SecNews | SEA TURTLE hacking επιθέσεις: Κυβερνοπόλεμος σε εξέλιξη με την Τουρκία να κρύβεται πίσω από τη διαδικτυακή τρομοκρατία;

2020-02-27 16:21

ΣΥΝΟΠΤΙΚΗ ΑΝΑΛΥΣΗ

Η Sea Turtle hacking εκστρατεία ενάντια κυβερνητικών ιστοσελίδων κρατών σε Ευρώπη και Μέση Ανατολή, με την Ελλάδα να αποτελεί έναν από τους βασικούς στόχους, έχει δημιουργήσει παγκόσμια ανησυχία. Το SecNews διεξήγαγε έρευνα σχετικά με την πιθανή ταυτότητα των hackers, τις επιθέσεις και τους κινδύνους που προκύπτουν από αυτές.

Από το 2017 έχει ξεκινήσει μια hacking εκστρατεία, γνωστή ως Sea Turtle, η οποία εξελίσσεται σε μια επικίνδυνη διαδικτυακή τρομοκρατία που ίσως αποτελεί προάγγελο ενός κυβερνοπολέμου.

Οι hackers, αρχικά, επιτίθεντο σε κυβερνητικές οργανώσεις, εταιρείες ενέργειας, δεξαμενές σκέψης (think tanks), διεθνείς κυβερνητικές οργανώσεις, αεροδρόμια και high profile προσωπικότητες της Βόρειας Αφρικής και της Μέσης Ανατολής, ενώ, στη συνέχεια, εξαπλώθηκαν σε Ευρώπη και Αμερική.

Οι πρώτες εικασίες έδειχναν ότι πίσω από την hacking εκστρατεία βρίσκονται Ιρανοί hackers, εφόσον, μάλιστα, φημίζονται για τέτοιου είδους επιθέσεις, με τις πιο πρόσφατες να στοχοποιούν Ευρωπαϊκές εταιρείες ενέργειας.

Η τράπουλα φαίνεται να αλλάζει φύλλα όσο οι επιθέσεις συνεχίζονται, υποδεικνύοντας την Τουρκική κυβέρνηση πίσω από τις επιθέσεις.

Η εκστρατεία έχει θορυβήσει αρκετά τους ειδικούς καθώς διαθέτει χαρακτηριστικά γνωρίσματα μιας κυβερνητικά υποκινούμενης κατασκοπείας για την προώθηση τουρκικών συμφερόντων.

 

SEA TURTLE CAMPAIGN

Ας αναλύσουμε αρχικά την φύση της Sea Turtle εκστρατείας καθώς και τους σκοπούς της. Η Sea Turtle εκστρατεία εντοπίζεται από τον Ιανουάριο του 2018, με βασικούς στόχους δημόσιους και ιδιωτικούς φορείς κρατών. Χαρακτηριστικό γνώρισμα της είναι οι DNS hijacking επιθέσεις.

Σύμφωνα με, τα μέχρι στιγμής, στοιχεία εντοπίζονται επιθέσεις σε περίπου 40 οργανισμούς σε 13 χώρες.

sea turtle turkey Τούρκοι χακερ κυβερνοπόλεμος τούρκοι sea turtle hacking επιθέσεις

Οι επιτιθέμενοι είναι εξαιρετικά οργανωμένοι και χρησιμοποιούν εξελιγμένες μεθόδους, οι οποίες τους παρέχουν πρόσβαση σε ευαίσθητα δίκτυα και συστήματα. Η DNS hijacking επίθεση ανακατευθύνει τους χρήστες σε κακόβουλα website, τροποποιώντας τα DNS name records ή τις ρυθμίσεις του server.

Η εκστρατεία φαίνεται να στοχεύει σε δύο κατηγορίες θυμάτων. Στην πρώτη κατηγορία ανήκουν οργανώσεις εθνικής ασφάλειας, υπουργεία εξωτερικών και οργανώσεις που σχετίζονται με την ενέργεια. Στη δεύτερη κατηγορία θυμάτων ανήκουν διαχειριστές DNS, εταιρείες τηλεπικοινωνιών και πάροχοι υπηρεσιών διαδικτύου.

Αξίζει αν σημειώσουμε ότι πρώτος στόχος των επιτιθέμενων είναι οι τρίτες εταιρείες (πάροχοι), που προσφέρουν υπηρεσίες στους βασικούς τους στόχους (third party ή outsource).

 

DNS HIJACKING ATTACKS

Τι είναι το DNS Hijacking;

DNS hijacking, DNS poisoning ή DNS redirection είναι η πρακτική της υπονόμευσης της ανάλυσης των Domain Name System (DNS) queries.  Αυτό μπορεί να επιτευχθεί με κακόβουλο λογισμικό που αντικαθιστά τη διαμόρφωση TCP / IP ενός υπολογιστή, ώστε να δείχνει σε έναν κακόβουλο DNS server που ελέγχεται από έναν hacker ή τροποποιεί τη συμπεριφορά ενός αξιόπιστου DNS server έτσι ώστε να μην συμμορφώνεται με τα πρότυπα διαδικτύου. Φυσικά, οι τροποποιήσεις αυτές πραγματοποιούνται για κακόβουλους σκοπούς.

Η Sea Turtle εκστρατεία πραγματοποιεί αυτές τις τροποποιήσεις για κακόβουλους σκοπούς, όπως μπορούμε να φανταστούμε. Συγκεκριμένα:

Οι επιτιθέμενοι αποκτούν τα credentials του διαχειριστή του δικτύου του εκάστοτε οργανισμού και τροποποιούν τα DNS records.

Διαφορετικά αποκτούν πρόσβαση μέσω DNS διαχειριστή, ο οποίος πουλά ονόματα domain και διαχειρίζεται τα DNS records.  Το DNS registry είναι προσβάσιμο μέσω της εφαρμογής μητρώου χρησιμοποιώντας το Extensible Provisioning Protocol (EPP).

Οι hackers αποκτούν ένα από αυτά τα κλειδιά EPP για να τροποποιήσουν τα DNS records, που χειρίζεται ο διαχειριστής.

Οι hackers προσπαθούν να κλέψουν τα credentials, ώστε να μπουν στα δίκτυα και τα συστήματα, με τον εξής τρόπο:

  1. αρχικά προσπαθούν να ελέγξουν τα DNS records του στόχου,
  2. μετά τροποποιούν τα DNS records ώστε να ανακατευθύνουν τους χρήστες σε servers που είναι υπό τον έλεγχο των hackers και οχι στους πραγματικούς servers
  3. και τέλος κλέβουν τα credentials όταν οι χρήστες επικοινωνούν με τον ελεγχόμενο server.

Μέσα από αυτές τις διαδικασίες οι hackers κατάφεραν να αποκτήσουν πρόσβαση στα συστήματα των οργανισμών και να πραγματοποιήσουν επιθέσεις.

Χρήση νέας DNS Hijacking τεχνικής

Η νέα τεχνική έχει χρησιμοποιηθεί πολύ φειδωλά και μέχρι στιγμής έχουν εντοπίσει μόνο δύο entities από το 2018.

Στη συγκεκριμένη περίπτωση έγινε τροποποίηση των domain’s name server records για να παραπέμπουν τους νόμιμους χρήστες στον κακόβουλο server. Ο ελεγχόμενος name server και τα hijacked hostnames θα οδηγήσουν στην ίδια διεύθυνση IP για σύντομο χρονικό διάστημα, συνήθως λιγότερο από 24 ώρες. Και στις δύο παρατηρούμενες περιπτώσεις, ένα από τα hijacked hostnames αναφερόταν σε μια υπηρεσία ηλεκτρονικού ταχυδρομείου μέσω της οποίας οι hackers υπέκλεψαν τα διαπιστευτήρια σύνδεσης των θυμάτων. Μία πτυχή αυτής της τεχνικής που καθιστά εξαιρετικά δύσκολη την παρακολούθηση της είναι ότι οι ελεγχόμενοι name servers δεν χρησιμοποιήθηκαν σε πολλαπλούς στόχους – που σημαίνει ότι κάθε hijacked entity είχε το δικό της name server hostname και τη δική του αποκλειστική διεύθυνση IP. Ενώ τα προηγουμένως αναφερθέντα name server domains όπως ns1 [.] Intersecdns [.] Com χρησιμοποιήθηκαν για να στοχεύσουν πολλαπλούς οργανισμούς.

Νέος nameserver ελεγχόμενος από hackers

rootdnservers[.]com: Παρουσιάζει παρόμοια πρότυπα συμπεριφοράς με τους διακομιστές ονομάτων που είχαν χρησιμοποιηθεί στο παρελθόν ως τμήμα της εκστρατείας Sea Turtle. Το domain rootdnservers [.] Com καταχωρίστηκε στις 5 Απριλίου 2019 μέσω του καταχωρητή NameCheap. To νέο domain rootdnservers [.] Com χρησιμοποιήθηκε για DNS hijacking εναντίον τριών κυβερνητικών φορέων που όλοι χρησιμοποιούσαν το .gr, το ελληνικό ccTLD. Πολύ πιθανό τα hijackings να πραγματοποιήθηκαν μέσω της πρόσβασης που αποκτήθηκε στο δίκτυο ICS-Forth.

Παρακάτω παρουσιάζεται ένας πίνακας με τους τρεις πιο πρόσφατους κακόβουλους name servers που έχουν συσχετιστεί αυτήν τη δραστηριότητα (σύμφωνα έρευνα της Talos intelligence):

Hostnames IP addresses Operational Status
ns1[.]rootdnservers[.]com. 45[.]32[.]100[.]62 Active
ns2[.]rootdnservers[.]com. 45[.]32[.]100[.]62 Active
ns1[.]intersecdns[.]com 95[.]179[.]150[.]101 Inactive
ns2[.]intersecdns[.]com 95[.]179[.]150[.]101 Inactive

 

Νέες διευθύνσεις IP που σχετίζονται με την man-in-the-middle δραστηριότητα:

Με τον εντοπισμό των στοχευόμενων domains, προσδιορίστηκαν τα hijacked hostnames και τα αντίστοιχα MitM nodes. Οι hackers, εκτέλεσαν την “certificate impersonation” τακτική δηλαδή για το στοχευμένο hostname προμήθευσαν ένα SSL certificate από διαφορετικό παροχέα SSL. Παρακάτω παρουσιάζεται ένας πίνακας με τις ημερομηνίες και τις σχετικές διευθύνσεις IP.

 

Date IP address
April 13, 2019 95[.]179[.]131[.]225
April 16, 2019 95[.]179[.]131[.]225
April 11, 2019 95[.]179[.]131[.]225
April 11, 2019 140[.]82[.]58[.]253
April 10, 2019 95[.]179[.]156[.]61

 

Δείκτες Παραβιάσεων

 

IP address Characterization Date Range
185[.]64[.]105[.]100 Operational Node March – April 2019
178[.]17[.]167[.]51 Operational Node June 2019
95[.]179[.]131[.]225 Mitm Node April 2019
140[.]82[.]58[.]253 Mitm Node April 2019
95[.]179[.]156[.]61 Mitm Node April 2019
196[.]29[.]187[.]100 Mitm Node December 2018
188[.]226[.]192[.]35 Mitm Node January 2018
ns1[.]rootdnservers[.]com Actor-controlled nameserver April 2019
ns2[.]rootdnservers[.]com Actor-controlled nameserver April 2019
45[.]32[.]100[.]62 Hosted malicious nameserver April 2019
ns1[.]intersecdns[.]com Actor-controlled nameserver February – April 2019
ns2[.]intersecdns[.]com Actor-controlled nameserver February – April 2019
95[.]179[.]150[.]101 Hosted malicious nameserver February – July 2019

 

ΙΡΑΝ ΚΑΙ SEA TURTLE ATTACKS

Οι πρώτες εικασίες θέλουν το Ιράν να βρίσκεται πίσω από την hacking εκστρατεία κατασκοπείας.

 

Οι ερευνητές δείχνουν την hacking ομάδα APT34 πίσω από την εκστρατεία κατασκοπείας στον κυβερνοχώρο. Αξίζει να αναφέρουμε ότι υπάρχουν πολλές ομοιότητες μεταξύ της διαδικασίας συλλογής διαπιστευτηρίων του Sea Τurtle project και του WebMask project των Ιρανών hackers.

Συγκρίνοντας τα TTPs των δύο campaigns, υπάρχουν πολλές ομοιότητες. Επιπλέον, οι στόχοι της APT34 είναι οι ίδιοι με αυτούς της ομάδας πίσω από τη Sea Turtle εκστρατεία. Δεν υπάρχουν αρκετά στοιχεία που να επιβεβαιώνουν την υπόθεση, αλλά φαίνεται αρκετά πιθανό ακόμα και αν δεν έχει βεβαιωθεί.

Μια από τις βασικές ομοιότητες των δύο εκστρατειών είναι το DNS Hijacking. Εξάλλου, οι Ιρανοί hackers που χρηματοδοτούνται από το κράτος είναι γνωστό ότι χρησιμοποιούν DNS Hijacking για να ανακατευθύνουν τα θύματα στους ιστότοπους των επιθέσεων. Αναλύοντας τα TTPs των hackers, το WebMask project γεννήθηκε μετά τον Απρίλιο του 2016. Έχει χρησιμοποιηθεί για να επιτεθεί τουλάχιστον σε στόχους των Ηνωμένων Αραβικων Εμιράτων. Επιπλέον, το APT χρησιμοποιούσε τον πάροχο NovinVPS, αλλά χρειαζόταν διαπιστευτήρια για την αλλαγή του ως Authoritative DNS. Επομένως, σκοπός της εκστρατείας είναι η συλλογή δεδομένων, γεγονός που ισχύει και για το Sea Turtle.

 

ΤΟΥΡΚΙΑ ΚΑΙ SEA TURTLE ATTACKS

Πιο πρόσφατες εικασίες θέλουν την τουρκική κυβέρνηση πίσω από την εκστρατεία online κατασκοπείας.

Σύμφωνα με δύο βρετανούς αξιωματούχους και έναν υπάλληλο των ΗΠΑ, η δραστηριότητα φέρει τα χαρακτηριστικά γνωρίσματα μιας κυβερνητικής κατασκοπείας που πραγματοποιήθηκε για την προώθηση των τουρκικών συμφερόντων.

Τα τέσσερα βασικά χαρακτηριστικά γνωρίσματα είναι:

  • Η ταυτότητα και η τοποθεσία των θυμάτων, στις οποίες συμπεριλαμβάνονται κυβερνήσεις χωρών με γεωπολιτική σημασία για την Τουρκία
  • Ομοιότητες με προηγούμενες επιθέσεις που εικάζεται ότι χρησιμοποιούσαν υποδομές κατοχυρωμένες από την Τουρκία
  • Εμπιστευτικές πληροφορίες που δεν μπορούν να δημοσιοποιηθούν
  • Σύνδεση επιθέσεων επειδή χρησιμοποιούν ίδιους servers ή κοινές υποδομές.

Το υπουργείο Εσωτερικών της Τουρκίας αρνήθηκε να σχολιάσει. Ένας ανώτερος αξιωματούχος της Τουρκίας δεν απάντησε άμεσα σε ερωτήσεις σχετικά με την εκστρατεία, αλλά δήλωσε ότι η ίδια η Τουρκία ήταν συχνά θύμα κυβερνοεπιθέσεων.

 

 

ΤΟ ΧΡΟΝΙΚΟ ΤΗΣ ΕΠΙΘΕΣΗΣ: ΕΛΛΑΔΑ – ΒΑΣΙΚΟΣ ΣΤΟΧΟΣ ΤΗΣ SEA TURTLE ΕΚΣΤΡΑΤΕΙΑΣ

 

sea turtle turkey Τούρκοι χακερ κυβερνοπόλεμος τούρκοι sea turtle hacking επιθέσεις

  • ΑΠΡΙΛΙΟΣ 2019

Στις 10 Ιουλίου 2019 το ICS-Forth (Institute of Computer Science of the Foundation for Research and Technology), o οργανισμός που διαχειρίζεται τα κορυφαία domain codes .gr και .el. της Ελλάδας, παραδέχτηκε δημοσίως ότι δέχτηκε hacking επίθεση από τις 19 μέχρι τις 24 Απριλίου 2019.

Οι hackers πίσω από την παραβίαση είναι η ίδια ομάδα που αναφέρεται σε μια έκθεση της Cisco Talos τον Απρίλιο, την οποία ονόμασαν Sea Turtle.

Η ομάδα χρησιμοποιεί μια σχετικά νέα προσέγγιση για τις hacking επιθέσεις της. Αντί να απευθύνονται άμεσα στα θύματα, παραβιάζουν ή αποκτούν πρόσβαση σε λογαριασμούς σε domain registrars και διαχειρίζονται παρόχους DNS όπου πραγματοποιούν τροποποιήσεις στις ρυθμίσεις DNS μιας εταιρείας.

Με την τροποποίηση των DNS records για εσωτερικούς διακομιστές, ανακατευθύνουν το traffic που προορίζεται για τις νόμιμες εφαρμογές μιας εταιρείας ή τις webmail υπηρεσίες για να κλωνοποιήσουν servers όπου εκτελούν man-in-the-middle επιθέσεις και παρεμποδίζουν τα διαπιστευτήρια σύνδεσης.

Οι επιθέσεις είναι βραχείας διάρκειας, διαρκούν από ώρες έως ημέρες και είναι εξαιρετικά δύσκολο να εντοπιστούν λόγω του γεγονότος ότι οι περισσότερες εταιρείες δεν παρακολουθούν τις αλλαγές στις ρυθμίσεις DNS.

Η ομάδα Sea Turtle παραβιάζει συνήθως λογαριασμούς σε domain registrars και διαχειρίζεται DNS providers – accounts που ανήκουν στους στόχους τους, οι οποίοι τις χρησιμοποιούν για τη διαχείριση καταχωρήσεων DNS για διάφορους διακομιστές και υπηρεσίες.

Ωστόσο, τώρα, η Sea Turtle κατόρθωσε να χακάρει έναν ολόκληρο πάροχο Top Level Domain υπηρεσιών για να πετύχει τον στόχο της – δηλαδή, να τροποποιήσει τις ρυθμίσεις διακομιστή DNS του διακομιστή-στόχου για μια ολόκληρη χώρα, για όλη την Ελλάδα.

sea turtle turkey Τούρκοι χακερ κυβερνοπόλεμος τούρκοι sea turtle hacking επιθέσεις

Έκθεση αναφέρει ότι η ομάδα Sea Turtle είχε επιτεθεί στο παρελθόν στο NetNod, ένα internet exchange node με έδρα τη Σουηδία, το οποίο μεταξύ άλλων προσέφερε υπηρεσίες DNS για οργανισμούς ccTLD  όπως το ICS-Forth.

Οι hackers διατήρησαν την παράνομη πρόσβαση τους στο δίκτυο του ICS-Forth από ένα command and control (C2) node. Μετά την ανάλυση αυτού του λειτουργικού κόμβου C2, διαπιστώθηκε ότι χρησιμοποιήθηκε, επίσης, για πρόσβαση σε έναν οργανισμό στη Συρία, ο οποίος είχε προηγουμένως γίνει redirect χρησιμοποιώντας τον ελεγχόμενο από τους hackers name server ns1[.]intersecdns[.]com. Επομένως, αποδεικνύεται ότι πίσω από τις δύο hacking επιθέσεις (Ελλάδα και Συρία) κρύβεται η ίδια hacking ομάδα.

Σύμφωνα με πληροφορίες που δεν επιδέχονται αμφισβητησή, οι εμπλεκόμενοι hackers απέκτησαν πρόσβαση σε τερματικό σταθμό διαχειριστή του ICS-Forth (πιθανόν μέσω επίθεσης Phishing) οπου εν συνεχεία εγκατέστησαν γνωστό προγραμμα απομακρυσμένης πρόσβασης (Teamviewer). Με χρήση του τερματικού σταθμού μέσω Teamviewer και αφού παρακολουθούσαν τον διαχειριστή για μεγάλο χρονικό διάστημα, απέκτησαν πρόσβαση διαχειριστή (root) στους κεντρικούς εξυπηρετητές του Top Level DNS διαχειριστή για το πρόθεμα .gr/.ελ. Μέσω αυτής της πρόσβασης πλέον είχαν αποκτήσει το σύνολο των ελληνικών domains, τους κωδικούς EPP, και μπορούσαν να αλλοιώσουν/ανακατευθύνουν κατα το δοκούν όποιο domain επιθυμούσαν. Στόχος όπως είναι πλέον γνωστό ήταν η Εθνική Υπηρεσία Πληροφοριών (www.nis.gr), το Υπουργείο Εξωτερικών (www.mfa.gr), η Βουλή των Ελλήνων, ο εξυπηρετητής e-mail του Πρωθυπουργού και άλλες κρίσιμες υποδομές της χώρας. Για 24 ώρες το σύνολο της ηλεκτρονικής τους αλληλογραφίας ανακατευθύνονταν σε εξυπηρετητή/ες των hackers με αποτέλεσμα να υποκλαπούν e-mail, κωδικοί πρόσβασης αξιωματούχων αλλά και κρίσιμες πληροφορίες!  Η ανάλυση της πρόσβασης μέσω του λογισμικού Teamviewer και των αρχείων καταγραφής που αυτό διαθέτει δεν προσδιόρισε με ακρίβεια τα ηλεκτρονικά ίχνη των επιτιθεμενων.

Επιπλέον όμως υπάρχει και μια άλλη διάσταση του ζητήματος που δεν έχει δημοσιοποιηθεί και το SecNews φέρει σήμερα στην δημοσιότητα. Οι Τούρκοι hackers που οργάνωσαν την επίθεση υπέκλεψαν το σύνολο των e-mail διαχειριστών του συνόλου των Ελληνικών domains (*.gr). Κάθε ένας που αγοράζει ενα ελληνικό domain δηλώνει στοιχεία επικοινωνίας (όνομα-επωνυμο-μαιλ-τηλέφωνο) στους παρόχους που κάνει την εγγραφή. Μέρος αυτών των στοιχείων είναι διαθέσιμα και στο ICS-FORTH.

Τα στοιχεία αυτά μάλλον ανταλλάχτηκαν ή πωλήθηκαν στα γνωστά darknet markets εις αντάλλαγμα οικονομικού οφέλους. Ως αποτέλεσμα τους μήνες Ιούλιο-Σεπτέμβριο 2019 παρατηρήθηκαν ισχυρότατα και πολυπληθή spam campaigns εναντιον email που έχουν δηλωθεί σε διάφορα domains του .gr. και που ουδέποτε είχαν λάβει το παραμικρό spam e-mail. Αφορούσε κυρίως το ηλεκτρονικο μήνυμα που ενημέρωνε πολλούς συμπολίτες μας ότι έχουν πέσει θύμα hacking και τους έχουν υποκλέψει (ψευδώς) φωτογραφίες ή εικόνες και τους καλούσαν να πληρώσουν λύτρα. Σχετικό παράδειγμα παραθέτουμε παρακάτω:

  • ΙΑΝΟΥΑΡΙΟΣ 2020

Στις 17 Ιανουαρίου, η ομάδα των Τούρκων hackers που ονομάζεται «Anka Neferler» ανέλαβε την ευθύνη για τις κυβερνοεπιθέσεις DDoS attacks που σημειώθηκαν αργά το απόγευμα της Πέμπτης σε ελληνικές κυβερνητικές ιστοσελίδες, όπως αναφέρει η ίδια σε ανάρτησή της στο Twitter.

Σύμφωνα με τις πρώτες πληροφορίες, προβλήματα προσβασιμότητας παρουσιάζουν οι ιστοσελίδες της Βουλής, του Υπουργείου Εξωτερικών αλλά και της Εθνικής Υπηρεσίας Πληροφοριών. Φαίνεται πως υπήρχαν προβλήματα και στα website του Χρηματιστηρίου Αθηνών και του Υπουργείου Οικονομικών.

Το γεγονός επιβεβαίωσαν και κυβερνητικές πηγές αναφέροντας ότι τα sites που αντιμετώπισαν πρόβλημα λειτουργούν τώρα κανονικά. Επίσης λήφθηκαν μέτρα για την ομαλή λειτουργία των website και την μελλοντική θωράκιση τους από επικείμενες επιθέσεις. Σύμφωνα με πηγές, δεν σημειώθηκε κάποια υποκλοπή δεδομένων.

sea turtle turkey Τούρκοι χακερ κυβερνοπόλεμος τούρκοι sea turtle hacking επιθέσεις

Τα τουρκικά μέσα ενημέρωσης ανέφεραν στα Μέσα Μαζικής Επικοινωνίας το γεγονός της εισβολής των Τούρκων hackers στις ελληνικές κυβερνητικές ιστοσελίδες ως επίτευγμα.

Τυχαίο γεγονός ή όχι οι ίδιες ιστοσελίδες που έπεσαν θύματα DDoS επίθεσης είχαν πέσει θύματα της εκστρατείας παρακολούθησης Sea Turtle μερικούς μήνες πρίν (τον Απρίλιο 2019);

 

SEA TURTLE ATTACKS: ΘΥΜΑΤΑ

Στα πρόσφατα θύματα της Sea Turtle εκστρατείας περιλαμβανόταν, επίσης, η κρατική υπηρεσία πληροφοριών της Αλβανίας, σύμφωνα με δημόσια αρχεία στο διαδίκτυο. Η Αλβανική κρατική υπηρεσία πληροφοριών είχε εκατοντάδες ονόματα χρηστών και κωδικούς πρόσβασης που κλάπηκαν από τους hackers.

Η Αλβανική Υπηρεσία Πληροφοριών της γειτονικής χώρας δήλωσε ότι οι επιθέσεις ήταν σε μη διαβαθμισμένη υποδομή, η οποία δεν αποθηκεύει ούτε επεξεργάζεται οποιαδήποτε πληροφορία χαρακτηρίζεται ως “κρατικό μυστικό” οποιουδήποτε επιπέδου.

sea turtle turkey Τούρκοι χακερ κυβερνοπόλεμος τούρκοι sea turtle hacking επιθέσεις

Η Κύπρος βρέθηκε επίσης στο στόχαστρο των hackers. Η κυπριακή κυβέρνηση δήλωσε πρόσφατα ότι «οι αρμόδιες υπηρεσίες είχαν άμεση επίγνωση των επιθέσεων και κατάφεραν να προστατευτούν. Δεν θα σχολιάσουμε τις λεπτομέρειες για λόγους εθνικής ασφάλειας», πρόσθεσε.

Οι επιθέσεις σε Κύπρο, Ελλάδα, Αλβανία και Συρία συνέβησαν στα τέλη του 2018 ή στις αρχές του 2019, σύμφωνα με δημόσιες πηγές στο διαδίκτυο. Οι ευρύτερες σειρές επιθέσεων βρίσκονται σε εξέλιξη, σύμφωνα με αξιωματούχους υπηρεσιών των εμπλεκομένων χωρών αλλά και σύμφωνα με μελέτες από ανεξάρτητους ερευνητές του κυβερνοχώρου.

Στην Τουρκία, από την άλλη, έχουν πέσει θύματα των hacking επιθέσεων διάφοροι μη κρατικοί οργανισμοί, οι οποίοι, σύμφωνα με τα τουρκικά μέσα μαζικής ενημέρωσης, συνδέονται με τον Fethullah Gulen που εδρεύει στις Η.Π.Α. και κατηγορείται για την οργάνωση της αποτυχημένης προσπάθειας πραξικοπήματος το 2016.

Ο Fethullah Gulen έχει αρνηθεί δημοσίως την απόπειρα πραξικοπήματος.

 

ΣΥΜΠΕΡΑΣΜΑ

Οι επιθέσεις της Sea Turtle εκστρατείας δεν πρόκειται να ολοκληρωθούν σύντομα. Σύμφωνα με τις διευθυνσεις που δημοσιεύονται αλλά και με διασταύρωση πληροφοριών απο ανεξάρτητους ερευνητές η προέλευση των hackers είναι η γειτονική χώρα, η Τουρκία. Πρόκειται μάλιστα για state-sponsored hacking επιθέσεις που χρηματοδοτούνται απο κυβερνητικές υπηρεσίες. Οι hackers πίσω από αυτή, φαίνεται να διαθέτουν ένα αρκετά μελετημένο σχέδιο επιθέσεων με αργά και επιτυχή βήματα. Οι στόχοι; Χώρες υψηλής σημασίας για τους Τούρκους hackers τις οποίες επιθυμούν να προσκαλέσουν σε έναν παγκόσμιο κυβερνοπόλεμο. Πόσο προετοιμασμένα είναι τα κράτη να πέσουν στην μάχη; Διαθέτουν εκπαιδευμένο κυβερνοστρατό;

Από τα στοιχεία που δημοσιοποιούμε σήμερα οι Ελληνικές αρχές οφείλουν να δράσουν άμεσα. Υπάρχουν συγκεκριμένα ίχνη που μπορούν να οδηγήσουν στην προέλευση και ταυτότητα των δραστών. Συγκεκριμένα :

  • Τα registered domains που χρησιμοποιήσαν για την δημιουργία της υποδομής επίθεσης των hackers είναι .com. Τα εν λόγω domains εχουν εγγραφεί και πληρωθεί με πιστωτικές κάρτες στον πάροχο ονοματοδοσίας Namecheap. Οι αρχές οφείλουν άμεσα να επικοινωνήσουν με το συγκεκριμένο πάροχο (Follow the money – Credit Cards used to buy the domains) και να εντοπίσουν τα φυσικά πρόσωπα πίσω απο τις εν λόγω πληρωμές
  • Επιπλέον στις IP διευθυνσεις που χρησιμοποιήθηκαν υπάρχουν πάροχοι του εξωτερικού (πχ Vultr,Bacloud κ.α) οι οποιοι πάλι δέχονται πληρωμές μέσω πιστωτικών καρτών. Οι hackers χρησιμοποιησαν τους εν λογω παροχους ως VPS για να πραγματοποιήσουν τις ανακατευθύνσεις που επιθυμούσαν
  • Με χρηση εξειδικευμευνων εργαλείων (securitytrails) ειναι δυνατον να προσδιοριστει που εχουν χρησιμοποιηθει οι εν λογω IP διευθυνσεις.
  • Αξιοσημειωτο ειναι το γεγονος οτι ως ενδιαμεσο κομβο χρησιμοποιησαν και στρατιωτικο κόμβο του ΣΟΥΔΑΝ (Military General Comand Khartoum) – 196.29.187.100

Όλα δείχνουν ότι πολύ σύντομα θα δοθούν απαντήσεις στις ερωτήσεις μας.

 Μείνετε συντονισμένοι στο SecNews για εξελίξεις επί του θέματος και τα top νέα της tech επικαιρότητας

πηγή : www.secnews.gr