2012-12-17 00:30:49
Ισχυρή κυβερνοεπίθεση με ταυτόχρονη υποκλοπή σημαντικών οικονομικών στοιχείων δέχτηκε η Περιφέρεια Κεντρικής Μακεδονίας πρίν απο μερικές ημέρες! Συγκεκριμένα, hacker με το ψευδώνυμο [PAOK], που είχε πραγματοποιήσει αντίστοιχη επίθεση hacking στον Οργανισμό Λιμένος Θεσσαλονίκης, σε μήνυμα που απέστειλε προς την συντακτική ομάδα του SecNews, ανέλαβε την ευθύνη για την νέα ισχυρή επίθεση στην Αποκεντρωμένη Διοίκηση Μακεδονίας-Θράκης.
Ο hacker με το ψευδώνυμο [PAOK], που επιλέγει όπως είναι εμφανές να στοχοποιεί συστήματα κυρίως υπηρεσιών και οργανισμών της Βορείου
Ελλάδος, σε μια επίδειξη ισχύος και δυνατοτήτων, διέρρευσε σημαντικά στοιχεία της οικονομικής διεύθυνσης της Διοίκησης Μακεδονίας-Θράκης (!). Η Αποκεντρωμένη Διοίκηση Μακεδονίας-Θράκης βρίσκεται στις υποδομές του Εθνικού Δικτύου Syzefxis ενώ έχει παρατηρηθεί αρκετές φορές στο παρελθόν, όπως διαπιστώσαμε, μαζική αλλοίωση ιστοσελίδων σε διευθύνσεις της υπηρεσίας.
O [PAOK] όπως αναφέρει στο μήνυμά του, “απέκτησε πρόσβαση σε subdomains της υπηρεσίας αλλά μεγαλύτερο ενδιαφέρον για αυτόν είχε το τμήμα Οικονομικής Διαχείρισης (oiko.damt.gov.gr)”
Η μεθοδολογία που ακολούθησε ο hacker
O hacker όπως ενημερώνει στο μήνυμά του αφού σάρωσε το σύνολο των ιστοσελίδων της υπηρεσίας, απέκτησε πρόσβαση στην οικονομική διεύθυνση με χρήση αδυναμίας που του επέτρεψε να αναρτήσει το δικό του PHP Shell (backdoor). Μέσα από την συγκεκριμένη “πίσω-πόρτα” που εγκατέστησε εν αγνοία των διαχειριστών, είχε την δυνατότητα πλήρης πρόσβασης στα δεδομένα του εξυπηρετητή και παρακολούθησης των κινήσεων των στελεχών της Περιφέρειας.
Όπως χαρακτηριστικά αναφέρει “η ασφάλεια του συνόλου των site της αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης γενικά μπάζει”. Μέσα από μια αλληλουχία εικόνων-αποδείξεων που απέστειλε ο[PAOK] στην συντακτική ομάδα υποδυκνείει τις δυνατότητες του και τον τρόπο πρόσβασης στις υποδομές της Περιφέρειας. Δείτε παρακάτω (σ.σ. έχουμε προβεί σε απόκρυψη δεδομένων όπου κρίθηκε απαραίτητο για λόγους προστασίας προσωπικών δεδομένων):
Screenshot 1 – Η αρχική σελίδα της Οικονομικής Διαχείρισης που δέχτηκε την επίθεση όπως είναι ορατή από το Internet
Screenshot 2 – Η ιστοσελίδα της Δ/νσής Πληροφορικής και Επικοινωνιών που παρουσιάζει αδυναμίες ασφάλειας σύμφωνα με τον hacker
Screenshot 3 – Πρόσβαση του hacker [PAOK] στην πλατφόρμα διαχείρισης τιμολογίων. Δυνατότητα Καταχώρησης νέων τιμολογίων
Screenshot 4 – Διαχείριση τιμολογίων – Πρόσβαση σε χρήστη της Αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης
Screenshot 5 – Πρόσβαση σε συγκεντρωτικά αρχεία τιμολογίων πελατών της Περιφέρειας
Screenshot 6 – Συγκεντρωτική κατάσταση τιμολογίων πελατών – Συνολική Αξία τιμολογίων – ΑΦΜ – Επωνυμία – Προσωπικά δεδομένα
Screenshot 7 – Τροποποίηση αριθμών τιμολογίου – Ποσών – Προμηθευτών
Screenshot 8 – Δημιουργία χρηστών – Προσωπικά δεδομένα Χρηστών – usernames – E-mail επικοινωνίας – Δυνατότητα επαύξησης δικαιωμάτων
Screenshot 9 – Αλλοίωση Forum επικοινωνίας της Περιφέρειας Κεντρικής Μακεδονίας – Πρόσβαση με δικαιώματα διαχειριστή (forumadmin) και αλλοίωση περιεχομένου
Οι φωτογραφίες που παραθέτει ο [PAOK] υποδηλώνουν ότι κατόρθωσε να φτάσει μέχρι το σύστημα καταχωρήσεων και επεξεργασίας τιμολογίων από/πρός προμηθευτές με δυνατότητα αλλοίωσης σε ποσά και στοιχεία. Η πρόσβαση στην οικονομική διεύθυνση,όπως αναφέρει στο μήνυμά του, ήταν σε επίπεδο διαχειριστή με αποτέλεσμα να έχει την δυνατότητα να προσθέσει τιμολόγια, αλλά και να επεξεργαστεί υπάρχοντα, σε όλα τα οικονομικά έτη διαχείρισης ακόμα και σε αυτό που διανύουμε (!).
Τέλος αποσαφηνίζει οτι τα παραπάνω αποτελούν “σοβαρό πλήγμα στην ασφάλεια των κρατικών υπηρεσιών” και δεν προχώρησε σε αλλοίωση (ενώ είχε την δυνατότητα) μιας και σκοπός του ήταν “να υποδείξει τις αδυναμίες των συστημάτων και να ενημερωθούν οι διαχειριστές ώστε να κάνουν σωστά την δουλεία τους λαμβάνοντας σοβαρά υπόψη τα θέματα ασφάλειας και τις ελλείψεις που έχουν”
Το SecNews διαπίστωσε ότι οι ιστοσελίδες και οι υπηρεσίες της Αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης παρουσίαζαν δυσκολίες πρόσβασης στην ιστοσελίδα μέχρι πρίν από λίγο. Σε προσπάθειες που πραγματοποιήσαμε για να επικοινωνήσουμε με τους αρμοδίους δεν κατέστει δυνατό πιθανόν ως αποτέλεσμα της επίθεσης που έχει πραγματοποιηθεί. Είναι σαφές οτι από την κυβερνοεπίθεση του [PAOK] εκτέθηκαν άκρως ευαίσθητα οικονομικά δεδομένα υπηρεσιών της Περιφέρειας , κάτι που οι αρμόδιοι διαχειριστές και τεχνικοί πληροφορικής θα πρέπει να εξετάσουν ΑΜΕΣΑ και ενδελεχώς. Η συντακτική ομάδα παραμένει στην διάθεση της Περιφέρειας για δημοσιοποίηση Δελτίου Τύπου που θα αποσαφηνίζει τις λεπτομέρειες της επίθεσης και κυρίως θα απαντά στο ερώτημα αν εκτέθηκαν δεδομένα πολιτών από την επίθεση του hacker.
secnews.gr
Ο hacker με το ψευδώνυμο [PAOK], που επιλέγει όπως είναι εμφανές να στοχοποιεί συστήματα κυρίως υπηρεσιών και οργανισμών της Βορείου
Ελλάδος, σε μια επίδειξη ισχύος και δυνατοτήτων, διέρρευσε σημαντικά στοιχεία της οικονομικής διεύθυνσης της Διοίκησης Μακεδονίας-Θράκης (!). Η Αποκεντρωμένη Διοίκηση Μακεδονίας-Θράκης βρίσκεται στις υποδομές του Εθνικού Δικτύου Syzefxis ενώ έχει παρατηρηθεί αρκετές φορές στο παρελθόν, όπως διαπιστώσαμε, μαζική αλλοίωση ιστοσελίδων σε διευθύνσεις της υπηρεσίας.
O [PAOK] όπως αναφέρει στο μήνυμά του, “απέκτησε πρόσβαση σε subdomains της υπηρεσίας αλλά μεγαλύτερο ενδιαφέρον για αυτόν είχε το τμήμα Οικονομικής Διαχείρισης (oiko.damt.gov.gr)”
Η μεθοδολογία που ακολούθησε ο hacker
O hacker όπως ενημερώνει στο μήνυμά του αφού σάρωσε το σύνολο των ιστοσελίδων της υπηρεσίας, απέκτησε πρόσβαση στην οικονομική διεύθυνση με χρήση αδυναμίας που του επέτρεψε να αναρτήσει το δικό του PHP Shell (backdoor). Μέσα από την συγκεκριμένη “πίσω-πόρτα” που εγκατέστησε εν αγνοία των διαχειριστών, είχε την δυνατότητα πλήρης πρόσβασης στα δεδομένα του εξυπηρετητή και παρακολούθησης των κινήσεων των στελεχών της Περιφέρειας.
Όπως χαρακτηριστικά αναφέρει “η ασφάλεια του συνόλου των site της αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης γενικά μπάζει”. Μέσα από μια αλληλουχία εικόνων-αποδείξεων που απέστειλε ο[PAOK] στην συντακτική ομάδα υποδυκνείει τις δυνατότητες του και τον τρόπο πρόσβασης στις υποδομές της Περιφέρειας. Δείτε παρακάτω (σ.σ. έχουμε προβεί σε απόκρυψη δεδομένων όπου κρίθηκε απαραίτητο για λόγους προστασίας προσωπικών δεδομένων):
Screenshot 1 – Η αρχική σελίδα της Οικονομικής Διαχείρισης που δέχτηκε την επίθεση όπως είναι ορατή από το Internet
Screenshot 2 – Η ιστοσελίδα της Δ/νσής Πληροφορικής και Επικοινωνιών που παρουσιάζει αδυναμίες ασφάλειας σύμφωνα με τον hacker
Screenshot 3 – Πρόσβαση του hacker [PAOK] στην πλατφόρμα διαχείρισης τιμολογίων. Δυνατότητα Καταχώρησης νέων τιμολογίων
Screenshot 4 – Διαχείριση τιμολογίων – Πρόσβαση σε χρήστη της Αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης
Screenshot 5 – Πρόσβαση σε συγκεντρωτικά αρχεία τιμολογίων πελατών της Περιφέρειας
Screenshot 6 – Συγκεντρωτική κατάσταση τιμολογίων πελατών – Συνολική Αξία τιμολογίων – ΑΦΜ – Επωνυμία – Προσωπικά δεδομένα
Screenshot 7 – Τροποποίηση αριθμών τιμολογίου – Ποσών – Προμηθευτών
Screenshot 8 – Δημιουργία χρηστών – Προσωπικά δεδομένα Χρηστών – usernames – E-mail επικοινωνίας – Δυνατότητα επαύξησης δικαιωμάτων
Screenshot 9 – Αλλοίωση Forum επικοινωνίας της Περιφέρειας Κεντρικής Μακεδονίας – Πρόσβαση με δικαιώματα διαχειριστή (forumadmin) και αλλοίωση περιεχομένου
Οι φωτογραφίες που παραθέτει ο [PAOK] υποδηλώνουν ότι κατόρθωσε να φτάσει μέχρι το σύστημα καταχωρήσεων και επεξεργασίας τιμολογίων από/πρός προμηθευτές με δυνατότητα αλλοίωσης σε ποσά και στοιχεία. Η πρόσβαση στην οικονομική διεύθυνση,όπως αναφέρει στο μήνυμά του, ήταν σε επίπεδο διαχειριστή με αποτέλεσμα να έχει την δυνατότητα να προσθέσει τιμολόγια, αλλά και να επεξεργαστεί υπάρχοντα, σε όλα τα οικονομικά έτη διαχείρισης ακόμα και σε αυτό που διανύουμε (!).
Τέλος αποσαφηνίζει οτι τα παραπάνω αποτελούν “σοβαρό πλήγμα στην ασφάλεια των κρατικών υπηρεσιών” και δεν προχώρησε σε αλλοίωση (ενώ είχε την δυνατότητα) μιας και σκοπός του ήταν “να υποδείξει τις αδυναμίες των συστημάτων και να ενημερωθούν οι διαχειριστές ώστε να κάνουν σωστά την δουλεία τους λαμβάνοντας σοβαρά υπόψη τα θέματα ασφάλειας και τις ελλείψεις που έχουν”
Το SecNews διαπίστωσε ότι οι ιστοσελίδες και οι υπηρεσίες της Αποκεντρωμένης Διοίκησης Μακεδονίας-Θράκης παρουσίαζαν δυσκολίες πρόσβασης στην ιστοσελίδα μέχρι πρίν από λίγο. Σε προσπάθειες που πραγματοποιήσαμε για να επικοινωνήσουμε με τους αρμοδίους δεν κατέστει δυνατό πιθανόν ως αποτέλεσμα της επίθεσης που έχει πραγματοποιηθεί. Είναι σαφές οτι από την κυβερνοεπίθεση του [PAOK] εκτέθηκαν άκρως ευαίσθητα οικονομικά δεδομένα υπηρεσιών της Περιφέρειας , κάτι που οι αρμόδιοι διαχειριστές και τεχνικοί πληροφορικής θα πρέπει να εξετάσουν ΑΜΕΣΑ και ενδελεχώς. Η συντακτική ομάδα παραμένει στην διάθεση της Περιφέρειας για δημοσιοποίηση Δελτίου Τύπου που θα αποσαφηνίζει τις λεπτομέρειες της επίθεσης και κυρίως θα απαντά στο ερώτημα αν εκτέθηκαν δεδομένα πολιτών από την επίθεση του hacker.
secnews.gr
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΠΡΟΗΓΟΥΜΕΝΟ ΑΡΘΡΟ
Η Δράση για την επίθεση εναντίον του βουλευτή του ΣΥΡΙΖΑ κ. Στρατούλη
ΣΧΟΛΙΑΣΤΕ
