Κυριακή, 11 Σεπτεμβρίου 2011

[SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!


Τι σχέση μπορεί να έχει η εικονιζόμενη τούρτα [γνωστή ως black forest] με την κυβερνοεπίθεση εναντίον της ιστοσελίδας και των υποδομών της εταιρείας Κτηματολόγιο Α.Ε. πριν από μερικές ημέρες που πρώτο αποκάλυψε έπειτα από ανώνυμη πληροφορία το SecNews? Μα φυσικά πρόκειται για το πραγματικό ψευδώνυμο του hacker ή της ομάδας hackers  που απέκτησαν πρόσβαση στα άδυτα των συστημάτων του Κτηματολογίου και εξέθεσε όπως φαίνεται δεδομένα και εσωτερικές πληροφορίες. Ας πάρουμε όμως τα πράγματα από την αρχή.
Η συντακτική ομάδα του  SecNews με την βοήθεια 3 εθελοντών αναγνωστών-συνεργατών της, διενήργησε την έρευνα σχετικά με την επίθεση και σας παρουσιάζει τα αποτελέσματα της. Σύμφωνα λοιπόν με την έρευνα  <…>

η επίθεση διενεργήθηκε απo hacker με το ψευδώνυμο «Schwarzwaldhacker» μεταφραζόμενο σε «hacker του μαύρου δάσους». [σ.σ Scharzwawld είναι η γνωστή γερμανική τούρτα Black Forest].
- Όπου υπάρχει η λέξη [Σημείωση] με έντονη γραφή,  είναι οι σημειώσεις των εθελοντών μας, που βοήθησαν τεχνικά στην έρευνα.
- Προτείνουμε στους αναγνώστες να μην επισκεφθούν την ιστοσελίδα του Schwarzwaldhacker μιας και πιθανόν να προκαλεί εγκατάσταση κακόβουλου λογισμικού!!!
Το χρονικό της επίθεσης.
Ο (ή οι) hacker(s) με το ψευδώνυμο «Schwarzwaldhacker»  δημοσιεύει τα «κατορθώματά του» σε ρώσικη ιστοσελίδα και συγκεκριμένα στην http://schwarzwald.h1.ru/. Στο άνω μέρος της σελίδας αναφέρει τις λεπτομέρειες για το χτύπημα στο Ελληνικό Κτηματολόγιο ως «Guys I am really Cool, Hacked into the Greek CADASTRE». Το μήνυμα έχει αναρτηθεί στις αρχές Αυγούστου και συγκεκριμένα στις 8/8/2011 , ενώ σε Screenshots  που δημοσιεύουμε φαίνεται ότι η επίθεση έλαβε χώρα μεταξύ 4-5 Αυγούστου του 2011.
centralpage [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
Στη συνέχεια ο hacker «Schwarzwaldhacker» παραθέτει πλούσιο φωτογραφικό υλικό [screenshots] τα οποία και επεξηγεί υποδεικνύοντας τον τρόπο που απέκτησε πρόσβαση. Αναφέρει ότι «διάβασε σχόλια σε κάποια online εφημερίδα σχετικά με το Ελληνικό Κτηματολόγιο[www.ktimatologio.gr] ,και για πλάκα δοκίμασε επίθεση SQL Injection.
 α) Στην αρχή δοκίμασε να επισκεφθεί απλά την ιστοσελίδα του Κτηματολογίου ώστε να διαπιστώσει την δομή της:
ktim1 [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
ktim2 [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
β) Δοκίμασε επίθεση τύπου SQL Injection και κατόρθωσε μέσω της συγκεκριμένης αδυναμίας να αντλήσει διάφορους πίνακες της βάσης δεδομένων της ιστοσελίδας με ονόματα όπως «pages», «members», «users», ακόμα και «Passwords». Αφού κατόρθωσε, όπως δηλώνει στην ιστοσελίδα του, να αντλήσει όλες τις πληροφορίες (κάτι που του πήρε χρόνο) διαπίστωσε ότι το σύστημα του Κτηματολογίου έχει «configuration problems» δηλαδή προβλήματα παραμετροποίησης, όπως φαίνεται και στο παρακάτω Screenshot που δημοσιοποίησε.
ktim3 [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
[Σημείωση]:Είναι σαφές από το δημοσιευμένο Screenshot ότι ο hacker χρησιμοποιεί λειτουργικό Suse, με χρήση της Γερμανικής Γλώσσας ενεργοποιημένης ως βασική γλώσσα στο περιβάλλον του  λειτουργικού συστήματος. Στο συγκεκριμένο Screenshot φαίνεται ακριβώς και η ώρα / ημερομηνία που πραγματοποιήθηκε η επίθεση.
γ) Όπως αναφέρει στην συνέχεια της παράθεσης-περιγραφής της κυβερνοεπίθεσης, κατόρθωσε να αποκτήσει πρόσβαση στο Intranet [εσωτερικό δίκτυο] μέσω της ιστοσελίδας το οποίο πιθανολογεί οτι είναι ακόμα σε «πειραματικό» όπως λέει επίπεδο. Θεωρεί μάλιστα «τρομακτικό» το γεγονός οτι κατόρθωσε να αποκτήσει πρόσβαση με χρήση login: test και κωδικό:test !!!
ktim4 [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
[Σημείωση] Στο συγκεκριμένο Screenshot διενεργεί μια αναζήτηση στο ενδοδίκτυο του Κτηματολογίου σχετικά με δημοσιεύματα των ΜΜΕ, ενώ στον browser του έχει ανοικτό τον λογαριασμό στο Facebook καθώς και την ηλεκτρονική έκδοση της εφημερίδας Spiegel.
δ) Προχώρησε σε άντληση κωδικών (hashes) από την ιστοσελίδα τα οποία και δημοσιεύει, ενώ επιπροσθέτως άντλησε πάνω από 5000 εγγραφές από την λίστα αλληλογραφίας του Κτηματολογίου, σχετιζόμενα με Μέσα Μαζικής Ενημέρωσης και Κυβερνητικές Υπηρεσίες. Όλα αυτά δηλώνει οτι τα έκανε «just for fun» για πλάκα δηλαδή. Δεν χρειάστηκε να προχωρήσει σε μετάφραση των αρχείων που άντλησε. Δηλώνει μάλιστα ότι αν έκανε κάτι τέτοιο θα «τον βοηθούσε εξαιρετικά για να εισέλθει ακόμα πιο βαθιά στο σύστημα του Κτηματολογίου».
ktim5 [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
ktimpasses [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
Εν κατακλείδι ενημερώνει τους αναγνώστες της ιστοσελίδας του ότι, «Δεν θεωρώ ότι ο διαχειριστής της ιστοσελίδας είναι το μόνο πρόβλημα»,»Από την εμπειρία μου, εάν μια ιστοσελίδα ή ένα σύστημα έχει τόσα πολλά προβλήματα, αυτό είναι μια ένδειξη ότι η εταιρεία ή η κυβέρνηση που ελέγχει την ιστοσελίδα δεν ενδιαφέρεται καθόλου για αυτό».
Όμως ποιος είναι ο hacker «Schwarzwaldhacker» ?
Στοιχεία για τον «Schwarzwaldhacker» [με την συνεργασία των εθελοντών του SecNews]
Τα στοιχεία που υπάρχουν κοινοποιημένα στο Internet δεν μπορούν να είναι επαρκή ούτε μπορούν να θεωρηθούν αξιόπιστα μιας και συχνά οι hackers προσπαθούν να αποκρύψουν τα στοιχεία τους, χρησιμοποιώντας ψευδή στοιχεία ή αλλοιωμένα ώστε να μην εντοπιστούν από τις αρχές.
Ο Schwarzwaldhacker διαθέτει ιστοσελίδα στο Facebook καθώς και στο Youtube που μπορείτε να δείτε εδώ:
facebooktima [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
youtubektima [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
Στην ιστοσελίδα του στο Youtube έχει μεταφορτώσει video-υλικό από υπαίθριες αστείες θεατρικές παραστάσεις, που πραγματοποιούνται στο Stadgarten του Freiburg.
Όπως δηλώνει στην ιστοσελίδα του στο Facebook έχει σπουδάσει στο Πανεπιστήμιο FernUniversitat στην Χάγη, κατοικεί στο Gundelfingen, Baden-Wurttemberg της Γερμανίας ενώ η καταγωγή του είναι από το Kehl am Rhein. Στην ιστοσελίδα του στο Facebook, η οποία διαθέτει 597 φίλους, αναφέρει το χτύπημα στο Ελληνικό Κτηματολόγιο, ενώ ενημερώνει ότι τα ενδιαφέροντα του είναι Κρυπτογραφία, Δημιουργία Ιών, και Έρευνα. Στο τέλος του προφίλ του δεν διστάζει να δημοσιεύσει τηλέφωνο επικοινωνίας [πιθανόν δεν ισχύει], την διεύθυνση της ιστοσελίδας του καθώς και e-mail επικοινωνίας σε πάροχο της Βενεζουέλας!!!
Εντύπωση προκαλούν τόσο στην ιστοσελίδα του [η οποία βρίσκεται μάλιστα  σε ρώσικο πάροχο], κάποιες ρώσικες λέξεις και φράσεις που χρησιμοποιεί καθώς και ρώσικη μουσική υπόκρουση. Με λίγο ψάξιμο διαπιστώσαμε ότι αυτοχαρακτηρίζεται ως «Ρώσος Εθνικιστής, Αυθεντικός Ρώσος εξτρεμιστής»  όπως αναγράφει [εδώ] και κατά δήλωση του ζεί και εργάζεται στην Γερμανία.
Σε άλλο σημείο της ιστοσελίδας του αναφέρει οτι απαιτεί «JUSTICE» δηλαδή ΔΙΚΑΙΟΣΥΝΗ.
Τεχνικά στοιχεία ιστοσελίδας (με την συνεργασία των εθελοντών του SecNews)
Σύμφωνα με τεχνική έρευνα που έγινε αναφορικά με την ιστοσελίδα που χρησιμοποιεί ο Hacker Schwarzwaldhacker, διαπιστώθηκε ότι η ιστοσελίδα  http://schwarzwald.h1.ru/ βρίσκεται στην Ρωσία,αποτελεί κόμβο όπου εγκαθίστανται exploits kits [αυτοματοποιήμενα εργαλεία hacking] με σκοπό κυρίως  την δημιουργία Botnets και παράνομη πρόσβαση σε τραπεζικούς λογαριασμούς. Εντοπίστηκε ότι ο εξυπηρετητής(server) της ιστοσελίδας, με την συγκεκριμένη IP διεύθυνση έχει χρησιμοποιηθεί στο παρελθόν για το γνωστό Eleonore exploit kit, που πλήττει τους ανυποψίαστους επισκέπτες της ιστοσελίδας εγκαθιστώντας malware με χρήση αδυναμιών στούς φυλλομετρητές [browsers].
ipktima [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
malwaredomain [SecNews Αποκλειστικό] Ποιοι κρύβονται πίσω από την κυβερνοεπίθεση εναντίον της Κτηματολόγιο Α.Ε.!
Εκτίμησεις SecNews:
- Ο/ή hacker(s) που απέκτησαν πρόσβαση στις υποδομές του Κτηματολογίου, φαίνεται οτι διαθέτουν τα εργαλεία και την τεχνογνωσία για άντληση δεδομένων και αλλοίωση εσωτερικών στοιχείων. Διαθέτουν όπως φαίνεται και τεχνογνωσία σε exploit kits καθώς και δημιουργία ιών ηλεκτρονικών υπολογιστών
- Ο hacker δεν φαίνεται να προσπάθησε να αποκρύψει συγκεκριμένα στοιχεία της ταυτότητας του.Είτε δεν τον ενδιαφέρει να εντοπιστεί είτε έχει προβεί σε αλλοίωση στοιχείων για παραπλάνηση σχετικά με την ταυτότητα του.
-Εμφανίζεται ως Ρώσος, Γερμανός αλλά KAI με e-mail επικοινωνίας σε πάροχο της Βενεζουέλας.
- Μήπως τα δεδομένα που διαχειρίζεται το Κτηματολόγιο είναι εξαιρετικά ενδιαφέροντα για  »ξένους επενδυτές» ? Η στιγμή που χρονικά συνέβη η επίθεση συμπίπτει με την έναρξη των αποκρατικοποιήσεων αλλά και πώληση εκτάσεων που ανήκουν στο Δημόσιο!
Ας ελπίσουμε ότι το συγκεκριμένο χτύπημα στην Κτηματολόγιο Α.Ε.  δεν αποτελεί άλλο ένα παιχνίδι των Γερμανών και λοιπόν ξένων-»φιλικών» δυνάμεων  εις βάρος της Ελλάδας ή ένα παιχνίδι των μυστικών υπηρεσιών για την παραπλάνηση μας.

Η Κτηματολόγιο Α.Ε. οφείλει να πάρει μέτρα για την διαφύλαξη και προστασία των δεδομένων των Ελλήνων πολιτών που βρίσκονται στις υποδομές της, μιας και όπως αποδυκνείεται αποτελούν ιδιαίτερα ενδιαφέρον στόχο βιομηχανικών κατασκόπων άλλων χωρών και όχι μόνο.
Η συντακτική ομάδα του SecNews ευχαριστεί του εθελοντές-αναγνώστες για την τεχνική υποστήριξη της έρευνας.

Εξαιρετική δουλειά από το SecNews.
Εγώ έχω να πω ότι το e-mail επικοινωνίας σε πάροχο της Βενεζουέλας του Schwarzwaldhacker μπορεί να μην είναι τυχαίο γιατί ο firefox είναι στα Ισπανικά όπως φαίνεται από τα  Screenshots.


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Σεβόμαστε όλες τις απόψεις, αλλά προτιμάμε τα ελληνικά και όχι τα greeklish, το χιούμορ και όχι τις ύβρεις.
Σας παρακαλούμε πολύ να γράφετε με ελληνικούς χαρακτήρες και οι σχολιασμοί σας να μη ξεφεύγουν από τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα αποκλείονται.
Ευχαριστούμε.

Μετατροπέας Greeklish σε Ελληνικά

Αν θέλετε να συμπεριλάβετε εικόνα στο σχόλιό σας περικλείσετέ τη μέσα στα [im] και [/im] δηλαδή: [im]Η-διεύθυνση-της-εικόνας-σας-εδώ[/im]

Related Posts Plugin for WordPress, Blogger...
Best Blogger TipsBest Blogger Tips