[ΑΠΟΚΛΕΙΣΤΙΚΟ] Τούρκοι hackers-κατάσκοποι πραγματοποιούν κυβερνοεπιθέσεις εναντίον κρίσιμων υποδομών στην Ελλάδα!
Δημοσιεύθηκε από SecNews την Παρασκευή Φεβ 8, 2013 στην Κατηγορία SecNews Rapid Alert [SRA]
ΑΠΟΚΑΛΥΨΗ ΠΟΥ ΘΑ ΣΥΖΗΤΗΘΕΙ: Τούρκοι επιχειρηματίες έχουν μισθώσει hackers της γείτονος χώρας έναντι αδράς αμοιβής για να αντλούν πληροφορίες αναφορικά με επικείμενες επενδύσεις που ετοιμάζουν σε όλη την Ελληνική επικράτεια!
ΑΠΟΚΛΕΙΣΤΙΚΕΣ πληροφορίες που περιήλθαν στην συντακτική ομάδα και επιβεβαιώθηκαν από την βαθιά δημοσιογραφική έρευνα του SecNews επιβεβαιώνουν το ασύλληπτο! Τούρκοι επιχειρηματίες, που την περίοδο της βαθιάς οικονομικής κρίσης επιλέγουν την Ελλάδα ως πρωταρχικό τόπο επένδυσης, έχουν οργανώσει εξειδικευμένες ομάδες κρούσης βιομηχανικών κατασκόπων(άραγε με την ανοχή/συμμετοχή της Τούρκικης κυβέρνησης?) με στόχο να πραγματοποιήσουν υποκλοπή, αλλοίωση και διάθεση ψηφιακών δεδομένων που αφορούν τρέχοντες αλλά και μελλοντικούς διαγωνισμούς!
Πιο συγκεκριμένα μικρές,ευέλικτες οργανωμένες ομάδες Τούρκων hackers με πλήρη “εξάρτηση” (απαραίτητα εργαλεία κυβερνοπολέμου,βιομηχανικής κατασκοπείας και υποκλοπών) στοχοποιούν κρίσιμες υποδομές αλλά και εταιρείες και οργανισμούς που επιθυμούν να προσεγγίσουν/επενδύσουν οι Τούρκοι επιχειρηματίες.
Κύριοι στόχοι των Τούρκων hackers μεταξύ άλλων είναι εταιρείες επενδυτών/διαχείρισης κεφαλαίων, χρηματοπιστωτικών ιδρυμάτων, εμπορικών εταιρειών, εταιρειών real estate, τηλεπικοινωνιακών εταιρειών, εταιρειών τυχερών παιγνίων ναυτιλιακών και πετρελαικών εταιρειών καθώς και οργανισμών κοινής ωφέλειας.
Τεχνικές λεπτομέρειες των χρησιμοποιουμενων κυβερνο-όπλων των γειτόνων!
Στο “ηλεκτρονικό” τους οπλοστάσιο περιλαμβάνονται ιδιαίτερα εξελιγμένα εργαλεία απομακρυσμένης πρόσβασης, παράκαμψης antivirus και antimalware συστημάτων, καθώς και συστήματα παράκαμψης proxy και antispam.
Όπως αναφέρουν αξιόπιστες πηγές, έχουν δημιουργήσει μέχρι και δικό τους κατάλληλο κακόβουλο λογισμικό (malware) – κυβερνο-όπλο το οποίο διαθέτει επαυξημένες δυνατότητες απομακρυσμένης παρακολούθησης και άντλησης δεδομένων.Συγκεκριμένα:
Το χρησιμοποιούμενο κυβερνο-όπλο δεν είναι εντοπίσιμο απο κανένα γνωστό antivirus/antimalware σύστημα
Εισέρχεται στα στοχοποιημένα συστήματα μέσω ηλεκτρονικού μηνύματος, που ομοιάζει οτι προέρχεται από πρόσωπα γνωστά στον παραλήπτη είτε από παραβιασμένους ιστοχώρους με περιεχόμενο ενδιαφέροντος του παραλήπτη-θύματος.
Εγκαθίσταται “σιωπηλά” χωρίς εμφανή ίχνη στο τερματικό του χρήστη, με πλήρη απόκρυψη από τις διεργασίες του συστήματος.
Δημιουργεί πλήρη λίστα σε αρχείο με το σύνολο των ονομάτων αρχείων του τερματικού του χρήστη (λίστα με excel,word,pdf αρχεία) η οποία και αποστέλεται σε απομακρυσμένο κόμβο διαχείρισης (Command & Control Center). Η αποστολή της αρχικής λίστας αρχείων είναι εξαιρετικά γρήγορη μιας και το αρχείο συμπιέζεται και κρυπτογραφείται πρώτα με γνωστά εργαλεία που τοποθετούνται στον υπολογιστή του θύματος. Εν συνεχέια το κακόβουλο λογισμικό παραμένει εν υπνώση περιμένοντας νέες εντολές από τους διαχειριστές του.
Στην συνέχεια οι Τούρκοι hackers-κατάσκοποι με αναζήτηση λέξεων κλειδιών εντοπίζουν τα αρχεία ενδιαφέροντός τους με λέξεις κλειδιά (πχ ΜΑΡΙΝΕΣ, Business PLAN, ΑΚΤΟΠΛΟΙΑ, ΞΕΝΟΔΟΧΕΪΟ, ΛΙΜΑΝΙ) ανά τερματικό-θύμα και δίνουν εντολή μέσω του Command & Control Center να αποσταλούν τα αρχεία. Η συγκεκριμένη μέθοδος τους δίνει την δυνατότητα να αναζητήσουν μαζικά σε εναν πλήθος υπολογιστών για τα αρχεία που τους ενδιαφέρουν και μόνο (χωρίς να ψάχνουν έναν εναν τους υπολογιστές των θυμάτων). Τα αρχεία αποστέλονται σε κεντρικό αποθετήριο, μέσω κρυπτογραφημένης σύνδεσης που προσομοιάζει με δικτυακή κίνηση web (σαν ο ανυποψίαστος χρήστης να surfarei στο Internet) καθιστώντας τον εντοπισμό τους εξαιρετικά δύσκολο από τις σύγχρονες εφαρμογές δικτυακής ασφάλειας.
Στην τελική φάση της επίθεσης τα αρχεία συλλέγονται και κατηγοριοποιούνται ώστε να αποσταλούν στους μισθωτές-επιχειρηματίες.
Ανεπιτυχής μέχρι στιγμής οι προσπάθειες διείσδυσης σε κρίσιμες υποδομές
Το SecNews δεν είναι σε θέση να γνωρίζει το σύνολο των εταιρειών/οργανισμών που έχουν στοχοποιηθεί. Το σίγουρο είναι ότι οι επιθέσεις είναι αυτή την στιγμή σε εξέλιξη. Οι τελευταίες επιθέσεις που πραγματοποίησαν οι Τούρκοι hackers καθ’υπόδειξη των μισθωτών τους, αφορούν όπως έχει επιβεβαιώσει το SecNews:
- Τις υποδομές και την ιστοσελίδα του Invest in Greece (Επενδύστε στην Ελλάδα)
- Τις υποδομές του Ελληνικού Πλαισίου Παροχής υπηρεσιών Ηλεκτρονικής διακυβέρνησης (e-gif.gov.gr)
- Την ιστοσελίδα του Έλληνα πρωθυπουργού primeminister.gov.gr/
- Τις υποδομές και την ιστοσελίδα του προγράμματος ΔΙΑΥΓΕΙΑ (diavgeia.gov.gr/)
- Την ιστοσελίδα και τις υποδομές του GEODATA – Δημόσια Δεδομένα,Ανοικτά Δεδομένα για την παροχή γεωχωρικής πληροφορίας (geodata.gov.gr/geodata/)
- Την ιστοσελίδα και τις υποδομές του ΤΑΙΠΕΔ (Ταμείο Αξιοποίησης Ιδιωτικής Περιουσίας του Δημοσίου)
Οι Τούρκοι hackers, σύμφωνα με τα στοιχεία που έχει στην διάθεσή του το SecNews μέχρι στιγμής, ΔΕΝ φαίνεται να έχουν αποκτήσει έως τώρα την απαραίτητη παράνομη πρόσβαση για την άντληση των πληροφοριών που επιθυμούν στις κρίσιμες υποδομές της χώρας. Πιθανόν κάτι τέτοιο να οφείλεται στο γεγονός ότι δεν γνωρίζουν επαρκώς τα τρέχοντα συστήματα που στοχοποιούν ή να είναι στο στάδιο των δοκιμών και καταγραφή των αδυναμιών τους (footprinting – εξωτερικός έλεγχος).
Είναι όμως κάτι παραπάνω από σαφές ότι η στοχοποίησή τους έχει ξεκινήσει εδώ και αρκετά μεγάλο διάστημα και πιθανόν να στραφεί και σε άλλες ιστοσελίδες-δικτυακές υποδομές κυβερνητικών κυρίως οργανισμών.
Και διενέργεια “ψυχολογικών” επιχειρήσεων
Δεν είναι τυχαίες οι αλλοιώσεις ιστοσελίδων του SYZEFXIS από Ιρανούς(κατά δήλωσή τους) hackers! Στα πλαίσια του αποπροσανατολισμού, οι Τούρκοι hackers έχουν εντολές να πραγματοποιούν από καιρό εις καιρό αλλοιώσεις (defacements) σε ιστοσελίδες ποικίλου περιεχομένου με στόχο να πληγεί το κύρος εταιρειών αλλα και δημοσίων φορέων και οργανισμών (καταλαβαίνουμε όλη πόσο σημαντικό είναι αυτό την στιγμή που είναι σε στάδιο αναζήτησης επενδυτών). Πληροφορίες αναφέρουν ότι πίσω από την τελευταία επίθεση σε πολλαπλές ιστοσελίδες του SYZEFXIS ήταν Τούρκοι hackers που δήλωναν Ιρανοί, για αποπροσανατολισμό!
Κατά την διάρκεια των “ψυχολογικών” επιχειρήσεων πραγματοποιούν κακόβουλες αναρτήσεις με μηνύματα σε ιστοσελίδες που επιθυμούν ή τοποθετούν κακόβουλο λογισμικό που έχει την δυνατότητα να παραβιάζει τον υπολογιστή και να παρακολουθεί οποιονδήποτε ανυποψίαστο χρήστη επισκέπεται την παραβιασμένη ιστοσελίδα (εν αγνοία του φυσικά). Τα δεδομένα που αντλούνται έχουν στόχο κυρίως την περαιτέρω εξάπλωση των επιθέσεων και την άντληση επιπρόσθετων σχετικών πληροφοριών αναφορικά με τον τελικό τους στόχο.
Ας ελπίσουμε οι υπηρεσίες Εθνικής Ασφάλειας που είναι επιφορτισμένες με την αντιμετώπιση περιστατικών κατασκοπείας να έχουν λάβει γνώση της ύπαρξης του ανωτέρω κυβερνο-όπλου και των σχετικών περιστατικών και να έχουν προχωρήσει στις προβλεπόμενες ενέργειες για την άμεση αντιμετώπισή του!
Άμεσες ενέργειες αντιμετώπισης:
Οι αρχές υπεύθυνες για την Εθνική Ασφάλεια του κυβερνοχώρου πρέπει να:
- Διερευνήσουν άμεσα τα παραπάνω και να ενημερώσουν τους φορείς που έχουν επικοινωνία με Τούρκικες εταιρείες να είναι ιδιαίτερα προσεκτικοί
- Να εντοπίσουν και αναλύσουν τα σχετικά κακόβουλα λογισμικά αλλά και παραλλαγές αυτών.
- Να προβούν σε συνέργειες με τις αρμόδιες υπηρεσίες αντιμετώπισης κυβερνοεγκλήματος
- Να καταγράψουν και να προβούν σε εφαρμογή ισχυρότερων μέτρων δικτυοκεντρικής ασφάλειας στους οργανισμούς ενδιαφέροντος Τούρκικων εταιρειών και συμφερόντων
- Να προτείνουν λύσεις επαύξησης της ασφάλειας και συγγραφή οδηγιών/τεχνικών εγχειριδίων για Οργανισμούς, φορείς και υπηρεσίες που βρίσκονται στο επίκεντρο των αποκρατικοποιήσεων.
Οι διαχειριστές των συστημάτων από την πλευρά τους οφείλουν να :
- Διερευνήσουν τυχόν κακόβουλες εξερχόμενες συνδέσεις στις συσκευές ασφάλειας και στα Firewalls που έχουν εγκατεστημένα στην περίμετρο του δικτύου τους.
- Εντοπίσουν κακόβουλα αρχεία στον διακομιστή εισερχόμενης ηλεκτρονικής αλληλογραφίας
- Να ενημερώσουν τους υπόλοιπους εργαζομένους για την ύπαρξη κακόβουλου λογισμικού που διακινείται μέσω ηλεκτρονικής αλληλογραφίας
- Να περιορίσουν την πρόσβαση σε ιστοχώρους χαμηλής ασφάλειας.
- Να λάβουν όλα τα απαραίτητα τεχνικά μέτρα προφύλαξης έναντι απειλών phishing.
Οι χρήστες πληροφοριακών συστημάτων των εταιρειών, Οργανισμών και υπηρεσιών οφείλουν να:
- Eίναι ιδιαίτερα προσεκτικοί σε ηλεκτρονικά μηνύματα αγνώστων ή ακόμα και γνωστών τους προσώπων εφόσον το λεκτικό που χρησιμοποιείται στο μήνυμα δεν ταιριάζει με το πρόσωπο που γνωρίζουν.
- Να αναφέρουν στους διαχειριστές συστημάτων ή στην Δίωξη Ηλεκτρονικού Εγκλήματος ύποπτα περιστατικά.
- Να έχουν ενημερωμένα antivirus/antimalware συστήματα.
- Να ελέγχουν τους λογαριασμούς ηλεκτρονικής τους αλληλογραφίας για τυχόν μηνύματα που έχουν αναγνωσθεί εν αγνοία τους
- Να μην εγκαθιστούν εφαρμογές που τους αποστέλουν χωρίς να ενημερώνουν τους διαχειριστές συστημάτων
- Να διαθέτουν δικαιώματα απλού χρήστη στον τερματικό σταθμό που χρησιμοποιούν και να χρησιμοποιούν δικαιώματα διαχειριστή μόνο όταν είναι άκρως απαραίτητο.
Ευχαριστούμε τους εθελοντές ειδικους ασφάλειας που συμμετέχουν στην δημοσιογραφική έρευνα του SecNews και θα επανέλθουμε σύντομα με περισσότερα στοιχεία.
Μείνετε συντονισμένοι στο SecNews για οτιδήποτε νεότερο.