AnasayfatahkikatSiber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Siber güvenlik analizi: Bağımsız güvenlik araştırmacılarının Kıbrıs'taki siber saldırı üzerine yaptıkları araştırmanın sonuçları SecNews'in Kıbrıs'taki kritik devlet ve özel sistemlere Türk hacker RootAyildiz Turkish Defacer tarafından yakın zamanda ifşa edilmesinin ardından, bağımsız siber güvenlik analistleri PROMETHEUS GROUP, OS metodolojisinin kapsamlı bir çalışmasını içeren ilgili bir beyaz bülten yayınladı (Açık kaynaklı istihbarat).

Bilgisayar korsanlığı saldırıları hakkında daha fazla bilgi edinin:

1. Kök Ayyıldız Türk Defacer: Türk hacker Kıbrıs'a saldırıyor!

2. RootAyyildiz'den Larnaka Havalimanı hermesairports.com'a siber saldırı!

SecNews, size PROMETHEUS GRUBU araştırmasının bir parçasını sunar ve bunları bütünüyle bulursunuz. burada. SecNews, bu araştırmayı şu amaçla yeniden yayınlıyor: toplumun bir bütün olarak korunması ve Kıbrıs'ta meydana gelen son ihlal olaylarının soruşturulması. PROMETHEUS GRUBU, onlara göre, Kıbrıslı bağımsız siber güvenlik araştırmacılarından oluşuyor.

Aşağıdakiler, araştırmacıların münhasır bulguları ve ifadeleridir. SecNews, araştırmanın içeriğini yorumlamadan veya değiştirmeden aşağıda gösterildiği gibi çalışmanın bir bölümünü yayınlar. Bağımsız araştırmacıların çalışması, benzer vakaları araştırmak için teknik bir metodoloji olabilir.

Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Çalışma çevirisi alıntı https://github.com/prometheusgroup/YPAM-CyberAttack/blob/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf

 ——————————– Çalışmayı Başlat Alıntı ——————————–

Son iki hafta içinde, Savunma Bakanlığı'nın internet sitesine tanınmış bir Türk hackleme grubu tarafından siber saldırı yapıldığına dair bir rapor geldi. Orijinal haber makalesi SecNews.gr tarafından yayınlandı (https://secnews.gr/331587/rootayyildiz-turkish-defacer-hacker-cyprus/) 24 Mart 2021 tarihinde yayımlandı ve çalınan verilerin fotoğrafik verileriyle birlikte saldırının ayrıntılı bir analizini içeriyordu.

29 Mart 2021'de Philenews.com, diğer şeylerin yanı sıra bir makale yayınladı (https://www.philenews.com/koinonia/eidiseis/article/1157770/prospatheia-epithesis-apo-chakerstin-istoselida-toy-ypam) Bakanlığa yönelik saldırının başarıyla engellendiğini ve Bakanlığın ileride benzer eylemleri önlemek için gerekli tüm önlemleri aldığını belirtti.

Bazıları, Kıbrıslı politikacıların beceriksizlik, ilgisizlik, ihmal, kar, kendi kendini tanıtma ve / veya kendi kendini korumanın neden olduğu "sessiz" büyük olayları takip etmeye alıştıklarını iddia edecek (Evangelos Florakis Deniz Üssü Patlaması, Saç Kesimi 2013, Bankacılık mevduatları COOP ve Laiki iflaslar, vb.) Bu nedenle, yukarıda bahsedilen siber saldırının potansiyel etkisini sunmaya karar verdik.

SecNews makalesine göre saldırgan, Savunma Bakanlığı'nın web sitelerinden birini tehlikeye atmayı başardı. Fakat hangisi? Açık Kaynak İstihbaratı aracılığıyla saldırı hakkında hangi bilgileri ifşa edebiliriz (yani halka açık bilgiler)? DNSdumpster.com'daki basit bir sorgu, bize Bakanlığın halka açık web siteleri hakkında yararlı bilgiler verebilir.

Siber güvenlik analizi: Kıbrıs'taki siber saldırının sonuçları PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Yukarıdaki resme göre, ihlal göstergeleri (IoC'ler) veya sitenin ihlal edildiği sonucuna varılmasına neden olabilecek bilgiler bulup bulamayacağımızı kontrol etmek için mod.gov.cy web sitesini ziyaret edebiliriz.

PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Yukarıdaki görüntü sitenin MODX İçerik Yönetim Sistemi (CMS) kullanılarak oluşturulduğunu göstermektedir. Bu, korsan tarafından gönderilen bazı görüntülerde, dışa aktarılan veritabanı tabloları ve site dosya adları modx_ (örn. Modx_dashboard.csv) ile başladığından, bunun güvenliği ihlal edilmiş bir site olduğunun bir göstergesidir. Bu güvenliği ihlal edilmiş site ise, başka hangi hükümet siteleri MODX CMS'yi kullanıyor ve yakın gelecekte tehlikeye atılmış veya tehlikeye atılmış olabilir mi?

Hızlı bir Google araması, publications.gov.cy ve www.pio.gov.cy'nin potansiyel olarak aynı güvenlik açığından etkilenebilecekleri için aynı saldırının kurbanı olabileceğini gösterir.

Ancak, MOD sitesi ile aynı sunucuyu paylaşan ve muhtemelen saldırı sırasında zaten tehlikeye atılan sitelerin sayısı hakkında bir fikir edinmek için, DNSsumpster. Com'da "Bu IP adresini paylaşan ana bilgisayarları bul" seçeneğine tıkladık. aşağıdaki resme.

PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

DNSsumpster.com'da listelenen 78 sitenin örnek listesi aşağıda bulunabilir. Lütfen tehlikeye atılan verilerin bilgisayar korsanı tarafından serbest bırakılmadığını, dolayısıyla verilerin çalınmamış olabileceğini unutmayın.

Bu sunucudaki sitelerin tam listesi, verileri tehlikeye atılmış olabilecekleri bilgilendirmek ve bir araştırma başlatmak için aşağıya eklenmiştir.

Siber güvenlik analizi: Kıbrıs'taki siber saldırının sonuçları PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Peki ya site www.mod.gov.cy;

DNSdumpster.com görüntüsü, bir Lotus Domino web sunucusunda çalıştığını, ancak bir site ziyareti bunun devre dışı / kullanılamaz olduğunu gösterir. WayBackMachine web sitesinin (archive.org), belirli aralıklarla halka açık İnternet sitelerinin anlık görüntülerini aldığı unutulmamalıdır. WayBackMachine, bizi otomatik olarak mod.gov.cy'nin anlık görüntüsüne yönlendirir; bu, her iki alanın da (mod.gov.cy ve www.mod.gov.cy) aynı IP adresine ve dolayısıyla çok yakın zamana kadar web sunucusuna yönlendirir (yani aynı web sitesiydi).

Bu nedenle, DNSdumpster.com listesinde kalan son izotop olan newarmy.mod.gov.cy, bu analizin yazıldığı sırada erişilebilir değildi. Ancak WayBackMachine, sitenin son anlık görüntüsünün 19 Ocak 2021'de çekildiğini ve aşağıdaki içeriğe sahip olduğunu gösteriyor.

Siber güvenlik analizi: Kıbrıs'taki siber saldırının sonuçları PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

İlk bakışta çok önemli bir site gibi görünüyor. Bununla birlikte, Ulusal Muhafızlara (SNC) kaydolmaya çalışan başvuru sahiplerinin kişisel verilerinin çalınmış olabileceği gerçeği göz önüne alındığında, Kişisel Verileri Koruma Komiseri olayı daha ayrıntılı bir şekilde araştırmalıdır. Ek olarak, profesyonel askerlerin kişisel verileri gerçekten tehlikeye atılmışsa, yabancı bir devletin elinde olabileceği için bir ulusal güvenlik sorunu vardır.

Bu sitenin ihlal edilme olasılığını hesaplamaya çalışalım. 20 Ağustos 2019'da alınan newarmy.mod.gov.cy anlık görüntüsünü açarken aşağıdaki yönlendirme mesajını görüyoruz.

Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

[Çalışmada daha fazlası burada]

Ama ihlal edildi mi? Bilgisayar korsanı tarafından yayınlanan görüntüler, MS SQL Server veritabanı örnek adlarının bir listesini içerir. Bu, aşağıdaki resimde açıkça gösterilen varsayılan MS SQL veritabanı adlarından "ana", "msdb" ve "model" den kolayca anlaşılabilir.

PROMETHEUS GRUBU
Siber güvenlik analizi: Kıbrıs'ta siber saldırı üzerine araştırma sonuçları

[Çalışmada daha fazlası burada]

Aynı sunucuyu newarmy.mod.gov.cy ile paylaşan özel ve kamu şirketlerinin yanı sıra devlet kurumlarının listesi şöyledir:

[Çalışmada daha fazlası vώ]

Aynı sunucuya ait oldukları için yukarıda belirtilen siteleri ihlal etme olasılığı çok yüksektir.

[Çalışmada daha fazlası vώ]

Hepsinden en endişe verici olanı, potansiyel olarak tehlikeye atılan veritabanlarından ikisinin, Ulusal Bilgisayar Güvenliği Müdahale Ekibi (CY-CSIRT) ve Dijital Güvenlik Otoritesi'nin (DSA) kontrolü ve yönetimi altında Elektronik İletişim ve Posta Düzenlemeleri Komiserliği'ne ait olmasıdır . DSA ulusal hukukuna göre, Kıbrıs'taki dijital ağların ve bilgi sistemlerinin güvenliği için yetkili makam ve ulusal güvenlik stratejisinin uygulanması için koordinatördür. Basit bir ifadeyle, ülkenin kritik altyapısının (örneğin Elektrik Kurumu, Su Kurumları, Kanalizasyon İdareleri, Bankalar vb.) Korunmasından sorumludur ve para cezası uygulama yetkisine sahipken güvenlik, zayıflıklar ve savunma mekanizmaları hakkında bilgi toplar ( Kurum kontrolündeki şirket ve şahıslara 3 yıla kadar para cezası ve hapis cezası.

Olayla ilgili şu sorular ortaya çıkıyor:

1. Savunma Bakanlığı ve Araştırma, Yenilik ve Dijital Politika Müsteşarlığı olay hakkında yetkili makamları bilgilendirmek için gerekli önlemleri aldı mı (örneğin Kişisel Verilerin Korunması Komiseri)? Değilse, neden olmasın?

2. Savunma Bakanlığı'nın medyaya yaptığı açıklamada olay neden baltalandı?

3. Yukarıdaki listedeki tüm müşteriler dikkate alındığında kişisel bilgilerin sızdırılmasının gerçek boyutu nedir?

4. Bu, devlet sistemlerini etkileyen bir siber güvenlik olayının meydana geldiği veya rapor edildiği ilk olay değildir. Hükümet sitenin güvenli bir şekilde geliştirilmesi için neden gerekli önlemleri almadı (örn. Sızma testi, hassas bilgiler için paylaşılan bir barındırma ortamından kaçınma vb.)?

5. Devletin siber güvenlik prosedürlerinden sorumlu kişiler kimlerdir?

6. Kıbrıs'taki kritik altyapı hakkında hangi bilgiler OCECPR web sitesinden sızdırıldı? Neden kendileri tarafından tespit edilmediler ve bu tür verilerin ihlalini önlemek için ne gibi önlemler aldılar?

Siber saldırıları örtbas etmenin Kıbrıs'ta yaygın bir uygulama olduğuna inanıyoruz. Bunun şirketler üzerinde zararlı bir etkisi vardır, çünkü gerçek saldırı riskini göremezler, bu yüzden onları korumak için ihtiyati tedbirler alma ihtiyacı konusunda şüphecidirler, elbette çok geç olana kadar (deneyimlerimizden de gördüğümüz gibi. tekrar.).

Bu teknik incelemeyi yazarken, SecNews.gr (secnews.gr/339663/hacked-larnaca-airporthermesairports-rootayyil/), Hermes Havaalanları web sitesinde bir saldırı hakkında bir makale yayınladı.

[Çalışmada daha fazlası burada]

Bu nedenle, hükümete sistemler, politikalar ve prosedürlerle ilgili olarak aşağıdaki tavsiyelerde bulunmak istiyoruz:

1. Her türlü ve tüm devlet bilgi sistemleri ile ilgili olarak, güvenlik ciddiye alınmalıdır tüm paydaşlar tarafından ve daha sonra düşünüldüğü gibi bırakılmamalıdır.

2. Hükümet, güvenlik incelemeleri ve sızma testleri yürütür kritik güvenlik açıklarını belirlemek ve düzeltmek için. Ayrıca sistemlerini bilgisayar korsanlığı saldırılarına karşı sürekli izlemeli ve bu tür olasılıklar için bir planı olmalıdır.

3. Birini tanımlayın ilgili kişi böylece bir devlet sistemiyle ilişkili bir güvenlik açığını / zaafiyetini keşfeden herkes bunu sorumlu bir şekilde rapor edebilir.

4. Bir program uygulayın böcek lütuf, Kıbrıslı bilgisayar korsanlarının (güvenlik uzmanları) mali bir ödül aldıkları hükümet sistemlerindeki güvenlik açıklarını yasal olarak test edip rapor edebilmeleri için.

5. Açıkça kabul edin ve güvenlik olaylarını bildirin hükümet sistemlerini etkileyen. Bu tür olayları halka duyurmak için temsilcilerin atanmasını tavsiye ederiz.

[Çalışmada daha fazlası burada]

Yukarıdaki tavsiyelerin tümü, başvuruları için gerekli adımları atması gereken tüm özel sektör şirketleri için de geçerlidir. Yukarıda bahsedilenler, yalnızca kamu kaynaklarından toplamayı başardığımız bilgilere dayanmaktadır ve bunları doğrulamak için yetkili makamlar tarafından uygun bir araştırma yapılmalıdır (birleştirilmiş tekniklerimize ve deneyimlerimize dayanarak).

Daha fazla haber: Mobil kötü amaçlı yazılım - 2020'de kuruluşlar için en büyük tehditlerden biri

İtibarlarına zarar verdiysek etkilenen şirketlerden şimdiden özür dileriz, ancak amacımız kamuoyunu ve kişisel bilgileri tehlikeye atılmış olabilecekleri sorumlu bir şekilde bilgilendirmekti, çünkü başka hiç kimsenin bunu yapmayacağı aşikardı.

Prometheus Group siber güvenlik uzmanları / analistleri

"Bizler (en azından şimdilik) anonim kalmayı tercih eden bir grup Kıbrıslı siber güvenlik uzmanıyız. Çalışmalarımızı ilk kez araştırıyor ve yayınlıyoruz. Bu grubu, Kıbrıs'taki siber güvenlik durumu hakkında kamuoyunu bilinçlendirmek için oluşturduk.

Çalışmamız nedeniyle kritik kuruluşlara ve hükümete yönelik çeşitli saldırılar gerçekleştirdik. Ne yazık ki, bu olaylar yayınlanmadı veya baltalanmadı. "Özel sektördeki kuruluşlar için daha güvenlik odaklı bir zihniyete geçiş gördük, ancak kamu sektörü tamamen eksik."

PROMETHEUS GRUBU tarafından hazırlanan teknik inceleme

 ------------ [Çalışmanın Sonu Alıntı] -----------

[SECNEWS GÜNCELLEME 13.04.2021]

Paydaşların Github ile ilgili araştırmanın varlığından haberdar edildiğini unutmayın. Yayına resmi bir yanıt verilmedi ve talepleri üzerine isimleri kaldırıldı.

spot_img

CANLI HABERLER