Τρίτη 25 Απριλίου 2017

Έρευνα Σοκ - Προσοχή: Kυβερνο-όπλα της NSA σε Ελληνικούς στόχους υψηλού προφίλ!





Η εγκατάσταση του λογισμικού παρακολούθησης στους Ελληνικούς στόχους υψηλού προφίλ πραγματοποιήθηκε είτε απο την εξειδικευμένη ομάδα της NSA είτε απο hackers που χρησιμοποίησαν τα εργαλεία απο την τελευταία διαρροή των ShadowBrokers.

Την περασμένη εβδομάδα, τα εργαλεία των επιχειρήσεων hacking (hacking operations) της NSA εναντιον παγκοσμίων στόχων ενδιαφέροντος της εν λόγω μυστικής υπηρεσίας, διέρρευσαν στο διαδικτυο από την πασίγνωστη πλέον ομάδα Shadow brokers. Η διαρροή πραγματοποιήθηκε στο διαδίκτυο με την μορφή που βλέπουμε παρακάτω οπου ο καθένας μπορούσε να τα αντλήσει ελεύθερα:




Στο οπλοστάσιο των κυβερνο-όπλων της NSA που διέρρευσαν περιλαμβάνονται πολλά exploits (για Microsoft Windows, Lotus Notes, MDaemon Webadmin,IIS, Solaris systems και Microsoft Exchange) καθώς και πρόσθετα εργαλεία γραμμένα σε Python.



Τα εργαλεία αυτά (Fuzzbunch, Eternalblue,Doublepulsar, Danderspritz) αποτελούν το εξειδικευμένο λογισμικό με τις άκρως εντυπωσιακές δυνατότητες (σ.σ. κάποιοι το επονομάζουν το Metasploit της NSA) που έχει χρησιμοποιηθεί από τους hackers-πράκτορες της NSA εναντίον υποδομών κυβερνήσεων, εταιρειών και οργανισμών.



Η ΕΡΕΥΝΑ
Οι ερευνητές του SecNews, πραγματοποιήσαν την τρέχουσα εβδομάδα, ενδελεχή μελέτη αναφορικά με τις διαρροές της NSA απο τους Shadowbrokers. Όπως έχει γίνει γνωστό η NSA Backdoor έχει βρεθεί εγκατεστημένη σε πολλές χώρες μέχρι αυτή την ώρα (σε χιλιάδες υπολογιστές & servers). Μια διασπορά ανα χώρα μπορείτε να δείτε παρακάτω:



Στόχος της έρευνας του SecNews όμως, λαμβάνοντας υπόψη τη σημαντικότητα των στοιχείων που διέρρευσαν, ήταν ο εντοπισμός εταιρειών ή δικτύων αποκλειστικά και μόνο στην Ελληνική Επικράτεια, που να εχουν πέσει θύμα κακόβουλης δραστηριότητας ή χρήσης των cyberweapons της NSA.
Ερευνήσαμε δηλαδή, συνδυαστικά με το οπλοστάσιο της NSA που διέρρευσε, χρησιμοποιώντας τα ιδιαίτερα ψηφιακά χαρακτηριστικά τους, αν και σε ποιές Ελληνικές IP διευθύνσεις μπορούν να εντοπιστούν εγκατεστημένα τα κυβερνο-όπλα της NSA!
Η διαδικασια πραγματοποιήθηκε με τα ακόλουθα βηματα και χρειάστηκαν 3 ημέρες.

Ως πρώτο βήμα σαρώσαμε το Ελληνικό διαδίκτυο για δημοσίως εκτεθειμένες τις υπηρεσίες SMB (Port 445) & Remote desktop (RDP Port 3389).
Εντοπίσαμε 1086 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία SMB στο διαδίκτυο
Εντοπίσαμε 4263 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία Remote Desktop στο διαδίκτυο
Στη συνέχεια χρησιμοποιώντας κατάλληλα παραμετροποιημένα scripts όπως το Mass-scan, detect_doublepulsar_rdp&smb (Python) και τα αρχεια που διέρρευσαν απο την NSA εντοπίσαμε που υπάρχει εγκατεστημένο το κυβερνο-όπλο.

Τα αποτελέσματα-τελικά ευρήματα φαίνονται στον παρακάτω πίνακα. Έχουμε αποκρύψει με κόκκινο πλαίσιο το σύνολο των IP διευθύνσεων που εντοπίστηκαν, για προστασία των στοχοποιημένων εταιρειών-οργανισμών. Έτσι δεν είναι εφικτό να χρησιμοποιήσει κάποιος κακόβουλος χρήστης το σχετικό κυβερνο-όπλο προς ίδιο όφελος.


ΣΥΜΠΕΡΑΣΜΑΤΑ
Σύμφωνα με τα ευρηματα το λογισμικό απομακρυσμένης προσβασης της NSA βρέθηκε εγκατεστημένο:

Εντός του δικτύου (AIA-Cust3-Infr ) του Αεροδρομίου Ελευθέριος Βενιζέλος. Δεν είμαστε σε θέση να γνωρίζουμε αν αποτελεί δίκτυο υποδομών του Αεροδρομίου ή third party εταιρεία στην οποία το αεροδρόμιο παρεχει το backbone πρόσβασης.
Σε εξυπηρετητή στο τηλεοπτικό σταθμό ΣΚΑΙ που είναι προσβάσιμος απο το διαδίκτυο (σ.σ. ελπίζουμε όχι για να αλλάξουν τα αποτελέσματα του Survivor ;))
Σε εξυπηρετητή της εταιρείας Vodafone ή συμβεβλημένης με αυτή εταιρεία.
Σε server στο εσωτερικό δίκτυο διαχείρισης (Internal Network Management) της εταιρείας Interworks Cloud (interworks.biz, webserve.gr). Αξίζει να αναφερθεί ότι στο ίδιο IP class εντοπίζεται και το Business marketplace της εταιρείας τηλεπικοινωνιών Wind (windbusiness.com.gr).
Σε πελάτη με σύνδεση DSL/VDSL της εταιρείας ΟΤΕ/Cosmote (δεν γνωρίζουμε αν είναι εταιρικός πελάτης ή home user). Δεν φαίνεται να έχει όμως κανένα συσχετισμό με τις κρίσιμες υποδομές του ΟΤΕ/Cosmote.
Εντός εξυπηρετητή της εταιρείας ΣΥΚΑΡΗΣ (πιθανόν Γραφικές Τέχνες)
Εντός εξυπηρετητή της εταιρείας ΜΕΛΚΑ (πιθανόν κατασκευαστική εταιρεία)
Σε τερματικό σταθμό/εξυπηρετητή του τμήματος Πολιτικών Μηχανικών στο ΑΠΘ
Σε server/τερματικό σταθμό στο ΤΕΙ Ηπείρου στο VLAN διαχειρισης.
Στο Πανεπιστημίο Θεσσαλίας σε τερματικό σταθμό χρήστη εντός του Πανεπιστημίου (πιθανόν απομακρυσμένη σύνδεση DSL).





Απο την έρευνά μας διαπιστώσαμε ότι στα ανωτέρω έχει εγκατασταθεί του Doublepulsar. Το Doublepulsar επιτρέπει στον επιτιθέμενο να εγκαταστήσει ότι λογισμικό επιθυμεί, χωρίς να είναι εντοπίσιμο υπο την μορφή DLL.

Είναι σαφές ότι δεν μπορούμε να γνωρίζουμε αν η εγκατάσταση των cyberweapons παρακολούθησης έγινε απο την NSA ή απο τρίτους hackers που χρησιμοποίησαν το οπλοστάσιο μετά την διαρροή απο τους Shadowbrokers. Το σίγουρο όμως είναι ότι οι στόχοι που αναφέρουμε θα πρέπει να ελέγξουν ΑΜΕΣΑ τα συστήματά τους (και ιδίως αν τα συστήματα που έχουν πληγεί “ακουμπούν” εσωτερικά δίκτυα.



Η ίδια διαδικασία που εφαρμόσαμε κατά την έρευνά μας στο Ελληνικό Public internet είναι εφικτό να εφαρμοστεί σε εσωτερικούς εξυπηρετητές για να ελεγχθεί αν υπάρχουν εγκατεστημένα λογισμικά κυβερνοπαρακολούθησης. Οι αναφερόμενοι στόχοι παραπάνω, οφείλουν να πραγματοποιήσουν ΑΜΕΣΑ ελέγχους ψηφιακής ανάλυσης ώστε να εντοπισόυν τι ακριβώς έχει συμβεί με τους ανωτέρω εξυπηρετητές.


Οι ερευνητές του SecNews είναι στην διάθεση διαχειριστών ή νομίμων εκπροσώπων των αναφερόμενων εταιρειών, οργανισμών & φορέων που φαίνεται να έχουν στοχοποιηθεί για να παρέχουμε πρόσθετα στοιχεία αναφορικά με τις λεπτομέρειες του εντοπισμού αλλά και τον τρόπο επιπλέον ελέγχων στο εσωτερικό δίκτυο εφόσον διαπιστώσουν οι αρμόδιοι διαχειριστές ότι έχουν πληγεί και σε τι βαθμό.



secnews.gr

0 σχόλια:

Δημοσίευση σχολίου