首页调查网络安全分析:塞浦路斯网络攻击的研究结果

网络安全分析:塞浦路斯网络攻击的研究结果

网络安全分析:独立安全调查员对塞浦路斯网络攻击的研究结果 在SecNews最近发现了由土耳其黑客RootAyyildiz Turkish Defacer对塞浦路斯的关键国家和私人系统进行的网络攻击之后,独立网络安全分析师PROMETHEUS GROUP发布了一份相关白皮书,对OS方法进行了深入研究(开源情报).

了解有关黑客攻击的更多信息:

1. RootAyyildiz土耳其语破坏者:土耳其黑客攻击塞浦路斯!

2. RootAyyildiz在拉纳卡机场hermesairports.com上进行的网络攻击!

SecNews向您介绍PROMETHEUS GROUP调查的一部分,您可以找到全部内容 这里。 SecNews转播了这项研究,目的是 整个社会的保护以及对塞浦路斯最近发生的侵权事件的调查。 据他们说,PROMETHEUS GROUP由塞浦路斯独立的网络安全研究人员组成。

以下是研究人员的独家发现和陈述。 SecNews广播了研究的一部分,如下所示,但未评论或更改研究内容。 独立研究人员的研究可以成为调查类似案件的技术方法。

网络安全分析:塞浦路斯网络攻击的研究结果
网络安全分析:塞浦路斯网络攻击的研究结果

研究翻译引文 https://github.com/prometheusgroup/YPAM-CyberAttack/blob/main/Cyprus%20Ministry%20of%20Defense%20Cyber%20Attack.pdf

 ——————————————开始报价————————————

在过去的两周中,有报道称国防部网站上发生了一次由知名的土耳其黑客组织发起的网络攻击。 原始新闻文章由SecNews.gr(https://secnews.gr/331587/rootayyildiz-turkish-defacer-hacker-cyprus/),并于24年2021月XNUMX日对攻击进行了详细分析,并附带了被盗数据的照片数据。

29年2021月XNUMX日,Philenews.com除其他外发表了一篇文章(https://www.philenews.com/koinonia/eidiseis/article/1157770/prospatheia-epithesis-apo-chakerstin-istoselida-toy-ypam)指出成功阻止了对该部的攻击,并且该部已采取一切必要措施防止以后采取类似行动。

有人会说,塞浦路斯政客习惯于掩盖由无能,漠不关心,疏忽大意,获利,自我促进和/或自我保护引起的“无声”重大事件(Evangelos Florakis海军基地爆炸案,2013年,银行业理发,COOP和Laiki破产)等),因此,我们决定介绍上述网络攻击的潜在影响。

根据SecNews的文章,攻击者设法危害了国防部的一个网站。 但是哪一个呢? 我们可以通过开放源代码情报披露有关该攻击的哪些信息(即公开信息)? 在DNSdumpster.com上的简单查询可以为我们提供有关该部公共网站的有用信息。

网络安全分析:塞浦路斯PROMETHEUS GROUP网络攻击的结果
网络安全分析:塞浦路斯网络攻击的研究结果

根据上面的图像,我们可以尝试访问mod.gov.cy网站,以检查是否可以找到违规指示器(IoC)或信息,这些信息可能导致该网站已被违规。

PROMETHEUS集团
网络安全分析:塞浦路斯网络攻击的研究结果

上图显示该站点是使用MODX内容管理系统(CMS)创建的。 这表明这是一个受感染的站点,因为在黑客发布的某些图像中,导出的数据库表和站点文件名以modx_(例如modx_dashboard.csv)开头。 如果这是受到感染的站点,那么还有哪些其他政府站点正在使用MODX CMS,并且在不久的将来也已经或可能受到威胁?

Google进行的快速搜索显示,publications.gov.cy和www.pio.gov.cy可能是同一攻击的受害者,因为它们可能受到同一漏洞的影响。

但是,要了解可能与MOD站点共享同一服务器并且可能在攻击过程中已经受到攻击的站点数量,我们只需在DNSsumpster站点上单击“查找共享此IP地址的主机”。 com,如下图所示。

PROMETHEUS集团
网络安全分析:塞浦路斯网络攻击的研究结果

可以在下面找到DNSsumpster.com上列出的78个站点的示例列表。 请记住,黑客并未释放泄露的数据,因此这些数据可能没有被窃取。

下面包括此服务器上站点的完整列表,以通知那些其数据可能已泄露的人并启动调查。

网络安全分析:塞浦路斯PROMETHEUS GROUP网络攻击的结果
网络安全分析:塞浦路斯网络攻击的研究结果

那网站呢 www.mod.gov.cy;

DNSdumpster.com映像表明它正在Lotus Domino Web服务器上运行,但是对站点的访问表明它已禁用/不可用。 应当指出,WayBackMachine网站(archive.org)会在特定时间间隔接收可公开访问的网站的快照。 WayBackMachine自动将我们重定向到mod.gov.cy的快照,这意味着两个域(mod.gov.cy和 www.mod.gov.cy)导致使用相同的IP地址,因此直到最近(即以前是同一网站)都使用了Web服务器。

因此,在撰写此分析时,DNSdumpster.com列表中的最后一个剩余同位素newarmy.mod.gov.cy无法访问。 但是,WayBackMachine显示该站点的最后一个快照是19年2021月XNUMX日拍摄的,具有以下内容。

网络安全分析:塞浦路斯PROMETHEUS GROUP网络攻击的结果
网络安全分析:塞浦路斯网络攻击的研究结果

乍一看,它看起来像是一个非常重要的网站。 但是,鉴于试图在国民警卫队(SNC)注册的申请人的个人数据可能已被盗,个人数据保护专员应对此事件进行进一步调查。 此外,如果专业士兵的个人资料确实遭到破坏,则存在国家安全问题,因为它们可能在外国手中。

让我们尝试计算违反此网站的可能性。 打开20年2019月XNUMX日拍摄的newarmy.mod.gov.cy快照,我们看到以下重定向消息。

网络安全分析:塞浦路斯网络攻击的研究结果
网络安全分析:塞浦路斯网络攻击的研究结果

网络安全分析:塞浦路斯网络攻击的研究结果

[研究中的更多内容 这里]

但是他们受到侵犯了吗? 黑客发布的映像包括MS SQL Server数据库实例名称的列表。 可以从默认的MS SQL数据库名称“ master”,“ msdb”和“ model”轻松推断出这些名称,如下图所示。

PROMETHEUS集团
网络安全分析:塞浦路斯网络攻击的研究结果

[研究中的更多内容 这里]

与newarmy.mod.gov.cy共享同一服务器的私人和上市公司以及政府实体的列表为:

[研究中的更多内容 ώ]

由于它们属于同一服务器,因此很有可能违反上述站点。

[研究中的更多内容 ώ]

最令人不安的是,其中两个可能遭到破坏的数据库属于国家计算机安全响应小组(CY-CSIRT)和数字安全管理局(DSA)的控制和管理下的电子通信和邮政法规专员办公室。 根据DSA国家法律,它是塞浦路斯数字网络和信息系统安全的主管部门,也是实施国家安全战略的协调者。 简单来说,它负责保护国家的关键基础设施(例如,电力局,水体,污水处理当局,银行等),并收集有关安全性,弱点和防御机制的信息,同时有权处以罚款(对管理局控制下的公司和个人处以最高3年的罚款和监禁。

有关此事件出现以下问题:

1.国防部和研究,创新和数字政策副秘书处是否已采取必要措施将这一事件通知主管部门(例如,个人数据保护专员)? 如果没有,为什么不呢?

2.为什么在国防部向媒体发布的公开声明中破坏了这一事件?

3.考虑到以上列表中的所有客户,泄露个人信息的实际程度是多少?

4.这不是第一次发生或报告过影响政府系统的网络安全事件。 政府为什么不采取必要的措施来安全开发站点(例如,渗透测试,避免共享敏感信息的托管环境等)?

5.负责政府网络安全程序的人员是谁?

6. OCECPR网站泄露了有关塞浦路斯关键基础设施的哪些信息? 为什么他们没有发现它们?他们采取了什么措施来防止此类数据的违反?

我们认为,掩盖网络攻击是塞浦路斯的普遍做法。 这对公司造成不利影响,因为他们看不到遭受攻击的真正风险,因此他们对采取预防措施保护它们的必要性持怀疑态度,当然这为时已晚(从我们过去和之后的经验中可以看出)再来一次。)。

在撰写本白皮书时,SecNews.gr(secnews.gr/339663/hacked-larnaca-airporthermesairports-rootayyil/)在爱马仕机场网站上发表了一篇有关袭击事件的文章。

[研究中的更多内容 这里]

因此,我们希望就系统,政策和程序向政府提出以下建议:

1.关于所有政府信息系统, 必须认真对待安全 所有利益相关者的意见,不要再留待以后再考虑。

2.政府应 进行安全审查和渗透测试 识别并纠正关键的安全漏洞。 他还应不断监视其系统是否受到黑客攻击,并制定适当的计划以应对此类可能性。

3.定义一个 联络人 以便发现安全漏洞/与政府系统相关联的漏洞的任何人都可以负责任地举报。

4.实施程序 虫子赏金, 因此,塞浦路斯黑客(安全专家)可以合法地测试和报告政府系统中的漏洞,并从中获得经济奖励。

5. 公开接受并报告安全事件 影响政府系统。 我们建议任命代表向公众通报此类事件。

[研究中的更多内容 这里]

以上所有建议也适用于所有需要采取必要步骤进行申请的私营公司。 上面提到的完全基于我们已设法从公共资源中收集的信息,主管当局应进行适当的调查以确认这些信息(基于我们的综合技术和经验)。

更多新闻: 移动恶意软件-2020年对组织的最大威胁之一

如果我们损害了受影响的公司的声誉,我们会提前向他们道歉,但是我们的目的是负责任地告知公众和那些个人信息可能受到损害的人,因为显然没有其他人会这样做。

普罗米修斯集团网络安全专家/分析师

“我们是一群塞浦路斯网络安全专业人员,他们希望保持匿名(至少目前如此)。 这是我们第一次研究和发布我们的作品。 我们成立该小组的目的是提高公众对塞浦路斯网络安全状况的认识。

由于我们的工作,我们意识到了对关键组织和政府的多次攻击。 不幸的是,这些事件仍未发布或破坏。 “我们已经看到,私营部门的组织已转向更加注重安全的心态,但公共部门完全缺失了。”

PROMETHEUS GROUP的白皮书

 ------------ [研究引文结束] -----------

[SECNEWS 更新 13.04.2021]

请注意,利益相关者已获悉有关Github的相关研究的存在。 我们尚未收到对该出版物的正式答复,应他们的要求,他们的名字已被删除。

实时新闻