Πριν λίγες ημέρες, τα εργαλεία των επιχειρήσεων hacking (hacking operations) της NSA εναντίον παγκοσμίων στόχων ενδιαφέροντος της εν λόγω μυστικής υπηρεσίας διέρρευσαν στο Διαδίκτυο από την πασίγνωστη πλέον ομάδα Shadowbrokers.. Η διαρροή πραγματοποιήθηκε με τη μορφή που βλέπουμε παρακάτω όπου ο καθένας μπορούσε να τα αντλήσει ελεύθερα.
Στο οπλοστάσιο των κυβερνο-όπλων της NSA που διέρρευσαν περιλαμβάνονται πολλά exploits (για Microsoft Windows, Lotus Notes, MDaemon Webadmin,IIS, Solaris systems και Microsoft Exchange) καθώς και πρόσθετα εργαλεία γραμμένα σε Python.
Τα εργαλεία αυτά (Fuzzbunch, Eternalblue,Doublepulsar, Danderspritz) αποτελούν το εξειδικευμένο λογισμικό με τις άκρως εντυπωσιακές δυνατότητες (σ.σ. κάποιοι το επονομάζουν το Metasploit της NSA) που έχει χρησιμοποιηθεί από τους hackers-πράκτορες της NSA εναντίον υποδομών κυβερνήσεων, εταιρειών και οργανισμών.
Η έρευνα
Οι ερευνητές του SecNews.gr, ενός από τα πλέον εξειδικευμένα sites στην Ελλάδα σε θέματα ασφάλειας, πραγματοποίησαν τις προηγούμενες ημέρες ενδελεχή μελέτη αναφορικά με τις διαρροές της NSA από τους Shadowbrokers, την οποία και σας μεταφέρουμε.
Όπως έχει γίνει γνωστό, NSA Backdoor έχει βρεθεί εγκατεστημένo σε πολλές χώρες μέχρι αυτή την ώρα (σε χιλιάδες υπολογιστές & servers). Μια διασπορά ανα χώρα μπορείτε να δείτε παρακάτω.
Kυβερνο-όπλα της NSA σε Ελληνικούς στόχους υψηλού προφίλ!
Στόχος της έρευνας του SecNews.gr όμως, λαμβάνοντας υπόψη τη σημαντικότητα των στοιχείων που διέρρευσαν, ήταν ο εντοπισμός εταιρειών ή δικτύων αποκλειστικά και μόνο στην Ελληνική Επικράτεια, που να εχουν πέσει θύμα κακόβουλης δραστηριότητας ή χρήσης των cyberweapons της NSA.
Ερευνήθηκαν δηλαδή, συνδυαστικά με το οπλοστάσιο της NSA που διέρρευσε, χρησιμοποιώντας τα ιδιαίτερα ψηφιακά χαρακτηριστικά τους, αν και σε ποιες Ελληνικές IP διευθύνσεις μπορούν να εντοπιστούν εγκατεστημένα τα κυβερνο-όπλα της NSA!
Η διαδικασια πραγματοποιήθηκε με τα ακόλουθα βηματα και χρειάστηκαν 3 ημέρες.
– Ως πρώτο βήμα πραγματοποιήθηκε σάρωση στο Ελληνικό Διαδίκτυο για δημοσίως εκτεθειμένες τις υπηρεσίες SMB (Port 445) & Remote desktop (RDP Port 3389).
– Εντοπίστηκαν 1086 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία SMB
– Εντοπίστηκαν 4263 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία Remote Desktop
– Στη συνέχεια χρησιμοποιώντας κατάλληλα παραμετροποιημένα scripts όπως το Mass-scan, detect_doublepulsar_rdp&smb (Python) και τα αρχεια που διέρρευσαν απο την NSA εντοπίστηκε που υπάρχει εγκατεστημένο το κυβερνο-όπλο.
Τα αποτελέσματα-τελικά ευρήματα φαίνονται στον παρακάτω πίνακα. Έχει πραγματοποιηθεί απόκρυψη με κόκκινο πλαίσιο το σύνολο των IP διευθύνσεων που εντοπίστηκαν, για προστασία των στοχοποιημένων εταιρειών-οργανισμών. Έτσι δεν είναι εφικτό να χρησιμοποιήσει κάποιος κακόβουλος χρήστης το σχετικό κυβερνο-όπλο προς ίδιο όφελος.
Συμπεράσματα
Σύμφωνα με τα ευρήματα το λογισμικό απομακρυσμένης προσβασης της NSA βρέθηκε εγκατεστημένο:
– Εντός του δικτύου (AIA-Cust3-Infr) του Αεροδρομίου Ελευθέριος Βενιζέλος. Δεν είμαστε σε θέση να γνωρίζουμε αν αποτελεί δίκτυο υποδομών του Αεροδρομίου ή third party εταιρεία στην οποία το αεροδρόμιο παρεχει το backbone πρόσβασης.
– Σε εξυπηρετητή στο τηλεοπτικό σταθμό ΣΚΑΙ που είναι προσβάσιμος απο το διαδίκτυο (σ.σ. ελπίζουμε όχι για να αλλάξουν τα αποτελέσματα του Survivor ;))
– Σε εξυπηρετητή της εταιρείας Vodafone ή συμβεβλημένης με αυτή εταιρεία.
– Σε server στο εσωτερικό δίκτυο διαχείρισης (Internal Network Management) της εταιρείας Interworks Cloud (interworks.biz, webserve.gr). Αξίζει να αναφερθεί ότι στο ίδιο IP class εντοπίζεται και το Business marketplace της εταιρείας τηλεπικοινωνιών Wind (windbusiness.com.gr).
– Σε πελάτη με σύνδεση DSL/VDSL της εταιρείας ΟΤΕ/Cosmote (δεν γνωρίζουμε αν είναι εταιρικός πελάτης ή home user). Δεν φαίνεται να έχει όμως κανένα συσχετισμό με τις κρίσιμες υποδομές του ΟΤΕ/Cosmote.
– Εντός εξυπηρετητή της εταιρείας ΣΥΚΑΡΗΣ (πιθανόν Γραφικές Τέχνες)
– Εντός εξυπηρετητή της εταιρείας ΜΕΛΚΑ (πιθανόν κατασκευαστική εταιρεία)
– Σε τερματικό σταθμό/εξυπηρετητή του τμήματος Πολιτικών Μηχανικών στο ΑΠΘ
– Σε server/τερματικό σταθμό στο ΤΕΙ Ηπείρου στο VLAN διαχειρισης.
– Στο Πανεπιστημίο Θεσσαλίας σε τερματικό σταθμό χρήστη εντός του Πανεπιστημίου (πιθανόν απομακρυσμένη σύνδεση DSL).
Απο την έρευνα του SecNews.gr διαπιστώθηκε ότι στα ανωτέρω έχει εγκατασταθεί το Doublepulsar. Το Doublepulsar επιτρέπει στον επιτιθέμενο να εγκαταστήσει ότι λογισμικό επιθυμεί, χωρίς να είναι εντοπίσιμο υπο την μορφή DLL.
Είναι σαφές ότι δεν μπορούμε να γνωρίζουμε αν η εγκατάσταση των cyberweapons παρακολούθησης έγινε απο την NSA ή απο τρίτους hackers που χρησιμοποίησαν το οπλοστάσιο μετά την διαρροή απο τους Shadowbrokers. Το σίγουρο όμως είναι ότι οι στόχοι που αναφέρει το SecNews.gr θα πρέπει να ελέγξουν ΑΜΕΣΑ τα συστήματά τους (και ιδίως αν τα συστήματα που έχουν πληγεί “ακουμπούν” εσωτερικά δίκτυα).
Η ίδια διαδικασία που εφαρμόστηκε κατά την έρευνα στο Ελληνικό Public internet είναι εφικτό να εφαρμοστεί σε εσωτερικούς εξυπηρετητές για να ελεγχθεί αν υπάρχουν εγκατεστημένα λογισμικά κυβερνοπαρακολούθησης. Οι αναφερόμενοι στόχοι παραπάνω οφείλουν να πραγματοποιήσουν ΑΜΕΣΑ ελέγχους ψηφιακής ανάλυσης ώστε να εντοπισόυν τι ακριβώς έχει συμβεί με τους ανωτέρω εξυπηρετητές.
Οι ερευνητές του SecNews.gr είναι στη διάθεση διαχειριστών ή νομίμων εκπροσώπων των αναφερόμενων εταιρειών, οργανισμών & φορέων που φαίνεται να έχουν στοχοποιηθεί για να παρέχουμε πρόσθετα στοιχεία αναφορικά με τις λεπτομέρειες του εντοπισμού αλλά και τον τρόπο επιπλέον ελέγχων στο εσωτερικό δίκτυο εφόσον διαπιστώσουν οι αρμόδιοι διαχειριστές ότι έχουν πληγεί και σε τι βαθμό.
τα σχόλια είναι κλειδωμένα.