30 Δεκεμβρίου 2018

EKTAKTO ΤΩΡΑ. AKINCILAR: Κυβερνοεπιθέσεις Τούρκων κατασκόπων σε Υπουργεία!!!

Σύμφωνα με αναφορές που εντόπισαν συντάκτες του SecNews σε forums ανταλλαγής πληροφοριών του εξωτερικού, άγνωστοι hackers (πιθανόν καθοδηγούμενοι από κυβερνητικές υπηρεσίες της γειτονικής χώρας), προχώρησαν σε προσθήκη/αλλοίωση κεντρικών αλλά και εσωτερικών ιστοσελίδων, με ταυτόχρονη ανάρτηση μηνυμάτων. Οι Τούρκοι hackers πραγματοποίησαν τις μαζικές τους επιθέσεις ήδη από τις 24 Δεκεμβρίου 2018, ενώ οι αρμόδιοι φαίνεται να μην έχουν διαπιστώσει τις κακόβουλες επιθέσεις μέχρι την στιγμή που γράφονται αυτές οι γραμμές. 

Οι διαδικτυακοί κόμβοι των Ελληνικών Υπουργείων και υπηρεσιών φαίνεται να τελούν ακόμα υπό τον έλεγχο των Τούρκων hackers της AKINCILAR. Τα προκαρασκευαστικά στάδια των επιθέσεων εναντίον Ελληνικών στόχων από την Τούρκικη ομάδα hackers AKINCILAR φαίνεται να ξεκίνησαν στις 24/12/2018.

Το χρονικό της επίθεσης από τους AKINCILAR

Οι Τούρκοι κυβερνοκατάσκοποι πραγματοποίησαν αρχικά χτυπήματα σε μικρότερους στόχους ώστε να διαπιστώσουν την τρωτότητα των συστημάτων, πριν υποδηλώσουν εμφανώς την παρουσία τους με εμφανέσταστες αλλοιώσεις ιστοσελίδων. Ο αρχικός στόχος ήταν η ιστοσελίδα http://dimosio2020.gov.gr, που ουσιαστικά αποτελεί ιστοσελίδα δημόσιων πληροφοριών της Εθνικής Στρατηγικής του Υπουργείου Διοικητικής Ανασυγκρότησης  

Εν συνεχεία και άγνωστο πως (πιθανόν με χρήση κωδικών που άντλησαν από τον πρώτο στόχο) οι κυβερνοκατάσκοποι στόχευσαν επιτυχώς τα παρακάτω:
https://sports.ert.gr [Ιστοσελίδα Αθλητικών νέων της ΕΡΤ]
https://int.ert.gr [Ιστοσελίδα διεθνών νέων της ΕΡΤ]
https://proskliseis.ert.gr [Ιστοσελίδα περιεχομένου της ΕΡΤ]
https://socialgrowth.ert.gr [Εκτός λειτουργίας αυτή την στιγμή] 


Ταυτόχρονα την ίδια χρονική στιγμή, αλλοίωση ιστοσελίδων παρατηρήθηκε σε ιστοσελίδες του Υπουργείου Εσωτερικών και συγκεκριμένα:
http://websdit.ypes.gr [Σύστημα ΘΗΣΕΑΣ Συμπράξεις Δημόσιου Ιδιωτικού Τομέα]
http://efc.ypes.gr [Ευρωπαϊκό Πρόγραμμα Europe for Citizes 2014-2020]
http://eyc2013.ypes.gr [Ευρωπαϊκό Έτος Πολιτών 2013]
http://gis.ypes.gr [Ολοκληρωμένο Γεωγραφικό Πληροφοριακό Σύστημα ΓΠΣ/ΥΠΕΣ] 


Οι Τούρκοι κυβερνητικοί hackers φαίνεται να εντόπισαν αδυναμίες στους εξυπηρετητές των ιστοσελίδων, που τους έδωσε την δυνατότητα με χρήση εξειδικευμένων εργαλείων (που όμως δεν απαιτούν ιδιαίτερη γνώση), να αποκτήσουν πλήρη πρόσβαση με δικαιώματα διαχειριστή στους εξυπηρετητές και να προσθέσουν το αλλοιωμένο περιεχόμενο.

Στο σύνολο των ιστοσελίδων που αλλοιώθηκαν τοποθετήθηκε η παρακάτω φωτογραφία/μήνυμα:

Πρόκειται για μπαράζ επιθέσεων, σε στόχους υψηλού προφίλ που αφορούν άμεσα ή έμμεσα την Ελληνική κυβέρνηση. 

Αυτή την στιγμή όποιος επισκέπτεται μερικές από τις αναφερόμενες ιστοσελίδες βλέπει το ανωτέρω περιεχόμενο. Η εικόνα του τανκ συνοδεύει η φράση «Μία νύχτα μπορούμε να έρθουμε», γραμμένη στην τουρκική γλώσσα, με απειλές για μία νέα καταστροφή.

«Από εδώ, προειδοποιούμε αυτούς που συμπεριφέρονται εκτός ορίων και σας υπενθυμίζουμε ότι η ιστορία των γεγονότων 7/09/1922 μπορεί να επαναληφθεί”» αναγράφουν χαρακτηριστικά στην φωτογραφία.

Ποιοι είναι οι Τούρκοι κυβερνοκατάσκοποι AKINCILAR

Η ομάδα hackers AKINCILAR, σύμφωνα με πληροφορίες που έχει στην διάθεσή του το SecNews, φέρεται να είναι μια μικρή και ευέλικτη ομάδα κυβερνοπολεμιστών (Akincilar Cyber Warrior), σχετιζόμενη άμεσα με τον Πρόεδρο της Τουρκίας, Recep Tayyip Erdogan.

Η εν λόγω ομάδα, οι οποίοι αυτοχαρακτηρίζονται «Pro-hackers loyal to Erdogan», φέρονται να δέχονται εντολές για διεξαγωγή κυβερνοεπιθέσεων εναντίον στόχων υψηλού προφίλ κατ’ εντολή προσώπων που βρίσκονται στον στενό πυρήνα των συνεργατών του Προέδρου της Τουρκίας.

Τις περισσότερες φορές, οι επιθέσεις τους είναι καθοδηγούμενες σύμφωνα με τις πολιτικές εξελίξεις που αφορούν την γείτονα χώρα αλλά και γεγονότα που αφορούν την εξωτερική της πολιτική και την διπλωματία. Εκτός από επιθέσεις αλλοίωσης ιστοσελίδων η εν λόγω ομάδα πραγματοποιεί επιθέσεις άρνησης υπηρεσίας (DDoS) αλλά και επιθέσεις μαζικής υποκλοπής δεδομένων.

Η ομάδα AKINCILAR αποτελεί την εξειδικευμένη ομάδα κυβερνοεπιθέσεων του Turkish Hacking Group Cyber Warrior (TW). Το group ιδρύθηκε το 1999, με την πρώτη σοβαρή κυβερνοεπίθεση να πραγματοποιείται το 2003, όταν πραγματοποίησαν μαζική επίθεση σε 1500 αμερικάνικες ιστοσελίδες αλλοιώνοντας το περιεχόμενο τους ως διαμαρτυρία για την εισβολή των Αμερικανών στο Ιράκ αλλά και σχετικά με την σύλληψη ενός Τούρκου πράκτορα στα Βόρεια του Ιράκ, που ανακρίθηκε από τον αμερικανικό στρατό. 
Η ομάδα διαθέτει υπό-ομάδες αναφορικά με την στρατηγική, την άντληση και ανάλυση πληροφοριών (Intelligence), έρευνα και ανάπτυξη και Logistics. Η εξειδικευμένη όμως ομάδα τους για τις κυβερνοεπιθέσεις είναι η Akincilar. Η υπο-ομάδα στοχοποιεί κυρίως κυβερνητικές ιστοσελίδες & δίκτυα ενώ διαθέτει την δυνατότητα να αναπτύσσει τα δικά της κυβερνο-όπλα ή να βελτιώνει άλλα (τρίτων κατασκευαστών). Επιπλέον έχουν οργανώσει και Ακαδημία Κυβερνοπολέμου όπου παρέχουν online-training στα νέα τους μέλη! 
Κατά καιρούς στα Private forums ανταλλαγής πληροφοριών που διαθέτουν έχουν αναφερθεί σε μεθοδολογίες hacking και συγκεκριμένα α) πως να πραγματοποιήσει hacking σε λογαριασμούς gmail β) πως να πραγματοποιήσει επιθέσεις σε δορυφορικά και αεροπορικά συστήματα (!).

Η ίδια ομάδα Τούρκων hackers, που σχετίζεται με τον πρόεδρο της Τουρκίας, είχε την προηγούμενη εβδομάδα ισχυριστεί ότι έριξε την ιστοσελίδα του Υπουργείου Εξωτερικών και απέκτησε πρόσβαση στα e-mails διπλωματών, κάτι που δεν επιβεβαιώθηκε από ελληνικής πλευράς, ενώ εκδόθηκε ανακοίνωση από το ΥΠΕΞ.

Από το σχετικό υλικό που αναρτήθηκε δημοσίως όμως και κατόπιν μελέτης αυτού πάρα τις διαψεύσεις των στελεχών του Υπουργείου, διαπιστώσαμε ότι πράγματι οι Τούρκοι hackers είχαν πραγματοποιήσει μη εξουσιοδοτημένη πρόσβαση σε mail accounts διπλωμάτων και εργαζομένων του Υπουργείου (συγκεκριμένα στον εξυπηρετητή Zimbra). 

Η εκτίμηση της τεχνικής ομάδας του SecNews, είναι ότι πιθανόν να υπάρχει αυτή την στιγμή ενεργή επίθεση Phishing εναντίον κυβερνητικών κρίσιμων υποδομών με σκοπό την άντληση κωδικών πρόσβασης από αξιωματούχους ή εργαζομένους Υπουργείων & Οργανισμών.

Στόχος των cyberwarriors της Τουρκίας είναι να προκαλέσουν αντίδραση της ελληνικής κυβέρνησης, μετά από πιέσεις των media και υπό το φόβο εθνικιστικών εξάρσεων, ενώ παράλληλα στέλνουν ηχηρό μήνυμα για τις δυνατότητες κυβερνοπολέμου που διαθέτουν τόσο για κατασκοπεία αλλά και για sabotage. 

Άμεσες Ενέργειες των αρμοδίων – Δεν έχουν γίνει αντιληπτές οι επιθέσεις!

Τα πληροφοριακά συστήματα που στοχοποιήθηκαν, είναι όπως διαπιστώσαμε εντός του δικτύου Syzefxis, που εξυπηρετεί το σύνολο σχεδόν του Δημοσίου τομέα δομημένο (θεωρητικά τουλάχιστον) σύμφωνα με όλες τις σύγχρονες επιταγές ασφάλειας.

Όπως έχουμε αναφέρει πολλάκις στο παρελθόν, το Syzefxis ως πάροχος ΔΕΝ ΦΕΡΕΙ ουσιαστικά την ευθύνη διαχείρισης των εξυπηρετητών του εκάστοτε φορέα αλλά παρέχει απλά το μέσο πρόσβασης. Θα πρέπει να ληφθεί συνολική μέριμνα ώστε να διασφαλιστούν τουλάχιστον οι φορείς που διαχειρίζονται ευαίσθητα προσωπικά δεδομένα, αντλώντας τεχνογνωσία από τα στελέχη διαχείρισης του Syzefxis που είναι κατάλληλα εκπαιδευμένα και επιφορτισμένα με τα θέματα ασφάλειας.
Οι αρμόδιοι διαχειριστές των στοχοποιημένων ιστοσελίδων πρέπει ΑΜΕΣΑ να λάβουν τα απαραίτητα μέτρα και να επιδιορθώσουν σε τεχνικό επίπεδο τις αδυναμίες που χρησιμοποίησαν οι hackers για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Οι εξυπηρετητές που φαίνονται να έχουν δεχτεί την κυβερνοεπίθεση πρέπει να τοποθετηθούν εκτός δικτύου και να αναλυθούν ενδελεχώς για ψηφιακά πειστήρια, ώστε να εντοπιστεί ο ακριβής τρόπος που πραγματοποιήθηκε η εισβολή και να αποπεμφθούν οι εισβολείς σε περίπτωση που έχουν διεισδύσει και σε άλλους εξυπηρετητές (servers) του υπό έρευνα δικτύου.
Φαίνεται ότι οι εισβολείς χρησιμοποίησαν αδυναμία στα διαχειριστικά CMS που ήταν δημιουργημένες οι ιστοσελίδες. Ειδικότερα όμως για την ιστοσελίδα Γεωγραφικών Πληροφοριών του Υπουργείου Εσωτερικών, πρέπει να διερευνηθεί αν έχουν αντληθεί στοιχεία που περιέχουν προσωπικά δεδομένα εργαζομένων ή πολιτών.

Επιπροσθέτως εκτίμησή μας είναι ότι πρέπει να ενημερωθεί από τους αρμόδιους φορείς και η Αρχή Προστασίας Προσωπικών Δεδομένων κυρίως αναφορικά με την νομοθεσία του GDPR, μιας και δεν έχει αποσαφηνιστεί αν οι hackers απέκτησαν πρόσβαση σε προσωπικά δεδομένα εργαζομένων ή πολιτών!!!

Καλούμε τις αρμόδιες υπηρεσίες Πληροφορικής των αρμόδιων Υπουργείων και Οργανισμών που στοχοποιήθηκαν απο την ομάδα hackers AKINCILAR, να λάβουν άμεσα μέτρα και να ανακτήσουν την πρόσβαση στους εξυπηρετητές καθώς και να υπάρξει ενημέρωση με δελτίο τύπου, αν διέρρευσαν προσωπικά δεδομένα εργαζομένων ή Ελλήνων πολιτών!


Μείνετε συντονισμένοι στο SecNews, την αξιόπιστη ιστοσελίδα 24ωρης ενημέρωσης σχετικά με θέματα ασφάλειας πληροφοριακών συστημάτων και κυβερνοπαραβιάσεων. 


SecNews



Share

Δεν υπάρχουν σχόλια:

Λίγες οδηγίες πριν επισκεφθείτε το ιστολόγιό μας (Για νέους επισκέπτες)

1. Στην στήλη αριστερά βλέπετε τις αναρτήσεις του ιστολογίου μας τις οποίες μπορείτε ελεύθερα να σχολιάσετε επωνύμως, ανωνύμως ή με ψευδώνυμο, πατώντας απλά την λέξη κάτω από την ανάρτηση που γραφει "σχόλια" ή "δημοσίευση σχολίου" (σας προτείνω να διαβάσετε με προσοχή τις οδηγίες που θα βρείτε πάνω από την φόρμα που θα ανοίξει ώστε να γραψετε το σχόλιό σας). Επίσης μπορείτε να στείλετε σε φίλους σας την συγκεκριμένη ανάρτηση που θέλετε απλά πατώντας τον φάκελλο που βλέπετε στο κάτω μέρος της ανάρτησης. Θα ανοίξει μια φόρμα στην οποία μπορείτε να γράψετε το email του φίλου σας, ενώ αν έχετε προφίλ στο Facebook ή στο Twitter μπορείτε με τα εικονίδια που θα βρείτε στο τέλος της ανάρτησης να την μοιραστείτε με τους φίλους σας.

2. Στην δεξιά στήλη του ιστολογίου μας μπορείτε να βρείτε το πλαίσιο στο οποίο βάζοντας το email σας και πατώντας την λέξη Submit θα ενημερώνεστε αυτόματα για τις τελευταίες αναρτήσεις του ιστολογίου μας.

3. Αν έχετε λογαριασμό στο Twitter σας δινεται η δυνατότητα να μας κάνετε follow και να παρακολουθείτε το ιστολόγιό μας από εκεί. Θα βρείτε το σχετικό εικονίδιο του Twitter κάτω από τα πλαίσια του Google Friend Connect, στην δεξιά στήλη του ιστολογίου μας.

4. Μπορείτε να ενημερωθείτε από την δεξιά στήλη του ιστολογίου μας με τα διάφορα gadgets για τον καιρό, να δείτε ανακοινώσεις, στατιστικά, ειδήσεις και λόγια ή κείμενα που δείχνουν τις αρχές και τα πιστεύω του ιστολογίου μας. Επίσης μπορείτε να κάνετε αναζήτηση βάζοντας μια λέξη στο πλαίσιο της Αναζήτησης (κάτω από τους αναγνώστες μας). Πατώντας την λέξη Αναζήτηση θα εμφανιστούν σχετικές αναρτήσεις μας πάνω από τον χώρο των αναρτήσεων. Παράλληλα μπορείτε να δείτε τις αναρτήσεις του τρέχοντος μήνα αλλά και να επιλέξετε κάποια συγκεκριμένη κατηγορία αναρτήσεων από την σχετική στήλη δεξιά.

5. Μπορείτε ακόμα να αφήσετε το μήνυμά σας στο μικρό τσατάκι του blog μας στην δεξιά στήλη γράφοντας απλά το όνομά σας ή κάποιο ψευδώνυμο στην θέση "όνομα" (name) και το μήνυμά σας στην θέση "Μήνυμα" (Message).

6. Επίσης μπορείτε να μας στείλετε ηλεκτρονικό μήνυμα στην διεύθυνσή μας koukthanos@gmail.com με όποιο περιεχόμενο επιθυμείτε. Αν είναι σε προσωπικό επίπεδο θα λάβετε πολύ σύντομα απάντησή μας.

7. Τέλος μπορείτε να βρείτε στην δεξιά στήλη του ιστολογίου μας τα φιλικά μας ιστολόγια, τα ιστολόγια που παρακολουθούμε αλλά και πολλούς ενδιαφέροντες συνδέσμους.

Να σας υπενθυμίσουμε ότι παρακάτω μπορείτε να βρείτε χρήσιμες οδηγίες για την κατασκευή των αναρτήσεών μας αλλά και στην κάτω μπάρα του ιστολογίου μας ότι έχει σχέση με δημοσιεύσεις και πνευματικά δικαιώματα.

ΣΑΣ ΕΥΧΟΜΑΣΤΕ ΚΑΛΗ ΠΕΡΙΗΓΗΣΗ

Χρήσιμες οδηγίες για τις αναρτήσεις μας.

1. Στις αναρτήσεις μας μπαίνει ΠΑΝΤΑ η πηγή σε οποιαδήποτε ανάρτηση ή μερος αναρτησης που προέρχεται απο άλλο ιστολόγιο. Αν δεν προέρχεται από κάποιο άλλο ιστολόγιο και προέρχεται από φίλο αναγνώστη ή επώνυμο ή άνωνυμο συγγραφέα, υπάρχει ΠΑΝΤΑ σε εμφανες σημείο το ονομά του ή αναφέρεται ότι προέρχεται από ανώνυμο αναγνώστη μας.

2. Για όλες τις υπόλοιπες αναρτήσεις που δεν έχουν υπογραφή ΙΣΧΥΕΙ η αυτόματη υπογραφή της ανάρτησης. Ετσι όταν δεν βλέπετε καμιά πηγή ή αναφορά σε ανωνυμο ή επώνυμο συντάκτη να θεωρείτε ΩΣ ΑΥΣΤΗΡΟ ΚΑΝΟΝΑ ότι ισχύει η αυτόματη υπογραφή του αναρτήσαντα.

3. Οταν βλέπετε ανάρτηση με πηγή ή και επώνυμο ή ανώνυμο συντάκτη αλλά στη συνέχεια υπάρχει και ΣΧΟΛΙΟ, τότε αυτό είναι ΚΑΙ ΠΑΛΙ του αναρτήσαντα δηλαδή είναι σχόλιο που προέρχεται από το ιστολόγιό μας.

Σημείωση: Να σημειώσουμε ότι εκτός των αναρτήσεων που υπογράφει ο διαχειριστής μας, όλες οι άλλες απόψεις που αναφέρονται σε αυτές ανήκουν αποκλειστικά στους συντάκτες των άρθρων. Τέλος άλλες πληροφορίες για δημοσιεύσεις και πνευματικά δικαιώματα μπορείτε να βρείτε στην κάτω μπάρα του ιστολογίου μας.