Analiza atacului cibernetic prin SMS – ”Ai un nou mesaj vocal – asculta acum!”

Zilele acestea o serie de mesaje ca cele afișate mai sus au ajuns sub formă de SMS pe telefoanele românilor.
Gramatica, exprimarea, dar și modalitatea de scriere a acestor mesaje, denotă că au fost trimise, cel mai probabil, de programe automate de trimitere și traduse automat. De obicei, metoda de divizare a cuvintelor fiind folosită pentru a trece de filtrul cuvintelor cheie și evitarea blocării mesajelor(un exemplu fiind mesajele care ajung în SPAM deoarece sunt considerate malițioase). În cazul nostru, cuvintele principale fiind: mesaj, mesagerie, nou, acum, vocal, prietenii… nu au ”greutatea” cuvintelor: bancă, informații, actualizare, descarcă, încât să existe necesitatea divizării acestora.

Deși exista dorința analizării acestei situații, timpul necesar nu prea exista, până când a venit SMS pe numărul nostru… și nu am putut să îl ignorăm…

Adresă web: www.dom_ain.com/nvl/?kOpJM1yX-HAsEI8
Am început cu analizarea adresei oferite, pentru a putea înțelege atacul cibernetic.
Vizitarea adresei de pe pc duce spre o eroare 404, ceea ce înseamnă că adresa nu există.. sau are restricții pe anumite dispozitive, platforme de analiză malware online, calculatoare virtuale etc.
Adresa fiind obținută prin SMS, există șanse foarte mari ca accesarea sau acțiunile stabilite la accesare să fie posibile doar dacă vizitarea se face cu un dispozitiv mobil(telefon) sau în funcție de alte criterii(IP, browser etc).

Pentru a nu intra în detaliile tehnice legate de adresa web vom sări câțiva pași, dar vom menționa că este adresa unei pagini web compromise, aceasta fiind una dintre cele mai practicate metode ale hacker-ilor, folosirea paginilor web compromise reduce expunerea acestora, credibilitatea acțiunilor ilegale și reducerea costurilor.

Suntem în etapa în care am analizat structura paginii, am adunat informații și am descoperit că folderul /nvl/ conține un singur fișier index.php. Una dintre țintele analiștilor de securitate cibernetică fiind intrarea în posesia fișierelor folosite de infractorii cibernetici, de aceea este un pas important.

Un fișier care la accesarea cu dispozitivul acceptat ar trebui să arate ceva, să te direcționeze undeva sau să îți ofere ceva pentru descărcare. Sau cel puțin așa se manifestă majoritatea atacurilor de acest fel.

Așa cum se întâmplă de foarte multe ori, pagina web nu este singura compromisă.. ci întreg serverul, împreună cu toate paginile existente. Pagini care sunt folosite atât pentru acest atac prin SMS cât și multe alte campanii de phishing, fraudă etc.

Trecem la partea de dispozitiv mobil, pentru a vedea dacă adresa în cauză ne poate oferi și alte informații despre ceea ce deja știm că este un atac cibernetic.

La accesarea adresei direct din SMS, pagina care apărea cu eroare pentru pc, identificând dispozitivul ca fiind unul mobil, afișează acum informații despre serviciul de telefonie folosit, numărul nostru de telefon, un presupus timp al mesajului și desigur posibilitatea de a descărca aplicație necesară pentru a asculta mesajul vocal.
Credibilitatea acestei ferestre este susținută de faptul că în colțul din stânga sus apare imaginea serviciului folosit și numele serviciului apare încă odată înainte de ”You have new voicemail”.

În cea de-a doua imagine am folosit tehnica descrisă și în cursul de phishing din cadrul proiectului Cyber AID, cu ajutorul căreia putem vedea ce se ascunde în spatele butonului și observăm o adresă.. destul de lungă. Accesăm adresă de pe calculatorul folosit ca și laborator de analiză malware, dar același rezultat ca la cealaltă adresă… adica nimic. Așa că o accesăm direct de pe telefon, pentru a descoperi secretul atacului, deși 99% ar trebui să fie vorba despre o aplicație malware.

Dar până la accesare, trebuie menționat un aspect foarte important, care poate reduce numărul victimelor. Sub butonul de descărcare există o informare care explică cum să schimbi setările dacă nu este permisă instalarea. În cazul acesta lipsa cunoștințelor tehnice de bază și a cunoașterii limbii engleze este un plus … în acest caz.

Apăsăm butonul într-un mod normal, pentru a vedea ce se întâmplă.

Se confirmă bănuiala în ceea ce privește tipul de atac cibernetic. Este o campanie de distribuire a unei aplicații mobile infectate cu virus, care poate extrage informații sau poate controla în totalitate dispozitivul.

15 din 63 nu este chiar ceva bun, dar rata de detecție va crește datorită faptului că am scanat online aplicația. Avem și o oarecare confirmare despre ceea ce urmărește atacatorul(Android, Banker, Dropper, Flubot..)
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:sharedUserId="FhNCOBaqbWTRpdTX.uid.shared" android:versionCode="1" android:versionName="1.5" android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" package="com.iqiyi.i18n" platformBuildVersionCode="28" platformBuildVersionName="9">
    <uses-sdk android:minSdkVersion="24" android:targetSdkVersion="28"/>
    <uses-permission android:name="android.permission.CALL_PHONE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <application android:theme="@style/Theme.MyApplicationTest" android:label="@string/app_name" android:icon="@drawable/design_fab_elevation" android:name="com.icecream.sandwich.k" android:debuggable="true" android:allowBackup="true" android:largeHeap="true" android:supportsRtl="true" android:extractNativeLibs="false" android:usesCleartextTraffic="true" android:appComponentFactory="p70c75997.p176b4c0b.p0df18794.p97d0d6ed">
        <activity android:name="com.iqiyi.i18n.p407b2628" android:launchMode="singleTop">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
        </activity>
        <service android:name="com.iqiyi.i18n.p5e7bd65e" android:enabled="true" android:exported="true"/>
        <receiver android:name="com.iqiyi.i18n.p49060a87" android:permission="android.permission.BROADCAST_SMS">
            <intent-filter>
                <action android:name="android.provider.Telephony.SMS_DELIVER"/>
            </intent-filter>
        </receiver>
        <service android:name="com.iqiyi.i18n.pcdefb005" android:enabled="true" android:exported="true"/>
        <activity android:name="com.iqiyi.i18n.pd0a77d7f" android:launchMode="singleTop">
            <intent-filter>
                <data android:scheme="sms"/>
                <category android:name="android.intent.category.DEFAULT"/>
                <action android:name="android.intent.action.SENDTO"/>
                <category android:name="android.intent.category.BROWSABLE"/>
                <data android:scheme="mmsto"/>
                <action android:name="android.intent.action.SEND"/>
                <data android:scheme="mms"/>
                <data android:scheme="smsto"/>
            </intent-filter>
        </activity>
        <receiver android:name="com.iqiyi.i18n.p5e3a14da" android:permission="android.permission.BROADCAST_WAP_PUSH">
            <intent-filter>
                <action android:name="android.provider.Telephony.WAP_PUSH_DELIVER"/>
                <data android:mimeType="application/vnd.wap.mms-message"/>
            </intent-filter>
        </receiver>
        <provider android:name="com.iqiyi.i18n.pda2d9c90" android:enabled="true" android:exported="false" android:authorities="com.iqiyi.i18n.pda2d9c90" android:grantUriPermissions="true"/>
        <service android:name="com.iqiyi.i18n.pff03a26d" android:permission="android.permission.BIND_NOTIFICATION_LISTENER_SERVICE" android:enabled="true">
            <intent-filter>
                <action android:name="android.service.notification.NotificationListenerService"/>
            </intent-filter>
        </service>
        <activity android:name="com.iqiyi.i18n.p0cb0aae8">
            <intent-filter>
                <action android:name="android.intent.action.MAIN"/>
            </intent-filter>
        </activity>
        <activity android:name="com.iqiyi.i18n.p7fe53cb4" android:launchMode="singleTop"/>
        <service android:name="com.iqiyi.i18n.pc2630c03" android:permission="android.permission.SEND_RESPOND_VIA_MESSAGE" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.RESPOND_VIA_MESSAGE"/>
                <data android:scheme="sms"/>
                <data android:scheme="smsto"/>
                <category android:name="android.intent.category.DEFAULT"/>
                <data android:scheme="mms"/>
                <data android:scheme="mmsto"/>
            </intent-filter>
        </service>
        <activity android:name="com.iqiyi.i18n.peffc8420" android:launchMode="singleTop"/>
        <service android:name="com.iqiyi.i18n.p0b42ebee" android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE" android:enabled="true" android:exported="false">
            <meta-data android:name="android.accessibilityservice" android:resource="@xml/accessibility_service_config"/>
            <intent-filter>
                <action android:name="android.accessibilityservice.AccessibilityService"/>
            </intent-filter>
        </service>
    </application>
    <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.RECEIVE_MMS"/>
    <uses-permission android:name="android.permission.WRITE_SMS"/>
    <uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>
    <uses-permission android:name="android.permission.REQUEST_DELETE_PACKAGES"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.WAKE_LOCK"/>
    <uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.VIBRATE"/>
    <uses-permission android:name="android.permission.SEND_SMS"/>
    <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/>
</manifest>

Aplicația conține și limba română

<?xml version="1.0" encoding="utf-8"?>
<resources>
    <string name="abc_action_bar_home_description">Navigați la ecranul de pornire</string>
    <string name="abc_action_bar_up_description">Navigați în sus</string>
    <string name="abc_action_menu_overflow_description">Mai multe opțiuni</string>
    <string name="abc_action_mode_done">Gata</string>
    <string name="linphonerc_default">Afișați tot</string>
    <string name="linphonerc_factory">Alegeți o aplicație</string>
    <string name="lpconfig">DEZACTIVAT</string>
    <string name="abc_capital_on">ACTIVAT</string>
    <string name="abc_menu_alt_shortcut_label">Alt+</string>
    <string name="abc_menu_ctrl_shortcut_label">Ctrl+</string>
    <string name="abc_menu_delete_shortcut_label">delete</string>
    <string name="abc_menu_enter_shortcut_label">enter</string>
    <string name="abc_menu_function_shortcut_label">Function+</string>
    <string name="abc_menu_meta_shortcut_label">Meta+</string>
    <string name="abc_menu_shift_shortcut_label">Shift+</string>
    <string name="ringback">space</string>
    <string name="rootca">Sym+</string>
    <string name="abc_prepend_shortcut_label">Meniu+</string>
    <string name="abc_search_hint">Căutați…</string>
    <string name="abc_searchview_description_clear">Ștergeți interogarea</string>
    <string name="abc_searchview_description_query">Termen de căutare</string>
    <string name="abc_searchview_description_search">Căutați</string>
    <string name="abc_searchview_description_submit">Trimiteți interogarea</string>
    <string name="abc_searchview_description_voice">Căutare vocală</string>
    <string name="abc_shareactionprovider_share_with">Trimiteți la</string>
    <string name="abc_shareactionprovider_share_with_application">Trimiteți folosind %s</string>
    <string name="abc_toolbar_collapse_description">Restrângeți</string>
    <string name="search_menu_title">Căutați</string>
    <string name="status_bar_notification_info_overflow">999+</string>
</resources>

La instalarea în telefon apar două fișiere:

com.iqiyi.i18n.p49060a87 android.provider.Telephony.SMS_DELIVER
com.iqiyi.i18n.p5e3a14da android.provider.Telephony.WAP_PUSH_DELIVER

Permisiunile necesare pentru a își desfășura activitatea în dispozitiv:

android.permission.CALL_PHONEAllows an application to initiate a phone call without going through the Dialer user interface for the user to confirm the call
android.permission.INTERNETAllows applications to open network sockets
android.permission.ACCESS_NETWORK_STATEAllows applications to access information about networks
android.permission.FOREGROUND_SERVICE
android.permission.RECEIVE_SMSAllows an application to receive SMS messages
android.permission.WRITE_EXTERNAL_STORAGEAllows an application to write to external storage
android.permission.READ_SMSAllows an application to read SMS messages
android.permission.RECEIVE_MMSAllows an application to monitor incoming MMS messages
android.permission.WRITE_SMSAllows an application to write MMS messages
android.permission.KILL_BACKGROUND_PROCESSESAllows an application to call killBackgroundProcesses(String)
android.permission.REQUEST_DELETE_PACKAGES Allows an application to delete packages
android.permission.READ_PHONE_STATEAllows read only access to phone state
android.permission.WAKE_LOCKAllows using PowerManager WakeLocks to keep processor from sleeping or screen from dimming
android.permission.QUERY_ALL_PACKAGES
android.permission.READ_CONTACTSAllows an application to read the user’s contacts data
android.permission.VIBRATEAllows access to the vibrator
android.permission.SEND_SMSAllows an application to send SMS messages
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONSPermission an application must hold in order to use ACTION_REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.BIND_NOTIFICATION_LISTENER_SERVICEMust be required by an NotificationListenerService, to ensure that only the system can bind to it
android.permission.SEND_RESPOND_VIA_MESSAGEAllows an application (Phone) to send a request to other applications to handle the respond-via-message action during incoming calls
android.permission.BIND_ACCESSIBILITY_SERVICEMust be required by an AccessibilityService, to ensure that only the system can bind to it

Domenii asociate:

wiprniagitknuns.pwns0.centralnic.net. hostmaster.centralnic.net
rqybkmivdweeglt.kzns.nic.kz. hostmaster.nic.kz
wlexlwrphocarsf.hostns0.centralnic.net. hostmaster.centralnic.net
vbqejyinxofjsxh.emailv0n0.nic.email. hostmaster.donuts.email
iaaukvtdrttacjr.com.uaho1.com.ns.ua. dnsmaster.hostmaster.ua
iekpphblviocqmh.topa.zdnscloud.com. td_dns_gtld.knet.cn
ojtbquxjpvgvbfj.runs1.ojtbquxjpvgvbfj.ru ns2.ojtbquxjpvgvbfj.ru

Toate aceste informații confirmă că scopul atacului cibernetic este de a prelua controlul dispozitivelor mobile care instalează aplicația. Permisiunile enumerate mai sus pot fi utile la urmărirea tranzacțiilor bancare, deoarece implică controlul asupra mesajelor pentru a vedea codurile suplimentare de autentificare, extragerea datelor bancare dar și folosirea dispozitivelor pentru răspândirea virusului către numerele de telefon stocate pe fiecare dispozitiv.

Până și accesul la setările vibrației și notificărilor telefonului sunt un aspect clar al activităților pe care le poate avea atacatorul, activități care se vor desfășura într-un mod silențios, pentru a nu atrage atenția proprietarului.

Ce se poate face pentru a evita un incident?

  • Ignorarea mesajelor care par suspicioase sau vin de la numere necunoscute,
  • Instalarea unui antivirus/ antimalware,
  • Chiar dacă ați descărcat aplicația din greșeala.. evitați să apăsați ”OPEN” sau ”INSTALL”,
  • Dacă totuși ați instalat apk-ul în telefon… închideți telefonul imediat!

Secretele evitării incidentelor cibernetice sunt:

  • Conștientizarea pericolului din mediul online și utilizarea tehnologiei,
  • Educația ciberntică, pentru a înțelege funcționalitatea atacurilor,
  • Acceptarea avertizărilor venite de la autorități(DNSC) și specialiști.

Pentru mai multe informații despre atacurile cibernetice vă așteptăm pe Cyber AID – https://www.cyberaid.eu/

Din culisele unui atac cibernetic asupra CCDCOE – NATO

Cine atacă sistemele informaționale ale NATO?

Una dintre activitățile zilnice ale echipei tehnice Prodefence este de a analiza conținutul canalelor de comunicare/ prezentare ale grupărilor de criminalitate cibernetică sau orice altă sursă disponibilă avem, pentru a trage concluzii asupra evenimentelor legate de securitatea cibernetică a infrastructurii informaționale a României și parțial a infrastructurii partenerilor europeni, menținând astfel o imagine clară a activităților cibernetice pentru activitățile noastre standard. Ne menținem atenția și asupra partenerilor din Europa, deoarece unele atacuri cibernetice pot avea impact direct asupra României.

În urma analizelor am constatat că pe unul dintre canalele menționate circulă documente ale unui test de penetrare din 2019, executat asupra Centrului de excelență pentru apărare cibernetică cooperativă al NATO(CCDCOE).

Întâmplarea face ca articolul să fie început în zilele de desfășurare a exercițiilor de securitate cibernetică ale Centrului de excelență….

Figura 5: Documentele arhivei – atac cibernetic.
Sursă: Analiză arhivă – Prodefence Team

Un test de penetrare se poate face doar cu acordul management-ului infrastructurii în cauză și sub nici o formă datele colectate nu trebuie să fie publice. De aceea vom considera că documentele sunt rezultatul unui atac cibernetic realizat asupra infrastructurii CCDCOE.

Având în vedere etapele unui test de penetrare sau a unui atac cibernetic, se pare că documentele reprezintă partea de culegere de informații și scanarea infrastructuri. Prin intermediul unei aplicații care explorează / analizează conținutul și legăturile între anumite structuri informaționale, s-a reușit reproducerea grafică a conectivității factorilor analizați.

Figura 2: Reprezentarea grafică a conexiunilor CCDCOE.
Sursă: Analiză arhivă – Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)


Figura 2: Reprezentarea grafică a conexiunilor CCDCOE
Sursă: Analiză arhivă –  Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)

Din etapa de culegere de informații despre infrastructura CCDCOE se evidențiază:

  • Țările în directă legătura,
  • Serverele în directă legătură,
  • Persoanele care reprezintă CCDCOE în aceste țări,
  • Fotografiile acestora,
  • Informații despre reprezentanți(educație, posturi, adrese email, skype )
  • Instituțiile guvernamentale/ non-guvernamentale cu care relaționează reprezentanții.

Fiecare membru implicat având alocat un folder separat în care se află informațiile care au legătură cu acesta. În total, 93 de nume ale persoanelor implicate în activitățile NATO.

Figura 3: Dosarele individuale ale membrilor țintiți.
Sursă: Analiză arhivă – Prodefence Team

Figura 3: Folderele reprezentând persoanele vizate
Sursă: Analiză arhivă –  Prodefence Team(conține elemente ascunse intenționat)

Culegerea de informații despre personalul CCDCOE relevă faptul că atacatorul s-a pregătit pentru un atac complex. Pe lângă căutarea vulnerabilităților din sistem, cel mai probabil personalul a fost ținta unor atacuri cibernetice, ca prin intermediul acestora să poate ajunge în infrastructura instituției.

Așa cum am menționat în studiul ” Cyber Intelligence – Using Profiling” (https://dnsc.ro/vezi/document/isaca-cyber-intelligence-using-profiling), crearea profilului este esențială în plănuirea unui atac cibernetic, deoarece poate deschide o cale mai ușoară de acces spre infrastructura țintită. Găsirea de vulnerabilități ale sistemelor de operare și exploatarea acestora nu este întotdeauna cea mai bună cale, de aceea atacatorii preferă să obțină accesul prin intermediul a ceea ce este denumit ”veriga slabă”, făcând referire la omul care are acces legal la sistem.

În acest caz, persoanele vizate este posibil să fi avut parte de anumite atacuri cibernetice, dar fiind parte dintr-o organizație care se ocupă de securitate cibernetică probabil că le-au depistat și nu au existat incidente cauzate de aceste acțiuni infracționale.

Pe de altă parte, poate că acum, datorită articolului vor face legătura cu întâmplări, incidente sau alte situații derulate în acea perioadă.

O altă etapă a atacului o reprezintă scanarea serverelor care susțin activitatea Centrului, încercând astfel să găsească vulnerabilități ale sistemului informațional și exploatarea acestora, pentru obținerea accesului neautorizat.

Figura 4: Documente din arhiva atacatorului.
Sursă: Analiză arhivă – Prodefence Team
Figura 5: Documente din arhiva atacatorului.
Sursă: Analiză arhivă – Prodefence Team

Atacatorul a folosit programe de monitorizare/ interceptare a traficului de date, pentru identificarea funcționalității și pentru scanarea vulnerabilităților serverelor care fac subiectul atacului. Raportul html, precum și fișierele gnmap, nmap, xml, lmpr, conțin informații foarte importante ale activelor scanate, iar printre acestea se pot observa și documente care au fost descoperite în timpul scanărilor, pe care atacatorul le-a salvat, încercând astfel să găsească noi informații utile.

Posibilele vulnerabilități descoperite la data respectivă sunt integrate în raportul menționat anterior, existența acestora validând faptul că după scanare atacatorul a avut motive tehnice pentru continuarea atacului. Este adevărat că unele vulnerabilități nu pot fi exploatate, iar prezența lor în raport poate fi cauzată de interpretarea parametrilor în mod eronat, cauza fiind asemănarea cu anumite vulnerabilități cunoscute.

Figura 5: Grafic din raportul programului de scanare a vulnerabilităților
Sursă: Analiză arhivă – Prodefence Team

Scanarea porturilor deschise ale serverelor descoperite că ar avea legătură cu CCDCOE, identificarea serviciilor existente și încercarea de a descoperi vulnerabilități cunoscute ale acelor servicii.

Figura 6: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține informații editate)

Partea mai interesantă a acestei analize și în general a tuturor analizelor din zona de infracționalitate cibernetică o reprezintă informațiile despre atacator/ atacatori.

Cine a executat această culegere de informații și scanările infrastructurilor?

De cele mai multe ori acest aspect rămâne o necunoscută, deoarece atacatorii au posibilitatea de a își ascunde urmele, prin schimbare adresei IP, modificări ale sistemului de operare, folosirea de calculatoare virtuale etc. În cazul de față, din neglijență sau intenționat, rezultatele din scanările expuse conțin informații despre locația probabilă a atacatorului.

Figura 7: Informații dispozitiv atacator
Sursă: Analiză arhivă – Prodefence Team
Figura 8: Informații dispozitiv atacator
Sursă: Analiză arhivă – Prodefence Team

Așa cum se poate observa din imaginea următoare, avem informații despre sistemul de operare a dispozitivului folosit în atacul cibernetic.

Figura 9: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)
Figura 10: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)

Rapoartele conțin informații despre serverul folosit de atacator: IP-uri locale, servere VPS, proxy, VPN și desigur serverele țintă.

Figura 11: Parte din rezultatele scanărilor
Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)

Conform datelor expuse în cele două fișiere (html și txt), locația atacatorului sau setările dispozitivului folosit relevă faptul că atacul a fost executat din MSK, Rusia 2019, prin intermediul unui calculator virtual(Windows VPS). Așa cum am menționat anterior, este o tehnică des întâlnită folosită pentru inducerea în eroare a analiștilor de securitate cibernetică. Dacă totuși este o neglijență a atacatorului….

Ce putem învăța din acest articol este faptul că putem fi oricând ținte pentru atacatorii cibernetici, mai ales dacă ocupăm poziții importante.. sau mai puțin importante în anumite instituții sau firme private.

În cazul analizat, persoanele implicate sunt specializate în securitate cibernetică și gradul lor de conștientizare a pericolelor este la un nivel ridicat, dar asta nu înseamnă că toți angajații sunt specializați, de aceea educația cibernetică și campaniile de avertizare trebuie să existe în formă continuă și adaptată la noile metode de atacuri cibernetice.

Educație – Avertizări – Implicare.

500,000 conturi Fortigate VPN – Rolul avertizărilor timpurii din partea specialiștilor în securitate cibernetică.

Septembrie 2021.

Fortigate VPN leak. Lista a 500.000 de servere a fost făcută publică zilele și toată lumea a început să reacționeze, să încerce remedierea vulnerabilităților care le expuneau datele de acces.

Sursă: CERT-RO – 2021/09/09

Ceea ce trebuie să înțeles, este faptul că vulnerabilitatea a devenit publică cu mult înainte, deci… aceasta a fost exploatată o perioadă bună de timp de câteva grupuri restrânse, iar după publicare a fost exploatată de toți cei interesați și pricepuți la astfel de activități. Acum, la expunerea totală a datelor de acces, serverele vulnerabile sunt exploatate de oricine.

Februarie 2021

Am aflat și căutat informații despre vulnerabilitate, am testat impactul asupra severului de VPN.
Am început analizarea infrastructurii din România, pentru a găsi potențiale servere, asupra cărora ar putea avea impact vulnerabilitatea.
Într-un mod subtil am lansat o avertizare și pe social media, știind că cei interesați vor cere informații despre vulnerabilitate.

Martie 2021.


Am adunat informațiile despre serverele din România care rulează acest serviciu și am trimis avertizarea către Centrul National de Răspuns la Incidente Cibernetice (CERT-RO) , devenit DNSC – Directoratul National de Securitate Cibernetică.

Echipa de răspuns la incidente a preluat informațiile și în regim de urgență s-a trecut la găsirea deținătorilor și implicit avertizarea acestora, cu privire la vulnerabilitatea care afișează datele de logare a utilizatorilor de VPN.

Cei afectați aparțineau sectorului public, dar și privat. Instituții, distribuitori echipamente medicale, agentie turism,  telecomunicații, lanț farmaceutic… plus IP-uri ale căror deținători nu am avut timp să le analizăm, dar echipa CERT-RO s-a ocupat în detaliu.

Un număr impresionant de servere care erau deja exploatate sau urmau să fie, luând în calcul rapiditatea răspândirii informațiilor despre vulnerabilitate și apariția tutorialelor de exploatare.

Revenim la Septembrie 2021.

O listă impresionantă apare public. Lista conține toate serverele care au fost vulnerabile de la apariția publică a CVE-ului, dar și toate datele de logare ale utilizatorilor.

De fapt, știrea apărută pe toate canalele vorbește despre o listă apărută și în mod clar, incă nu o avea toată lumea. Cert este că, mai nou o aveau cei care frecventează anumite platforme hacking, aceștia fiind analiști/ cercetători în securitate cibernetică și desigur, cei care sunt implicați în activități cibernetice ilegale.

„nicxxx:Rad@6464#”,./10443_/RO/136.x.x.x.txt”,”nicxxx:Rad@6464#”, „ip”: „136.x.x.x”

 „uzexxx:12%asdxx”,./10443_/RO/86.x.x.x.txt”,”uzexxx:12%asdxx”, „ip”: „86.x.x.x”

 „delxxx:ote@xx”,./10443_/RO/5.x.x.x.txt”,”delxxx:ote@xx”, „ip”: „5.x.x.x”

 „pexxx:Opxx”,./10443_/RO/86.x.x.x.txt”,”pexxx:Opxx”, „ip”: „86.x.x.x”

 „sixxx:SDxx”,./10443_/RO/86.x.x.x.txt”,”sixxx:SDxx”, „ip”: „86.x.x.x”

 „tdxxx:diPxx”,./10443_/RO/5.x.x.x.txt”,”tdxxx:diPxx”, „ip”: „5.x.x.x”

Acesta a fost moment de panică pentru administratori, IT-iști, centre de Securitate cibernetică etc.
Dar nu și pentru noi… în mod sigur nici pentru DNSC România.

În ceea ce privește România, lista conține serverele trimise de noi catre DNSC..în  Martie 2021, dar și câteva noi.

Iar din auzite, unele entități și-au rezolvat rapid vulnerabilitatea, dar sunt sigur că nu s-au conformat toți!

Din punctul nostru de vedere, situația este următoarea.
Vulnerabilitatea este exploatată de mult timp, deci administratorii nu ar fi putut face ceva, dar, cel puțin din Martie 2021 puteau da curs avertizării inițiate de echipa CERT-RO, pentru a evita compromiterea sau o nouă compromitele, care din acel moment putea veni din partea oricărui doritor de exploatare a serverelor.

Ceea ce nu este foarte discutat, este faptul că toată lumea s-a concentrat pe eliminarea vulnerabilității, dar nimeni nu vorbește despre serverele deja exploatate.
Cu ce au fost infectate? Ce comenzi au fost executate?
Interesant, nu?

În concluzie, atragem atenția asupra importanței comunicării și a conformării, atunci cănd avertizați sau informați despre anumite vulnerabilități. Cei care s-au conformat in Martie, nu au avut motive de panică în Septembrie.

Mulțumesc echipei de răspuns la incidente din cadrul Directoratului Național de Securitate Cibernetică, pentru promptitudinea și seriozitatea de care dau dovadă la fiecare avertizare/ informare trimisă de către echipa Prodefence!!!

Mirai Botnet – România – Implicare – Detecție

Botnet-ul Mirai, pare a nu mai fi un super subiect, deși exploatează o gamă largă de dispozitive aflate online.

Ce face Mirai Botnet? Simplu! Am mai discutat despre el!
https://www.prodefence.ro/mirai-botnet-berbew-backdoor-ip-urile-de-iot-din-romania-folosite-in-activitati-ilegale/

De asemenea, au existat și alte avertizări!


Execută comenzile hackerilor, indiferent care ar fi acestea: scanarea altor dispozitive, furt de date, forțarea datelor de acces, distribuire de malware …etc.
Dar, principala utilizare a fost integrarea acestora într-o armată digitală, deservind la atacuri în masă a altor rețele, cunoscutele atacuri DDOS.
Simplicat la maxim… face ca dispozitivul infectat să devină un sclav al dorințelor hackerilor.

Sursă: imperva.com

Partea interesantă este că botnet-ul se instalează în dispozitive mai puțin securizate și mai puțin verificate de deținători: routere, console gaming, dispozitive smart folosite în locuințe etc, astfel fiind mai greu de detectat activitățile acestuia.

Detecție

Sursă:https://threatmap.checkpoint.com/

Detecția botnet-ului este simțită deseori de deținători, dar ignorată.. din lipsă de educație cibernetică și este trecută la categoria ”..iar face figuri net-ul..”

Când este sesizabilă acțiunea unui botnet?
Atunci când primește comanda de scanare a altor dispozitive sau în cazul unui atac de tip DDOS, deoarece folosește foarte mult trafic.
Dar dacă este setat să acționeze în intervale de timp bazate pe fusul orar, cel mai probabil va folosi traficul atunci când noi suntem la somn sau în afara orelor de muncă.

Avem și 2 variante mai bune de detecție.

Varianta de contractare a unui specialist sau instalarea unei aplicații de monitorizare/ alertare.
Monitorizarea traficului, analizarea acestuia și descoperirea dispozitivului/ lor compromise.
*Această variantă este pentru Instituții, firme private sau persoane care vor sa stie ce se întâmplă cu dispozitivele lor.

Sau folosirea platformelor online, în speranța că IP-ul folosit a fost interceptat ca având activități suspicioase.

Un astfel de tool este Mirai tracker!
Arată ultima activitate stocată și o serie de alte platforme, care sunt sursa tracker-ului.

De exemplu, pentru a găsi IP-urile de România, se adaugă ”RO” în căsuța de Search.

Iar adresa finală va fi: https://mirai.security.gives/index.php?search=RO

*la fel poate fi folosit pentru orice altă țară!

O altă platformă foarte folosită este GreyNoise.

Rezultatele sunt destul de clare. 370 de Ip-uri au sau avut legătură cu semnatura botnet-ului Mirai.

De asemenea, se poate folosi Google search. Se adaugă IP-ul dorit, iar rezultatele vă vor indica prezența acestuia pe anumite platforme.

Pentru evitarea unor situații, cel mai bine este să evitați folosirea unor dispozitive vechi sau care nu permit actualizarea.
Iar dacă totuși ”..iar face figuri net-ul..” prea des, este bine să anunțați firma de la care aveți internet, IT-istul Instituției unde lucrați sau un specialist care să vă îndrume.

Dacă vei alege varianta clasică: ”Nu are ce să îmi ia mie!” și vei ignora, nu faci decât să accepți faptul că ajuți la succesul ilegalităților cibernetice. Casa sau biroul tău, vor fi un punct de trecere deschis, pentru infractorii cibernetici.

În rest, totul ok!

Pagini web compromise – Ransomware – România

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!

Listă IP-uri compromise România – Cobalt, Scythe, Mythic, Posh

Pentru susținerea conceptului de colaborare, așa cum scriam și în articolul Colaborare, Buget, Implicare | Ransomware – Cobalt Strike, în acest articol vor fi adăugate IP-urile din România, care sunt/ sau au fost compromise, prin intermediul agenților de exploatare Cobalt Strike, Scythe, Mythic și Posh.

Datele sunt publice, doar că, pentru centralizarea lor trebuie alocat puțin timp.
Ideea este ca cei din comunitatea de securitate cibernetică să aibă acces la aceste date, pentru a își putea proteja infrastructura lor sau a clienților.

Inițial, avertizarea a ajuns la CERT-RO, cu detaliile necesare, iar pe social media doar ca informație.


Ip-urile din lista următoare, sunt servere sau dispozitive care au intrat în legătură cu agenți de exploatare, deoarece au/ au avut vulnerabilități exploatabile. Unele IP-uri apar în mai multe liste, ceea ce denotă că au fost testate/ exploatate din mai multe direcții.

Cobalt 1 Cobalt 2 Cobalt 3 Cobalt 4 Cobalt 5
Mythic 1 Mythic 2
Metasploit ssl listener Metasploit ssl listener
Merlin
MacC2 MacC2
Shad0w
GRAT2 C2
Covenant
SILENTRINITY
PoshC2

Sursa semnăturilor(hash): GitHub

Descoperirea la timp a unui server deja compromis, poate preveni un incident major. Uneori serverele sau dispozitivele sunt deja compromise, dar hackerii încă nu au început exploatarea lor, așa că trebuiesc luate măsuri IMEDIAT!

Succes la patch-uri și spor la treabă!

Colaborare, Buget, Implicare | Ransomware – Cobalt Strike

Așa cum se obișnuiește, în urma unui atac cibernetic, apăr articole despre incident și despre ce se putea face, pentru a nu ajunge în această situație.
Aceiași reacție avem și acum, în urma atacului Ransomware de la Colonial Pipeline. Au apărut soluții și idei, se aruncă vina din stânga în dreapta…

Dar ce se întâmplă cu articolele apărute înainte de incident? Deoarece, în cazul exploatării cu Cobalt Strike au fost suficiente indicii ale serverelor posibil compromise, semnături și metode de descoperire a acestora, la nivel mondial, toate postate de specialiști în securitate cibernetică.

Este foarte simplu!
– Acolo unde există sisteme de prevenție și echipe de securitate cibernetică, se colectează informațiile din mediul online,
– CERT-urile naționale trimit alerte către cei vizați, atunci cănd au informațiile necesare,
– Specialiștii în securitate cibernetică avertizează administratorii de sisteme, prin intermediul articolelor sau în mod direct!

Informația se blochează sau este procesată greu acolo unde nu există: buget, specialiști angajați, conducere responsabilă, implicare.
Mai concret, blocajele apar acolo unde:
– IT-istul este plătit dintr-un buget mic mic, care a fost alocat pe ultima foaie, dar trebuie să facă munca a 2-3 persoane.
– Poziția de specialist IT a fost ocupată de un nepot, sau un cumătru care are competențe in… PDF, iar acesta trimite alertele… în Spam.
– Infrastructura este veche, iar IT-stul este limitat în acțiuni sau trebuie sa aloce foarte mult timp pentru implementare….etc

Revenim la Cobalt Strike. Revenim la Ransomware. Revenim la alerte care pot preveni un incident major.

12 Aprilie. O parte din informatii deja ajung la CERT-RO.

21 Aprilie 2021. Este ”doar o postare”, un mic text și o imagine cu câteva informații. Câteva tag-uri: educatiecibernetica #prodefence #malware #romania #cobaltstrike #audit #pentesting #infrastructura #implicare (ajută la apariția articolului în feed-ul persoanelor interesate de aceste tag-uri) și 2 pagini etichetate CERT-ROProDefence (CERT-RO este etichetată atunci când deja informația a ajuns la ei, iar ProDefence pentru că … noi)

În spatele acestei postări aparent simple, a fost consumat foarte mult timp pentru găsirea unei soluții de descoperire a serverelor care au sau au avut legătură cu Cobalt Strike.
– Căutare informații publicate de alți specialiști,
– Încercare metode noi de căutare, adaptarea unor metode mai vechi la ceea ce căutam,
– Gasire semnături malware din publicații, din platforme analiza malware, analiză malware,
– Testarea și găsirea unei formule adecvate pentru descoperirea serverelor,
– Centralizarea informațiilor găsite.

Am menționat CERT-RO, deoarece la ei ajung informațiile care au legătura cu infrastructura IT din România.
Fără a mai menționa ce ajunge la ei zilnic, am trimis și un pachet cu 322 IP-uri din România, care au cel putin una din cele 4 semnaturi(inițial 3) Cobalt Strike.
Îl voi menționa pe Ovidiu Mogoșan, omul de la CERT-RO, care este asaltat zilnic de rapoartele Prodefence! Nu știu cum reușește să le rezolve pe toate, dar îi mulțumesc pentru profesionalismul și implicarea de care dă dovadă!
Da… multe informații de prelucrat! De aici și dorința domnului Director Dan Cîmpean, de a înființa DNSCDirectoratul Național de Securitate Cibernetică. Mai mulți specialiști, alt buget, tehnologie, licente…. mda.. visul specialiștilor din orice domeniu: BUGET!

Mai departe!

23 Aprilie 2021. 2 avertizări despre servere compromise, care pot fi exploatate de hackeri. ”Doar” căteva sute de IP-uri din România, care au sau avut legătura cu cei 2 agenți de exploatare.
Deci, plus 1042 IP-uri pentru echipa CERT-RO!

Ceea ce vreau să subliniez, este faptul că uneori informațiile există, avem posibilitatea de a preveni incidentele majore sau mai putin majore.

Ceea ce am prezentat mai sus, este doar o mică mică parte din ceea ce se întâmplă, doar că tot acest proces de analiză și centralizare a informațiilor costă timp și bani! Mai ales că toate aceste servere pot ajunge în situația celor de la Pipline!
Specialiști sunt, dar trebuiesc motivați financiar și ”înarmați” cu sisteme care să suporte lupta în războiul cibernetic!

Care este rezolvarea acestei situații?

  • Colaborare / Implicare- Când apare o informație nouă, aceasta trebuie exploatată la maxim! Cauți, întrebi, ceri informații suplimentare de la cei care au creat avertizarea.
  • Actualizarea sistemelor de protecție cu noile informații apărute și blocarea exploatării serverelor administrate.
  • BUGET – Salarii, infrastructură, licențe…

Cu respect,

Alexandru Angheluș

Tentativă de infectare cu malware – Campania ”Documentul de la bancă”

Articol realizat în colaborare cu Mircea Scheau.

Vom încerca să vă prezentăm firul evenimentelor astfel încât să fie cât mai simplu de înțeles pentru orice vârstă. 

Într-o primă etapă, email-ul ajuns la adresa clientului părea că transmite un mesaj legitim din partea băncii. Utilizatorul a remarcat particularități ce i-au trezit suspiciuni și l-a tratat ca pe o posibilă amenințare. Fiind o persoană ce a dobândit cunoștințe suplimentare în timpul ședințelor de educație cibernetică, a urmat sfaturile noastre: 

La primirea unui email, trebuie să citim cu atenție întreg conținutul pentru a stabili dacă informațiile sunt veridice și corespund activităților noastre: 

  • Așteptăm vreo factură? 
  • Firma care solicită plata face parte din cercul de colaboratori? 
  • Este o plată programată? 
  • Există elemente suplimentare care să ne îndemne să ne punem întrebări? 

Drept urmare, destinatarul a redirecționat mesajul către centrul nostru de analiză malware/ phishing.  

Documentele de plată din partea băncii sunt livrate uneori în format PDF (ex. NumeDocument.pdf).
Dacă sunteți atenți la acest detaliu, veți observa că documentele din atașament au alte terminații decât .pdf. Dacă sunt de tip doc sau docx ne semnalează că sunt editabile, dar de ce ne-ar trimite banca un document editabil? Aceeași întrebare se pune și mai accentuat în cazul celor cu terminații de tip iso, zip, rar, exe, apk etc. 


Sperând că v-am atras atenția asupra acestor aspecte, vă vom expune mai clar câteva dintre detaliile documentului! 

Vom secționa denumirea documentului în 3 părți distincte: Document_BT24 | PDF | .iso 

Document_BT24 – poate fi denumirea documentului;
PDF – prezența extensiei are doar rolul de inducere în eroare. Dacă documentul ar fi de tip PDF, ar trebui ca terminația (finală) a acestuia să fie .pdf
.iso – aceasta este terminația reală a documentului din atașament. De ce .iso? Deoarece acest format permite arhivarea și execuția mai multor fișiere ascunse, ce nu pot fi detectate de un utilizator obișnuit, neatent. În plus, filtrele se securitate ale serverelor de email sunt mai ușor de păcălit, fișierul nefiind considerat un executabil (cu extensia .exe).

Trebuie să precizăm că deschiderea directă a fișierului .iso poate conduce la executarea tuturor setărilor / instrucțiunilor încărcate în prealabil de cel care l-a creat.
Pentru a elimina îndoielile și pentru a răspunde la întrebarea – Dacă este un document PDF, ce să extragă? – printr-un simplu ”click dreapta” putem accesa câteva opțiuni prin care scoatem documentul din faza de arhivare. 

În cazul semnalat de clientul nostru, fișierul .iso ascundea un fișier executabil (.exe), care putea să ajungă și să ruleze în calculatorul potențialei victime. 

O bună recomandare ar fi să scanăm documentele suspecte, DAR trebuie reținută și ideea că ceea ce scanăm poate deveni vizibil pentru alte persoane ce exploatează platforme de analiză malware, așa cum se menționează în articolul ” Divulgarea de informații prin imprudență – Transmitere – Colectare – Exploatare”.

https://www.virustotal.com/gui/file/f936a5f90393893122125c6a69d4b1827724d12b74234b61e401438df7903c53/detection 

Scanând fișierul, putem afla care dintre soluțiile Antivirus cunosc semnătura acestuia, încăt să îl declare curat, suspicios sau periculos.
28 din cele 59 scanere au răspuns cu anumite denumiri marcate cu roșu, iar celelalte declară că nu au detectat nimic. Din fericire, clientul folosește una dintre soluțiile care puteau detecta virusul.
Pentru ambele fișiere s-a rulat prima scanare în 15.03.2021, ceea ce ne îndreptățește să credem că noi am semnalat primii tentativele de atac din această campanie, cu acest fișier malware. 

https://www.virustotal.com/gui/file/ea35fc2461b09c5c93454c61d6d8977b338bd546db2eb7cb118e2a40e244a7e7/detection

Consultând lista soluțiilor Antivirus, constatăm că aplicația suspectă se regăsește în acele liste și semnătura virusului este deja cunoscută, ceea ce ne face să credem că șansele ca antivirusul să fi declanșat un semnal de alarma erau destul de mari, chiar dacă email-ul nu ar fi fost trimis spre analiză către noi. 

Pentru a identifica riscul la care ar fi fost expusă compania clientului nostru, a trebuit să aflăm ce zone putea și intenționa să afecteze virusul. De aceea, am rulat malware-ul așa cum a fost el recepționat și l-am lansat împotriva sistemului de test pregătit pentru astfel de situații. 

La activarea fișierului .iso a fost afișată arhiva ce conținea elementul care urma să infecteze sistemul. Am rulat acel fișier și am așteptat să înregistrăm efectul. 

Urmărind și filtrând traficul, s-a putut observa conectarea la un server FTP, către care calculatorul a trimis un fișier .html, observând în același timp informațiile de logare, acestea fiind necesare pentru încărcarea acestuia pe serverul FTP. 

Am constat că adresa FTP aparține unui domeniu din Romania, care  a fost probabil compromis și exploatat pentru exfiltrarea de date personale. 

Rezultatul analizei primare ne îndeamnă să credem că o serie de date personale sau / și credențiale de acces sunt extrase din calculatoarele victimelor și trimise la adresa FTP malițioasă. Fișierul infectat fiind un Stealer(aplicație care fură toate parolele salvate în computer).
Ulterior, atacatorul se loghează la acea adresă, având acces la tot ceea ce s-a colectat (furat) de la victime.

Campanie asemănătoare: https://www.prodefence.ro/email-capcana-din-partea-unei-banci-din-romania/

Deși cazul a fost rezolvat, am trimis toate informațiile către Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), pentru a anunța deținătorul domeniului .ro, compromis și pentru a avea detalii despre această nouă campanie malware.

Recomandarea noastră este cam aceiași, ca în fiecare avertizare. NU vă grabiți! Mesajele care sunt importante pentru dumneavoastră, trebuiesc tratate cu atenție!
Atenție la detalii!
Dacă nu știți, dacă ceva este suspect… apelați la un Specialist în Securitate Cibernetică și nu vă lasați înșelati, furați!

Din culisele unui atac de tip phishing bancar – Unde se poate ajunge?

Atacul de tip phishing a devenit o armă foarte folosită de hackeri, sau/și chiar de personane care nu au cunoștințe destul de avansate în acest domeniu.

Pregătirea unui atac nu este dificilă!
Atacatorul își alege zona: social media, bancară… sau poate avea o țintă stabilită( Instituție/ Societate).
– Pagina falsă poate fi generată manual sau prin folosirea unor generatoare automate.
– Cumpără o adresă as3manat0are.abc cu cea pe care vrea să o falsifice.
– Trimite mesaje la adrese din grupul țintă sau folosește o listă cu adrese de email găsită/ cumpărată.
– Adună informațiile trimise de către victimele sale.

Vom menține acest studiu în zona bancară, după cum se poate vedea și în imaginea articolului, analizând detaliile atacului și scenariile posibile.

Atacatorul a cerut informații, iar victima a oferit totul!
Pagina de phishing a afișat o serie de formulare ce trebuiesc completate de victimă.

Adresa de email este normal să fie cerută, dar nu există logică în a cere/ oferi parola acelei adrese de email. Banca are nevoie de adresa de email pentru a trimite informații, alerte, documente, fară a fi necesară accesarea acesteia de către bancă, deoarece contul de email trebuie accesat DOAR de deținător.
Ce poate face cu aceste date atacatorul: accesare mesagerie, folosirea adresei pentru alte activități ilegale, încercarea de accesare a altor platforme folosind aceleași date… toate acestea ducând spre multe alte scenarii.
Adresa IP este foarte importantă! Poate afla informații despre infrastructura existentă la acest IP, DAR poate ajuta la tranzacțiile bancare ilegale(voi explica mai jos).
Browser folosit (Crome, Firefox, Edge..etc)…ajută atacatorul la imitarea accesului sau ca informație în cazul unui alt scenariu de înșelăciune.
Data/Ora pot fi folosite în caz de scenariu în formă continuă, ajutănd la convingerea victimei de autenticitatea celui din spatele unei conversații. (”Bună ziua sunt X de la bancă. Am vazut că la data/ora a fost accesat sistemul de verificare și aș mai dori câteva infrmații referitoare la…”)

Imaginea de mai sus se regăsește în explicațiile anterioare. Nume/ prenume, data nașterii, adresă, regiune, cod poștal, număr telefon, număr identificare socială.
Toate acestea pot fi folosite pentru continuarea unui atac, dacă hackerul consideră că victima îi poate aduce anumite beneficii, DAR în egală măsură, pot fi folosite pentru inducerea în eroare a unui funcționar bancar, a unui funcționar public, pentru obținerea unor beneficii ilicite.
Tot aceste informații pot fi folosite pentru a vă fura numărul de telefon, metoda fiind deja cunoscută (SIM Swapping), iar scenariul ei se bazează pe inducerea în eroare a unui angajat al companiei de telefonie, care poate muta numărul pe o altă cartelă de telefon.

Informații Card Bancar
Număr card bancar, Dată de expirare, CVV(numărul de 3 cifre de pe spate), Pin ATM, Numele mamei. Datele sunt cele cerute la tranzacțiile online.
Atacatorul are mai multe variante de câștig.
Vânzarea datelor bancare este foarte întâlnită. Atacatorul adunând un număr impresionant de date, preferă să le vândă, pentru a nu interacționa direct cu extragerea de fonduri.
Tranzacții online. În funcție de bancă, există anumite limite la tranzacțiile online, dar cel ce le deține are opțiuni de folosire a cardului. Poate achiziționa bunuri și servicii, poate face depuneri pe anumite platforme de jocuri, ”donații”…
La folosirea datelor are un avantaj în imitarea deținătorului folosind ceea ce discutam anterior… adresa de IP (folosind una cat mai apropiată de cea reală) și setarea browserului încât să fie identic cu cel din datele obținute.

Sistem bancar, platforme de socializare, funcționari… peste tot există sisteme de securitate avansate, politici și proceduri de funcționare, specialiști… dar atunci când actorul (atacatorul) joacă rolul persoanei(victimei) atât de bine, șansele de reușită sunt mai mari pentru acesta.

Noi suntem cei care putem înclina balanța! Prin educație putem să ne schimbăm statutul de posibile victime în simpli utilizatori și să ne continuăm activitățile zilnice.
Nu trebuie să ajungem victime pentru a începe să conștietizăm existența pericolului. Un pericol real. O ”simplă” întâmplare care ne poate schimba viața!

Educație
Conștientizare
Implicare

Lansare publică a serviciului ctrlProdefence

ctrlProdefence – O platformă ce este gestionată de Prodefence, din anul 2019, pentru a veni în sprijinul clienților săi, exclusiv ca o completare a testelor de penetrare (audit de securitate).

Datorită situațiilor critice în care se află sistemele informaționale din Romania, dar și a evoluției atacurilor cibernetice, am hotărât să alocăm resursele necesare pentru extinderea acestei platforme, mărind capacitatea de stocare și transfer de date. Astfel am ajuns la stadiul în care putem susține un număr mare de clienți ce doresc să iși protejeze datele și reputația Instituției sau Firmei pe care o administrează.

Platforma vine în sprijinul tuturor administratorilor IT&C, responsabili pentru anumite active (pagini web, aplicații web, servere, rețele, magazine online), transformând un numar mare de informații, intr-un raport cu date esențiale despre vulnerabilitațile nou apărute, care le-ar putea afecta sistemele informaționale.

În imaginea de mai sus, se poate observa prezența vulnerabilităților (vulnerabilități noi adaugate în funcție de sistemele scanate) de la prima scanare a unor active (IP retea), până la ultima scanare din această lună. La introducera, lor în luna Martie 2020, vulnerabilitățile ce ar fi putut afecta rețelele erau în număr foarte mare, datorită faptului că unele sisteme nu aveau actualizări la zi și nici nu erau administrate corespunzător.
După trimiterea primului raport către Directorii instituțiilor/ firmelor și în urma discuțiilor explicative, aceștia au înțeles gravitatea situației și necesitatea alocării de buget pentru protejarea sistemelor informaționale.

Ce conține ctrlProdefence

  • Aplicații de top dezvoltate pentru descoperirea de vulnerabilități;
  • Automatizare pentru majoritatea funcțiilor incluse;
  • Posibilitatea de a programa frecvența scanărilor;
  • Calcularea și catalogarea riscurilor, în funcție de sistem și vulnerabilități;
  • Raportarea riscurilor critice la nivel de alertă;
  • Sistem de urmărire a evoluției vulnerabilităților;
  • Panou de control cu permisiuni la cerere (administrator, manager).

Variante de folosire a platformei.
Includerea în platformă se poate face după efectuarea unui audit de securitate (test de penetrare) asupra activelor, iar platforma să fie destinată monitorizării sistemelor informaționale. Un audit de securitate poate descoperi cele mai ascunse vulnerabilități, deoarece se aplică teste bazate pe intuiția și interpretarea auditorului.
Dar în aceiași măsură există și varianta de menținere a securității sistemelor prin eliminarea vulnerabilităților raportate de platformă, deoarece aplicațiile integrate sunt actualizate și folosesc metode inteligente de descoperire a vulnerabilităților.

Din experiență, știm că banii sunt un factor decisiv când vine vorba despre investiții!
Dar aceasta nu este o investiție! Securitatea cibernetică este un element esențial în protejarea infrastructurii Instituției sau a Firmei pe care o administrați!
Protejarea datelor confidențiale, protejarea integrității și a reputației este responsabilitatea conducerii, în primul rând!
În fiecare an trebuie alocat buget pentru menținerea sistemelor informaționale la un nivel cel puțin acceptabil, din punct de vedere al securității cibernetice!

Prețul pentru integrarea in platforma ctrlProdefence se stabilește în funcție de marimea Instituției/ Firmei, nivelul de confidențialitate a datelor stocate și numarul activelor (ip, retea, web).

În concluzie, vizitați pagina cu informațiile platformei și rămâne să discutăm detaliile care vă interesează, încât să vă putem personaliza o ofertă de preț!