Steganography(/ˌstɛɡəˈnɒɡrəfi/ (listen) STEG-ə- NOG-rə-fee) is the practice of concealing a message within another message or a physical object. In computing/electronic contexts, a computer file, message, image, or video is concealed within another file, message, image, or video. The word steganography comes from Greek steganographia, which combines the words steganós (στεγανός), meaning „covered or concealed”, and -graphia (γραφή) meaning „writing – Wikipedia
What you see is a proof of three government institution documents hosted on the official servers. Important aspects: • Three different people • Three different years • The same institution (National Agency…)
If you haven’t noticed anything special in these images it’s normal. During this analysis you’ll notice some details that make the difference and will make you wonder about some things. These questions appear are covered on this analysis.
I can tell you for sure that I do not know what these documents represent or what their ultimate purpose is. 100% of these government documents have been modified by someone, a threat actor or a system.
However, their existence raises questions from a cyber security perspective. For now, I can only imagine a few ways in which the documents have reached this state. • The computer used to edit them is compromised. • The software used is modified to insert those characters into documents. • The server of the Government Institution is compromised and someone has made the necessary changes.
If this seems random or of low severity … think about what I mentioned earlier (server, computer, software) and the implications of each element’s personal and confidential data that may be compromised and exploited by cyber criminals.
A source code – an opportunity to find out the secrets of malware applications • Pegasus – Zero Click Spyware • Pegasus – Remote Administration Tool • Analysis of what the source code represents
Pegasus Spyware Zero Click – One of the most dangerous applications of cyber espionage. If most applications require the victim to click on something, it seems that in the case of Zero Click Spyware it is enough for the target device to receive an SMS. The device is compromised and under the control of the attacker.
The publication of the source code is an opportunity for cybersecurity specialists to discover the secrets of international cyber espionage. We’re going to explore the files we found to see if we’re really that lucky.
Una dintre activitățile zilnice ale echipei tehnice Prodefence este de a analiza conținutul canalelor de comunicare/ prezentare ale grupărilor de criminalitate cibernetică sau orice altă sursă disponibilă avem, pentru a trage concluzii asupra evenimentelor legate de securitatea cibernetică a infrastructurii informaționale a României și parțial a infrastructurii partenerilor europeni, menținând astfel o imagine clară a activităților cibernetice pentru activitățile noastre standard. Ne menținem atenția și asupra partenerilor din Europa, deoarece unele atacuri cibernetice pot avea impact direct asupra României.
În urma analizelor am constatat că pe unul dintre canalele menționate circulă documente ale unui test de penetrare din 2019, executat asupra Centrului de excelență pentru apărare cibernetică cooperativă al NATO(CCDCOE).
Întâmplarea face ca articolul să fie început în zilele de desfășurare a exercițiilor de securitate cibernetică ale Centrului de excelență….
Figura 5: Documentele arhivei – atac cibernetic. Sursă: Analiză arhivă – Prodefence Team
Un test de penetrare se poate face doar cu acordul management-ului infrastructurii în cauză și sub nici o formă datele colectate nu trebuie să fie publice. De aceea vom considera că documentele sunt rezultatul unui atac cibernetic realizat asupra infrastructurii CCDCOE.
Având în vedere etapele unui test de penetrare sau a unui atac cibernetic, se pare că documentele reprezintă partea de culegere de informații și scanarea infrastructuri. Prin intermediul unei aplicații care explorează / analizează conținutul și legăturile între anumite structuri informaționale, s-a reușit reproducerea grafică a conectivității factorilor analizați.
Figura 2: Reprezentarea grafică a conexiunilor CCDCOE. Sursă: Analiză arhivă – Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)
Figura 2: Reprezentarea grafică a conexiunilor CCDCOE Sursă: Analiză arhivă – Prodefence Team (Foto mărime redusă pentru protejarea informațiilor)
Din etapa de culegere de informații despre infrastructura CCDCOE se evidențiază:
Țările în directă legătura,
Serverele în directă legătură,
Persoanele care reprezintă CCDCOE în aceste țări,
Fotografiile acestora,
Informații despre reprezentanți(educație, posturi, adrese email, skype )
Instituțiile guvernamentale/ non-guvernamentale cu care relaționează reprezentanții.
Fiecare membru implicat având alocat un folder separat în care se află informațiile care au legătură cu acesta. În total, 93 de nume ale persoanelor implicate în activitățile NATO.
Figura 3: Dosarele individuale ale membrilor țintiți. Sursă: Analiză arhivă – Prodefence Team
Figura 3: Folderele reprezentând persoanele vizate Sursă: Analiză arhivă – Prodefence Team(conține elemente ascunse intenționat)
Culegerea de informații despre personalul CCDCOE relevă faptul că atacatorul s-a pregătit pentru un atac complex. Pe lângă căutarea vulnerabilităților din sistem, cel mai probabil personalul a fost ținta unor atacuri cibernetice, ca prin intermediul acestora să poate ajunge în infrastructura instituției.
Așa cum am menționat în studiul ” Cyber Intelligence – Using Profiling” (https://dnsc.ro/vezi/document/isaca-cyber-intelligence-using-profiling), crearea profilului este esențială în plănuirea unui atac cibernetic, deoarece poate deschide o cale mai ușoară de acces spre infrastructura țintită. Găsirea de vulnerabilități ale sistemelor de operare și exploatarea acestora nu este întotdeauna cea mai bună cale, de aceea atacatorii preferă să obțină accesul prin intermediul a ceea ce este denumit ”veriga slabă”, făcând referire la omul care are acces legal la sistem.
În acest caz, persoanele vizate este posibil să fi avut parte de anumite atacuri cibernetice, dar fiind parte dintr-o organizație care se ocupă de securitate cibernetică probabil că le-au depistat și nu au existat incidente cauzate de aceste acțiuni infracționale.
Pe de altă parte, poate că acum, datorită articolului vor face legătura cu întâmplări, incidente sau alte situații derulate în acea perioadă.
O altă etapă a atacului o reprezintă scanarea serverelor care susțin activitatea Centrului, încercând astfel să găsească vulnerabilități ale sistemului informațional și exploatarea acestora, pentru obținerea accesului neautorizat.
Figura 4: Documente din arhiva atacatorului. Sursă: Analiză arhivă – Prodefence Team Figura 5: Documente din arhiva atacatorului. Sursă: Analiză arhivă – Prodefence Team
Atacatorul a folosit programe de monitorizare/ interceptare a traficului de date, pentru identificarea funcționalității și pentru scanarea vulnerabilităților serverelor care fac subiectul atacului. Raportul html, precum și fișierele gnmap, nmap, xml, lmpr, conțin informații foarte importante ale activelor scanate, iar printre acestea se pot observa și documente care au fost descoperite în timpul scanărilor, pe care atacatorul le-a salvat, încercând astfel să găsească noi informații utile.
Posibilele vulnerabilități descoperite la data respectivă sunt integrate în raportul menționat anterior, existența acestora validând faptul că după scanare atacatorul a avut motive tehnice pentru continuarea atacului. Este adevărat că unele vulnerabilități nu pot fi exploatate, iar prezența lor în raport poate fi cauzată de interpretarea parametrilor în mod eronat, cauza fiind asemănarea cu anumite vulnerabilități cunoscute.
Figura 5: Grafic din raportul programului de scanare a vulnerabilităților Sursă: Analiză arhivă – Prodefence Team
Scanarea porturilor deschise ale serverelor descoperite că ar avea legătură cu CCDCOE, identificarea serviciilor existente și încercarea de a descoperi vulnerabilități cunoscute ale acelor servicii.
Figura 6: Parte din rezultatele scanărilor Sursă: Analiză arhivă – Prodefence Team(conține informații editate)
Partea mai interesantă a acestei analize și în general a tuturor analizelor din zona de infracționalitate cibernetică o reprezintă informațiile despre atacator/ atacatori.
Cine a executat această culegere de informații și scanările infrastructurilor?
De cele mai multe ori acest aspect rămâne o necunoscută, deoarece atacatorii au posibilitatea de a își ascunde urmele, prin schimbare adresei IP, modificări ale sistemului de operare, folosirea de calculatoare virtuale etc. În cazul de față, din neglijență sau intenționat, rezultatele din scanările expuse conțin informații despre locația probabilă a atacatorului.
Figura 7: Informații dispozitiv atacator Sursă: Analiză arhivă – Prodefence Team Figura 8: Informații dispozitiv atacator Sursă: Analiză arhivă – Prodefence Team
Așa cum se poate observa din imaginea următoare, avem informații despre sistemul de operare a dispozitivului folosit în atacul cibernetic.
Figura 9: Parte din rezultatele scanărilor Sursă: Analiză arhivă – Prodefence Team(conține elemente editate) Figura 10: Parte din rezultatele scanărilor Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)
Rapoartele conțin informații despre serverul folosit de atacator: IP-uri locale, servere VPS, proxy, VPN și desigur serverele țintă.
Figura 11: Parte din rezultatele scanărilor Sursă: Analiză arhivă – Prodefence Team(conține elemente editate)
Conform datelor expuse în cele două fișiere (html și txt), locația atacatorului sau setările dispozitivului folosit relevă faptul că atacul a fost executat din MSK, Rusia 2019, prin intermediul unui calculator virtual(Windows VPS). Așa cum am menționat anterior, este o tehnică des întâlnită folosită pentru inducerea în eroare a analiștilor de securitate cibernetică. Dacă totuși este o neglijență a atacatorului….
Ce putem învăța din acest articol este faptul că putem fi oricând ținte pentru atacatorii cibernetici, mai ales dacă ocupăm poziții importante.. sau mai puțin importante în anumite instituții sau firme private.
În cazul analizat, persoanele implicate sunt specializate în securitate cibernetică și gradul lor de conștientizare a pericolelor este la un nivel ridicat, dar asta nu înseamnă că toți angajații sunt specializați, de aceea educația cibernetică și campaniile de avertizare trebuie să existe în formă continuă și adaptată la noile metode de atacuri cibernetice.
https://www.prodefence.ro/wp-content/uploads/2022/04/CCDCOE-cyber-attack.png331636Alexandru Anghelushttps://www.prodefence.ro/wp-content/uploads/2021/05/Logo-259x300.pngAlexandru Anghelus2022-04-22 17:45:182022-04-22 17:56:38Din culisele unui atac cibernetic asupra CCDCOE – NATO
Codul sursă al virusului bancar Cerberus, versiunea 2, a fost facută publică. Nu cunosc amănuntele apariției în spațiul public, dar conținutul este destul de interesant. În principiu fotografia atașată este destul de explicită, deci nu are rost să mai detaliez conținutul.
Subiectul de astăzi este folderul ”injects”, deoarece conține țintele principale ale aplicației. Acestea ar fi cam toate platformele social media, bănci, platforme pentru cripto monezi, aplicații de comunicare, platforme de transferat bani, email etc
Am scos în evidență ceea ce are legătură cu Romania. Mai pe înțelesul tuturor, clienții bancilor sau platformelor în cauză, sunt vizați prin campaniile de răspândire a virusului. Fișierele .html sunt create încât să imite varianta oficială de logare în contul bancar.
După cum se poate observa, paginile de logare sunt făcute pentru aplicatiile mobile ale bancilor. În mod clar, în momentul infectării dispozitivului mobil, acest virus bancar înlocuiește varianta originală cu această variantă falsă, ce ulterior va fura datele introduse.
Nu putem spune că este o surpriză, dar când vezi lucrurile și din alt unghi, parcă se conturează ideea generală legată de malware, banci, hacking. ..și oarecum devenim mai respnsabili, mai atenți și poate mai interesați de siguranța noastră online(SPER…)!
Acum, ca și recomandari… – Specialiștii bancilor(și nu numai) ar trebui să analizeze în amanunt genul acesta de fișiere, pentru a cunoaște tehnicile hackerilor și astfel să iși poata crea o strategie de contracarare a atacurilor ce le vizează clienții. – Bancile trebuie să desfășoare campanii de informare a clienților pentru a preveni infectarea lor. – Nu cunosc dacă deja există acest sistem, dar sunt necesare metode de monitorizare comportamentală a tranzacțiilor, încât orice deviere de la standard să declanșeze o notificare/alertă, pentru a întârzia/anula tranzacția în cauză.
* Clienții – SĂ NU MAI APESE PE ORICE LINK! – SĂ NU MAI DESCHIDĂ ORICE DOCUMENT! – SĂ CITEASCĂ DE 2-3 ORI MESAJUL/ TEXTUL… ÎNAINTE DE A APĂSA SAU DE A DA OK!
Și desigur, ceea ce scriem aproape de fiecare data: ATENȚIE LA DETALII!!!
https://www.prodefence.ro/wp-content/uploads/2020/09/banking-malware-romania-cyber-security-1.jpg500500Alexandru Anghelushttps://www.prodefence.ro/wp-content/uploads/2021/05/Logo-259x300.pngAlexandru Anghelus2020-09-09 13:46:452020-09-09 15:09:40Bănci din Romania pe lista creatorilor de virus bancar – Codul sursă Cerberus v2
„Eu sunt… să zicem H4ker! Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând. Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria. Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!! Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!
Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc. Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor. Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..
Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!
Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!
Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.
După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime. Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor. Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.
La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…
Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor! Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului. Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!? Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele. Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)
Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele??? Asta chiar ar fi de rău!!!
La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo
Alea cu PW le știu.. client mai vechi. Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp). Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!
Foatre tare, nu? Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant… Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!! Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare… Oare… ?? Pffff Ce se aude afară? E cineva la usă? …………”
Articolul este doar o poveste și trebuie tratată corespunzător! Cei ce se pricep la astfel de activități pot renunța lavarianta ”CTRL I” ! :)
https://www.prodefence.ro/wp-content/uploads/2020/05/hacker-securitate-cibernetica-romania.jpg8601500Alexandru Anghelushttps://www.prodefence.ro/wp-content/uploads/2021/05/Logo-259x300.pngAlexandru Anghelus2020-05-08 21:18:502022-04-22 18:11:24„Salut, sunt Hacker si cred ca am calcat gresit!”