Διαδικτυακές επιθέσεις υψηλού προφίλ πραγματοποιούν τις τελευταίες ώρες Τούρκοι hackers κυβερνοκατάσκοποι της ομάδας AKINCILAR σε Ε...
Διαδικτυακές επιθέσεις υψηλού προφίλ πραγματοποιούν τις τελευταίες ώρες Τούρκοι hackers κυβερνοκατάσκοποι της ομάδας AKINCILAR σε Ελληνικές κρίσιμες υποδομές αλλά και Υπουργεία!
Σύμφωνα με αναφορές που εντόπισαν συντάκτες του SecNews σε forums ανταλλαγής πληροφοριών του εξωτερικού, άγνωστοι hackers (πιθανόν καθοδηγούμενοι από κυβερνητικές υπηρεσίες της γειτονικής χώρας), προχώρησαν σε προσθήκη/αλλοίωση κεντρικών αλλά και εσωτερικών ιστοσελίδων, με ταυτόχρονη ανάρτηση μηνυμάτων. Οι Τούρκοι hackers πραγματοποίησαν τις μαζικές τους επιθέσεις ήδη από τις 24 Δεκεμβρίου 2018, ενώ οι αρμόδιοι φαίνεται να μην έχουν διαπιστώσει τις κακόβουλες επιθέσεις μέχρι την στιγμή που γράφονται αυτές οι γραμμές.
Οι διαδικτυακοί κόμβοι των Ελληνικών Υπουργείων και υπηρεσιών φαίνεται να τελούν ακόμα υπό τον έλεγχο των Τούρκων hackers της AKINCILAR. Τα προκαρασκευαστικά στάδια των επιθέσεων εναντίον Ελληνικών στόχων από την Τούρκικη ομάδα hackers AKINCILAR φαίνεται να ξεκίνησαν στις 24/12/2018.
Το χρονικό της επίθεσης από τους AKINCILAR
Οι Τούρκοι κυβερνοκατάσκοποι πραγματοποίησαν αρχικά χτυπήματα σε μικρότερους στόχους ώστε να διαπιστώσουν την τρωτότητα των συστημάτων, πριν υποδηλώσουν εμφανώς την παρουσία τους με εμφανέσταστες αλλοιώσεις ιστοσελίδων. Ο αρχικός στόχος ήταν η ιστοσελίδα http://dimosio2020.gov.gr, που ουσιαστικά αποτελεί ιστοσελίδα δημόσιων πληροφοριών της Εθνικής Στρατηγικής του Υπουργείου Διοικητικής Ανασυγκρότησης
Εν συνεχεία και άγνωστο πως (πιθανόν με χρήση κωδικών που άντλησαν από τον πρώτο στόχο) οι κυβερνοκατάσκοποι στόχευσαν επιτυχώς τα παρακάτω:
- https://sports.ert.gr [Ιστοσελίδα Αθλητικών νέων της ΕΡΤ]
- https://int.ert.gr [Ιστοσελίδα διεθνών νέων της ΕΡΤ]
- https://proskliseis.ert.gr [Ιστοσελίδα περιεχομένου της ΕΡΤ]
- https://socialgrowth.ert.gr [Εκτός λειτουργίας αυτή την στιγμή]
Ταυτόχρονα την ίδια χρονική στιγμή, αλλοίωση ιστοσελίδων παρατηρήθηκε σε ιστοσελίδες του Υπουργείου Εσωτερικών και συγκεκριμένα:
- http://websdit.ypes.gr [Σύστημα ΘΗΣΕΑΣ Συμπράξεις Δημόσιου Ιδιωτικού Τομέα]
- http://efc.ypes.gr [Ευρωπαϊκό Πρόγραμμα Europe for Citizes 2014-2020]
- http://eyc2013.ypes.gr [Ευρωπαϊκό Έτος Πολιτών 2013]
- http://gis.ypes.gr [Ολοκληρωμένο Γεωγραφικό Πληροφοριακό Σύστημα ΓΠΣ/ΥΠΕΣ]
Οι Τούρκοι κυβερνητικοί hackers φαίνεται να εντόπισαν αδυναμίες στους εξυπηρετητές των ιστοσελίδων, που τους έδωσε την δυνατότητα με χρήση εξειδικευμένων εργαλείων (που όμως δεν απαιτούν ιδιαίτερη γνώση), να αποκτήσουν πλήρη πρόσβαση με δικαιώματα διαχειριστή στους εξυπηρετητές και να προσθέσουν το αλλοιωμένο περιεχόμενο.
Στο σύνολο των ιστοσελίδων που αλλοιώθηκαν τοποθετήθηκε η παρακάτω φωτογραφία/μήνυμα:
Πρόκειται για μπαράζ επιθέσεων, σε στόχους υψηλού προφίλ που αφορούν άμεσα ή έμμεσα την Ελληνική κυβέρνηση.
Αυτή την στιγμή όποιος επισκέπτεται μερικές από τις αναφερόμενες ιστοσελίδες βλέπει το ανωτέρω περιεχόμενο. Η εικόνα του τανκ συνοδεύει η φράση «Μία νύχτα μπορούμε να έρθουμε», γραμμένη στην τουρκική γλώσσα, με απειλές για μία νέα καταστροφή.
«Από εδώ, προειδοποιούμε αυτούς που συμπεριφέρονται εκτός ορίων και σας υπενθυμίζουμε ότι η ιστορία των γεγονότων 7/09/1922 μπορεί να επαναληφθεί”» αναγράφουν χαρακτηριστικά στην φωτογραφία.
Ποιοι είναι οι Τούρκοι κυβερνοκατάσκοποι AKINCILAR
Η ομάδα hackers AKINCILAR, σύμφωνα με πληροφορίες που έχει στην διάθεσή του το SecNews, φέρεται να είναι μια μικρή και ευέλικτη ομάδα κυβερνοπολεμιστών (Akincilar Cyber Warrior), σχετιζόμενη άμεσα με τον Πρόεδρο της Τουρκίας, Recep Tayyip Erdogan. Η εν λόγω ομάδα, οι οποίοι αυτοχαρακτηρίζονται «Pro-hackers loyal to Erdogan», φέρονται να δέχονται εντολές για διεξαγωγή κυβερνοεπιθέσεων εναντίον στόχων υψηλού προφίλ κατ’ εντολή προσώπων που βρίσκονται στον στενό πυρήνα των συνεργατών του Προέδρου της Τουρκίας.
Τις περισσότερες φορές, οι επιθέσεις τους είναι καθοδηγούμενες σύμφωνα με τις πολιτικές εξελίξεις που αφορούν την γείτονα χώρα αλλά και γεγονότα που αφορούν την εξωτερική της πολιτική και την διπλωματία. Εκτός από επιθέσεις αλλοίωσης ιστοσελίδων η εν λόγω ομάδα πραγματοποιεί επιθέσεις άρνησης υπηρεσίας (DDoS)αλλά και επιθέσεις μαζικής υποκλοπής δεδομένων.
Η ομάδα AKINCILAR αποτελεί την εξειδικευμένη ομάδα κυβερνοεπιθέσεων του Turkish Hacking Group Cyber Warrior (TW). Το group ιδρύθηκε το 1999, με την πρώτη σοβαρή κυβερνοεπίθεση να πραγματοποιείται το 2003, όταν πραγματοποίησαν μαζική επίθεση σε 1500 αμερικάνικες ιστοσελίδες αλλοιώνοντας το περιεχόμενο τους ως διαμαρτυρία για την εισβολή των Αμερικανών στο Ιράκ αλλά και σχετικά με την σύλληψη ενός Τούρκου πράκτορα στα Βόρεια του Ιράκ, που ανακρίθηκε από τον αμερικανικό στρατό.
Η ομάδα AKINCILAR αποτελεί την εξειδικευμένη ομάδα κυβερνοεπιθέσεων του Turkish Hacking Group Cyber Warrior (TW). Το group ιδρύθηκε το 1999, με την πρώτη σοβαρή κυβερνοεπίθεση να πραγματοποιείται το 2003, όταν πραγματοποίησαν μαζική επίθεση σε 1500 αμερικάνικες ιστοσελίδες αλλοιώνοντας το περιεχόμενο τους ως διαμαρτυρία για την εισβολή των Αμερικανών στο Ιράκ αλλά και σχετικά με την σύλληψη ενός Τούρκου πράκτορα στα Βόρεια του Ιράκ, που ανακρίθηκε από τον αμερικανικό στρατό.
Η ομάδα διαθέτει υπό-ομάδες αναφορικά με την στρατηγική, την άντληση και ανάλυση πληροφοριών (Intelligence) , έρευνα και ανάπτυξη και Logistics. Η εξειδικευμένη όμως ομάδα τους για τις κυβερνοεπιθέσεις είναι η Akincilar. Η υπο-ομάδα στοχοποιεί κυρίως κυβερνητικές ιστοσελίδες & δίκτυα ενώ διαθέτει την δυνατότητα να αναπτύσσει τα δικά της κυβερνο-όπλα ή να βελτιώνει άλλα (τρίτων κατασκευαστών). Επιπλέον έχουν οργανώσει και Ακαδημία Κυβερνοπολέμου όπου παρέχουν online-training στα νέα τους μέλη!
Η εκτίμηση της τεχνικής ομάδας του SecNews, είναι ότι πιθανόν να υπάρχει αυτή την στιγμή ενεργή επίθεση Phishing εναντίον κυβερνητικών κρίσιμων υποδομών με σκοπό την άντληση κωδικών πρόσβασης από αξιωματούχους ή εργαζομένους Υπουργείων & Οργανισμών.
Κατά καιρούς στα Private forums ανταλλαγής πληροφοριών που διαθέτουν έχουν αναφερθεί σε μεθοδολογίες hacking και συγκεκριμένα α) πως να πραγματοποιήσει hacking σε λογαριασμούς gmail β) πως να πραγματοποιήσει επιθέσεις σε δορυφορικά και αεροπορικά συστήματα (!).
Η ίδια ομάδα Τούρκων hackers, που σχετίζεται με τον πρόεδρο της Τουρκίας, είχε την προηγούμενη εβδομάδα ισχυριστεί ότι έριξε την ιστοσελίδα του Υπουργείου Εξωτερικών και απέκτησε πρόσβαση στα e-mails διπλωματών, κάτι που δεν επιβεβαιώθηκε από ελληνικής πλευράς, ενώ εκδόθηκε ανακοίνωση από το ΥΠΕΞ.
Από το σχετικό υλικό που αναρτήθηκε δημοσίως όμως και κατόπιν μελέτης αυτού πάρα τις διαψεύσεις των στελεχών του Υπουργείου, διαπιστώσαμε ότι πράγματι οι Τούρκοι hackers είχαν πραγματοποιήσει μη εξουσιοδοτημένη πρόσβαση σε mail accounts διπλωμάτων και εργαζομένων του Υπουργείου (συγκεκριμένα στον εξυπηρετητή Zimbra).
Η εκτίμηση της τεχνικής ομάδας του SecNews, είναι ότι πιθανόν να υπάρχει αυτή την στιγμή ενεργή επίθεση Phishing εναντίον κυβερνητικών κρίσιμων υποδομών με σκοπό την άντληση κωδικών πρόσβασης από αξιωματούχους ή εργαζομένους Υπουργείων & Οργανισμών.
Στόχος των cyberwarriors της Τουρκίας είναι να προκαλέσουν αντίδραση της ελληνικής κυβέρνησης, μετά από πιέσεις των media και υπό το φόβο εθνικιστικών εξάρσεων, ενώ παράλληλα στέλνουν ηχηρό μήνυμα για τις δυνατότητες κυβερνοπολέμου που διαθέτουν τόσο για κατασκοπεία αλλά και για sabotage.
Άμεσες Ενέργειες των αρμοδίων – Δεν έχουν γίνει αντιληπτές οι επιθέσεις!
Τα πληροφοριακά συστήματα που στοχοποιήθηκαν, είναι όπως διαπιστώσαμε εντός του δικτύου Syzefxis, που εξυπηρετεί το σύνολο σχεδόν του Δημοσίου τομέα δομημένο (θεωρητικά τουλάχιστον) σύμφωνα με όλες τις σύγχρονες επιταγές ασφάλειας.
Όπως έχουμε αναφέρει πολλάκις στο παρελθόν, το Syzefxis ως πάροχος ΔΕΝ ΦΕΡΕΙ ουσιαστικά την ευθύνη διαχείρισης των εξυπηρετητών του εκάστοτε φορέα αλλά παρέχει απλά το μέσο πρόσβασης. Θα πρέπει να ληφθεί συνολική μέριμνα ώστε να διασφαλιστούν τουλάχιστον οι φορείς που διαχειρίζονται ευαίσθητα προσωπικά δεδομένα, αντλώντας τεχνογνωσία από τα στελέχη διαχείρισης του Syzefxis που είναι κατάλληλα εκπαιδευμένα και επιφορτισμένα με τα θέματα ασφάλειας.
Οι αρμόδιοι διαχειριστές των στοχοποιημένων ιστοσελίδων πρέπει ΑΜΕΣΑ να λάβουν τα απαραίτητα μέτρα και να επιδιορθώσουν σε τεχνικό επίπεδο τις αδυναμίες που χρησιμοποίησαν οι hackers για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση. Οι εξυπηρετητές που φαίνονται να έχουν δεχτεί την κυβερνοεπίθεση πρέπει να τοποθετηθούν εκτός δικτύου και να αναλυθούν ενδελεχώς για ψηφιακά πειστήρια, ώστε να εντοπιστεί ο ακριβής τρόπος που πραγματοποιήθηκε η εισβολή και να αποπεμφθούν οι εισβολείς σε περίπτωση που έχουν διεισδύσει και σε άλλους εξυπηρετητές (servers) του υπό έρευνα δικτύου.
Φαίνεται ότι οι εισβολείς χρησιμοποίησαν αδυναμία στα διαχειριστικά CMS που ήταν δημιουργημένες οι ιστοσελίδες. Ειδικότερα όμως για την ιστοσελίδα Γεωγραφικών Πληροφοριών του Υπουργείου Εσωτερικών, πρέπει να διερευνηθεί αν έχουν αντληθεί στοιχεία που περιέχουν προσωπικά δεδομένα εργαζομένων ή πολιτών.
Επιπροσθέτως εκτίμησή μας είναι ότι πρέπει να ενημερωθεί από τους αρμόδιους φορείς και η Αρχή Προστασίας Προσωπικών Δεδομένων κυρίως αναφορικά με την νομοθεσία του GDPR, μιας και δεν έχει αποσαφηνιστεί αν οι hackers απέκτησαν πρόσβαση σε προσωπικά δεδομένα εργαζομένων ή πολιτών!!!
Καλούμε τις αρμόδιες υπηρεσίες Πληροφορικής των αρμόδιων Υπουργείων και Οργανισμών που στοχοποιήθηκαν απο την ομάδα hackers AKINCILAR, να λάβουν άμεσα μέτρα και να ανακτήσουν την πρόσβαση στους εξυπηρετητές καθώς και να υπάρξει ενημέρωση με δελτίο τύπου, αν διέρρευσαν προσωπικά δεδομένα εργαζομένων ή Ελλήνων πολιτών!
COMMENTS