείτε στο σύνολό της εδώ. Το SecNews αναμεταδίδει την εν λόγω



έρευνα

με στόχο την

διαφύλαξη του κοινωνικού συνόλου και την διερεύνηση των πρόσφατων περιστατικών παραβίασης που έλαβαν χώρα στην Κύπρο.

Η PROMETHEUS GROUP, κατα δήλωσή τους, αποτελείται απο Κύπριους ανεξάρτητους ερευνητές κυβερνοασφάλειας.

Τα κατωτέρω αναγραφόμενα είναι αποκλειστικά ευρήματα και δηλώσεις των ερευνητών. Το SecNews μεταδίδει τμήμα της μελέτης, ως φαίνεται κατωτέρω, χωρίς να εκφέρει κρίσεις ή να αλλοιώσει το περιεχόμενο της έρευνας. Η μελέτη των ανεξάρτητων ερευνητών, μπορεί να αποτελέσει τεχνική μεθοδολογία διερεύνησης αντίστοιχων περιστατικών.

——————————————————————————

Τις τελευταίες δύο εβδομάδες έγινε αναφορά για



κυβερνοεπίθεση

κατά της ιστοσελίδας του Υπουργείο Άμυνας από μια γνωστή τουρκική





hacking

ομάδα. Το πρωτότυπο άρθρο ειδήσεων δημοσιεύτηκε από το SecNews.gr (https://secnews.gr/331587/rootayyildiz-turkish-defacer-hacker-cyprus/) στις 24 Μάρτιος 2021 και περιελάμβανε λεπτομερή ανάλυση της επίθεσης, μαζί με φωτογραφικά στοιχεία των δεδομένων που έχουν κλαπεί.

Στις 29 Μαρτίου 2021, ο ιστότοπος Philenews.com, μεταξύ άλλων, δημοσίευσε ένα άρθρο (

https://www.philenews.com/koinonia/eidiseis/article/1157770/prospatheia-epithesis-apo-chakerstin-istoselida-toy-ypam

) που αναφέρει ότι η



επίθεση

εναντίον του Υπουργείου μπλοκαρίστηκε επιτυχώς και ότι το Υπουργείο έλαβε όλα τα απαραίτητα μέτρα για να αποτρέψει παρόμοιες μελλοντικές ενέργειες.

Κάποιοι θα υποστηρίξουν ότι οι Κύπριοι πολιτικοί είναι συνηθισμένοι στο να καλύπτουν “αθόρυβα” μεγάλα περιστατικά που προκαλούνται από ανικανότητα, αδιαφορία, αμέλεια, κέρδος, αυτοπροώθηση ή / και αυτοσυντήρηση (Έκρηξη στη ναυτική βάση «Ευάγγελος Φλωράκης», Κούρεμα σε τραπεζικές καταθέσεις το 2013, COOP και  Laiki πτωχεύσεις κ.λπ.) Ως εκ τούτου, αποφασίσαμε να παρουσιάσουμε τον πιθανό αντίκτυπο της προαναφερθείσας επίθεσης στον κυβερνοχώρο.

Σύμφωνα με το άρθρο SecNews, ο εισβολέας κατάφερε να θέσει σε κίνδυνο έναν από τους ιστότοπους του Υπουργείου Άμυνας. Αλλά ποιο; Τι πληροφορίες μπορούμε να αποκαλύψουμε σχετικά με την



επίθεση

μέσω του

Open Source


Intelligence

(δηλ. πληροφορίες που είναι διαθέσιμες στο δημόσιο τομέα); Ένα απλό ερώτημα στον ιστότοπο DNSdumpster.com μπορεί να μας δώσει χρήσιμες πληροφορίες σχετικά με τους δημόσιους ιστότοπους του Υπουργείου.

Σύμφωνα με την παραπάνω εικόνα μπορούμε να δοκιμάσουμε και να επισκεφθούμε τον ιστότοπο mod.gov.cy για να ελέγξουμε αν μπορούμε να βρούμε δείκτες παραβίασης (IoCs) ή πληροφορίες που θα μπορούσαν να οδηγήσουν στο συμπέρασμα ότι ο ιστότοπος έχει παραβιαστεί.

Η παραπάνω εικόνα δείχνει ότι ο ιστότοπος δημιουργήθηκε χρησιμοποιώντας το MODX Content Management System (CMS). Αυτό αποτελεί δείκτη ότι πρόκειται για παραβιασμένο ιστότοπο επειδή σε μερικές από τις εικόνες που δημοσιεύονται από τον hacker, οι εξαγόμενοι

πίνακες

βάσης δεδομένων και τα ονόματα αρχείων ιστότοπου ξεκινούν με modx_ (π.χ. modx_dashboard.csv). Εάν αυτός είναι ο παραβιασμένος ιστότοπος, ποιοι άλλοι κυβερνητικοί ιστότοποι χρησιμοποιούν το MODX CMS και έχουν επίσης παραβιαστεί ή θα μπορούσαν να παραβιαστούν στο εγγύς μέλλον;

Μια γρήγορη αναζήτηση στη Google δείχνει ότι οι publications.gov.cy και www.pio.gov.cy θα μπορούσαν ενδεχομένως να είναι



θύματα

της ίδιας επίθεσης, καθώς μπορεί να επηρεαστούν από την ίδια



ευπάθεια

. Ακόμα χειρότερα, οι Com2Go

developers

/site administrators ενδέχεται να χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για τη διαχείριση των παραπάνω ιστότοπων, την πρόσβαση στις βάσεις δεδομένων των ιστότοπων ή πρόσβαση στο λειτουργικό σύστημα. Εάν συμβαίνει αυτό, περισσότερα

συστήματα

μπορεί να είναι ευάλωτα σε μια μελλοντική



επίθεση

, κάτι που δεν εμπίπτει στο πεδίο της έρευνας μας.

Ωστόσο, για να πάρετε μια ιδέα για τον αριθμό των ιστότοπων που πιθανώς μοιράζονται τον ίδιο διακομιστή με τον ιστότοπο MOD και πιθανότατα έχουν ήδη παραβιαστεί κατά τη διάρκεια της επίθεσης, απλώς κάναμε κλικ στην επιλογή «Find hosts

sharing

this IP address» στον ιστότοπο DNSsumpster.com σύμφωνα με την παρακάτω εικόνα.

Ένα δείγμα της λίστας των 78 ιστότοπων που εμφανίζονται στο DNSsumpster.com θα το βρείτε παρακάτω.

Σας παρακαλούμε να μην ξεχνάτε ότι τα παραβιασμένα στοιχεία δεν έχουν κυκλοφορήσει από τον hacker, επομένως ενδέχεται τα



δεδομένα

να μην έχουν κλαπεί.

Ο πλήρης κατάλογος των ιστότοπων σε αυτόν τον server περιλαμβάνεται παρακάτω προς



ενημέρωση

όσων τα



δεδομένα

ενδέχεται να έχουν παραβιαστεί και να ξεκινήσουν



έρευνα

.

Τι γίνεται με τον ιστότοπο

www.mod.gov.cy

;

Το DNSdumpster.com image δείχνει ότι εκτελείται σε ένα Lotus Domino webserver, αλλά μια επίσκεψη στον ιστότοπο δείχνει ότι είναι εκτός λειτουργίας / μη διαθέσιμο. Πρέπει να αναφέρουμε ότι ο ιστότοπος WayBackMachine (archive.org) λαμβάνει snapshots ιστοτόπων προσβάσιμων στο κοινό στο



διαδίκτυο

σε συγκεκριμένα χρονικά διαστήματα. Το WayBackMachine μας ανακατευθύνει αυτόματα σε ένα snapshot του mod.gov.cy που σημαίνει ότι και τα δύο domains (mod.gov.cy και

www.mod.gov.cy

) οδηγούν στην ίδια διεύθυνση IP και ως εκ τούτου webserver μέχρι πολύ πρόσφατα (δηλαδή ήταν ο ίδιος ιστότοπος).

Έτσι, ο τελευταίος ισότοπος που απομένει στη λίστα του DNSdumpster.com, το newarmy.mod.gov.cy, δεν ήταν προσβάσιμος κατά τη στιγμή της γραφής αυτής της ανάλυσης. Ωστόσο, το WayBackMachine δείχνει ότι το τελευταίο snapshot του ιστότοπου λήφθηκε στις 19 Ιανουαρίου 2021 και είχε το ακόλουθο περιεχόμενο.

Με μια πρώτη ματιά, μοιάζει με έναν πολύ σημαντικό ιστότοπο. Ωστόσο, λαμβάνοντας υπόψη το γεγονός ότι τα

προσωπικά

στοιχεία των αιτούντων που προσπάθησαν να εγγραφούν στην Εθνική Φρουρά (ΣΥΟΠ) ενδέχεται να έχουν κλαπεί, ο Επίτροπος Προστασίας Προσωπικών Δεδομένων θα πρέπει να διερευνήσει το περιστατικό περαιτέρω. Επιπλέον, εάν τα

προσωπικά

στοιχεία των επαγγελματιών στρατιωτών έχουν πράγματι διακυβευτεί, γίνεται λόγος για ένα ζήτημα εθνικής ασφάλειας, δεδομένου ότι θα μπορούσαν να βρίσκονται στα χέρια ενός ξένου κράτους.

Ας προσπαθήσουμε να υπολογίσουμε την πιθανότητα παραβίασης αυτού του ιστότοπου. Ανοίγοντας το snapshot του newarmy.mod.gov.cy που λήφθηκε στις 20 Αυγούστου 2019, αντικρίζουμε το παρακάτω redirect μήνυμα.

Μια προσεκτική ματιά στο redirection address αποκαλύπτει ότι ο ιστότοπος χτίστηκε χρησιμοποιώντας το EasyConsole CMS. Με μια γρήγορη αναζήτηση στη Google ανακαλύπτουμε ότι πρόκειται για ιδιόκτητο CMS, που αναπτύχθηκε από μια κυπριακή



εταιρεία

με την επωνυμία Dynamic Works. Εκτός αυτού, το snapshot του ιστότοπου διαφημίζει την



εταιρεία

που ανέπτυξε τον ιστότοπο ως Dynamic Works (“DW”).

Επιπλέον, ο ιστότοπος της DW, στην ενότητα «Showcase», περιέχει την λίστα πελατών τους. Κάποιοι από αυτούς είναι:

• Central Bank of Cyprus
• AstroBank
• Hermes Airport
• Gold News
• PAFC
  
  
  
  Social Media
  
• Funding Programmes Portal (Government)
• HRD Authority (Government)
• The Cyprus Parliament (Government)
• Cyprus Institute of Neurology and Genetics
• OCECPR (Government)
• CNP Insurance
• Vassiliko Cement Works Public Company

Αλλά έχουν παραβιαστεί; Στις εικόνες που κυκλοφόρησε ο hacker περιλαμβάνεται μια λίστα με MS SQL Server database instance names. Αυτό μπορεί εύκολα να συναχθεί από το προεπιλεγμένο MS SQL database names “master”, “msdb” and “model” που εμφανίζονται με σαφήνεια στην παρακάτω εικόνα.

Στην παραπάνω εικόνα περιλαμβάνονται επίσης τα database names ορισμένων από τις



εταιρείες

που αναφέρονται στο Dynamic Works showcase καθώς και άλλα που μπορούν εύκολα να επαληθευτούν μέσω μιας αναζήτησης Google. Ο κατάλογος ιδιωτικών και δημόσιων



εταιρείες

αλλά και κυβερνητικές οντότητες που μοιράστηκαν τον ίδιο server με το newarmy.mod.gov.cy είναι:

Υπάρχει πολύ μεγάλη πιθανότητα παραβίασης των προαναφερθέντων ιστοτόπων, δεδομένου ότι ανήκουν στον ίδιο server.

[Περισσότερα στην μελέτη εδώ]

Το πιο ανησυχητικό από όλα είναι ότι δύο από τις δυνητικά παραβιασμένες βάσεις δεδομένων ανήκουν στο Γραφείο του Επίτροπου Ηλεκτρονικών Επικοινωνιών & Ταχυδρομικών Κανονισμών υπό τον έλεγχο και τη διοίκηση της Εθνικής Ομάδα Ανταπόκρισης σε

Ασφάλεια

Υπολογιστών (CY-CSIRT) και Αρχής Ψηφιακής Ασφάλειας (DSA). Σύμφωνα με την εθνική νομοθεσία της DSA, είναι η αρμόδια αρχή για την

ασφάλεια

των ψηφιακών δικτύων και

συστήματα

πληροφορικής στην Κύπρο και ο συντονιστής για την



εφαρμογή

της εθνικής στρατηγικής ασφάλειας. Σε απλούς όρους, είναι υπεύθυνο για την



προστασία

των κρίσιμων υποδομών της χώρας (π.χ. Αρχή Ηλεκτρισμού, Υδάτινα Σώματα,

Αρχές

Αποχέτευσης, Τράπεζες κ.λπ.) και συλλέγουν πληροφορίες σχετικά με την

ασφάλεια

, τις αδυναμίες και τους αμυντικούς μηχανισμούς, ενώ έχει την εξουσία να επιβάλλει πρόστιμα (χρηματική ποινή και ποινή φυλάκισης έως 3 ετών) σε



εταιρείες

και άτομα που εμπίπτουν υπό τον έλεγχο της Αρχής.

Προκύπτουν οι ακόλουθες ερωτήσεις σχετικά με το περιστατικό:

1. Οι Dynamic Works, Com2Go, Υπουργείο Άμυνας και το Υφυπουργείο Έρευνας, Καινοτομίας και Ψηφιακής Πολιτικής έχουν λάβει τα απαραίτητα μέτρα για να ενημερώσουν τις αρμόδιες

αρχές

σχετικά με το περιστατικό (π.χ. Επίτροπος Προστασίας Προσωπικών Δεδομένων); Εάν όχι, γιατί;

2. Έχουν ενημερωθεί όλοι οι πελάτες των Dynamic Works και Com2Go για την



επίθεση

και την πιθανότητα μελλοντικής στοχοποίησης τους από

hackers

;

3. Γιατί υπονομεύτηκε το περιστατικό στη δημόσια ανακοίνωση που εξέδωσε το Υπουργείο Άμυνας προς τα Μέσα Μαζικής Ενημέρωσης;

4. Ποια είναι η πραγματική έκταση της διαρροής προσωπικών πληροφοριών, λαμβάνοντας υπόψη όλους τους πελάτες από την παραπάνω λίστα;

5. Αυτή δεν ήταν η πρώτη φορά που έλαβε χώρα ή δημοσιοποιήθηκε ένα περιστατικό ασφάλειας στον κυβερνοχώρο που επηρέασε κυβερνητικά

συστήματα

. Γιατί η

κυβέρνηση

δεν έλαβε τα απαραίτητα μέτρα για την ασφαλή



ανάπτυξη

του ιστότοπου (π.χ. penetration testing, αποφυγή ενός κοινόχρηστου περιβάλλοντος φιλοξενίας για ευαίσθητες πληροφορίες κ.λπ.);

6. Ποια είναι τα άτομα που είναι υπεύθυνα για τις κυβερνητικές διαδικασίες ασφάλειας στον κυβερνοχώρο;

7. Ποιες πληροφορίες σχετικά με την Κυπριακή υποδομή κρίσιμης σημασίας διέρρευσαν από τον ιστότοπο του OCECPR; Γιατί δεν εντοπίστηκαν από αυτούς και ποια μέτρα έχουν λάβει για να αποτρέψουν την



παραβίαση

τέτοιων δεδομένων;

Πιστεύουμε ότι αποτελεί κοινή πρακτική στην Κύπρο η κάλυψη των κυβερνοεπιθέσεων. Αυτό έχει επιζήμια επίδραση στις



εταιρείες

, δεδομένου ότι δεν μπορούν να δουν τον πραγματικό κίνδυνο επιθέσεων, επομένως είναι σκεπτικές σχετικά με την αναγκαιότητα λήψης προληπτικών μέτρων για την



προστασία

τους, έως ότου φυσικά είναι πολύ αργά (όπως έχουμε δει από τις εμπειρίες μας ξανά και ξανά).

Τη στιγμή της σύνταξης αυτού του whitepaper, το SecNews.gr (secnews.gr/339663/

hacked

-larnaca-airporthermesairports-rootayyil/), δημοσίευσε ένα άρθρο σχετικά με μια



επίθεση

στον ιστότοπο των Hermes Airports. [Περισσότερα στην μελέτη εδώ:

[Περισσότερα στην μελέτη εδώ]

Ως εκ τούτου, θα θέλαμε να κάνουμε τις ακόλουθες συστάσεις προς την

κυβέρνηση

σχετικά με

συστήματα

,



πολιτικές

και διαδικασίες:

1. Όσον αφορά οποιοδήποτε και όλα τα κυβερνητικά

συστήματα

πληροφοριών,

η

ασφάλεια

πρέπει να λαμβάνεται σοβαρά υπόψη

από όλα τα ενδιαφερόμενα μέρη, και όχι να αφήνεται ως μεταγενέστερη σκέψη.

2. Η

κυβέρνηση

θα πρέπει να

προβαίνει σε

security

reviews και penetration tests

για να εντοπίσει και να διορθώσει κρίσιμα κενά

ασφαλείας

. Θα πρέπει επίσης να παρακολουθεί συνεχώς τα συστήματά του για διαχρονικές



hacking




επιθέσεις

και να έχει διαμορφώσει ένα σχέδιο για οποιαδήποτε τέτοια πιθανότητα.

3. Ορίστε έναν

υπεύθυνο επικοινωνίας

έτσι ώστε όποιος ανακαλύπτει μια αδυναμία ασφάλειας /



ευπάθεια

που σχετίζεται με ένα κυβερνητικό σύστημα να μπορεί να το αναφέρει υπεύθυνα.

4. Εφαρμόστε ένα



πρόγραμμα



bug bounty



,

ώστε οι Κύπριοι

hackers

(ειδικοί

ασφαλείας

) να μπορούν να δοκιμάσουν νόμιμα και να αναφέρουν τρωτά σημεία σε κυβερνητικά

συστήματα

για τα οποία να λαμβάνουν οικονομική ανταμοιβή.

5.

Αποδεχτείτε ανοιχτά και αναφέρετε περιστατικά

ασφαλείας


που επηρεάζουν κυβερνητικά

συστήματα

. Συνιστούμε να διορίζεται εκπροσώπους για την ανακοίνωση τέτοιων περιστατικών στο κοινό.

6.

Οι προμηθευτές θα πρέπει να λογοδοτούν

για βαριά αμέλεια σχετικά με τον τρόπο διαχείρισης των τρωτών σημείων αν βρεθούν στα προϊόντα τους, εάν αυτό μπορεί να αποδειχθεί.

Όλες οι παραπάνω συστάσεις ισχύουν επίσης για



εταιρείες

του ιδιωτικού τομέα που πρέπει να λάβουν τα απαραίτητα βήματα για την



εφαρμογή

τους. Αυτό που αναφέρθηκε παραπάνω βασίζεται αποκλειστικά σε πληροφορίες που καταφέραμε να συλλέξουμε από δημόσιους πόρους και πρέπει να διενεργηθεί κατάλληλη



έρευνα

από τις αρμόδιες

αρχές

για την επιβεβαίωση τους (που βασίζονται στις συνδυασμένες τεχνικές και την εμπειρία μας).

Περισσότερα νέα:




Mobile


malware

–

Μια από τις μεγαλύτερες απειλές για τους οργανισμούς το 2020

Ζητούμε συγγνώμη εκ των προτέρων στις πληγείσες



εταιρείες

εάν έχουμε προκαλέσει ζημιά στη φήμη τους, αλλά η πρόθεση μας ήταν να ενημερώσουμε υπεύθυνα το κοινό και τα



πρόσωπα

των οποίων τα

προσωπικά

στοιχεία ενδέχεται να έχουν παραβιαστεί, καθώς ήταν προφανές ότι κανένας άλλος δεν θα το έπραττε.

Prometheus Group

cybersecurity

experts/analysts

«Είμαστε μια ομάδα Κυπρίων επαγγελματιών στον τομέα της ασφάλειας στον κυβερνοχώρο που προτιμούν να παραμένουν ανώνυμοι (τουλάχιστον προς το παρόν). Αυτή είναι η πρώτη φορά που ερευνούμε και δημοσιεύουμε το έργο μας. Δημιουργήσαμε αυτήν την ομάδα για να ευαισθητοποιήσουμε το κοινό σχετικά με την κατάσταση της ασφάλειας στον κυβερνοχώρο στην Κύπρο.

Λόγω της δουλειάς μας, έχουμε συνειδητοποιήσει αρκετές



επιθέσεις

σε κρίσιμους οργανισμούς και στην

κυβέρνηση

. Δυστυχώς, αυτά τα συμβάντα παραμένουν αδημοσίευτα ή υπονομευμένα. Παρατηρήσαμε μια στροφή σε μια πιο προσανατολισμένη στην

ασφάλεια

νοοτροπία για οργανισμούς στον ιδιωτικό τομέα, αλλά ο δημόσιος τομέας λείπει απόλυτα.»

Whitepaper by PROMETHEUS GROUP