ΕΛΤΑ το χρονικό του χάκινγκ, οι Τούρκοι επιτιθέμενοι, η έρευνα, και τα μοιραία λάθη

Έχουν περάσει δύο εβδομάδες από την παραβίαση των συστημάτων των Ελληνικών Ταχυδρομείων που πραγματοποιήθηκε την Κυριακή 20 Μαρτίου και όπως δείχνουν τα γεγονότα ήταν πολύ σοβαρή, αφού προκάλεσε προβλήματα σε κυβερνητικές υπηρεσίες, εταιρείες, και προφανώς στους πολίτες που χρησιμοποιούν τις υπηρεσίες διανομής των ΕΛΤΑ.

Σύμφωνα με όσα έχουν γίνει γνωστά, κακόβουλος κώδικας μόλυνε, σε πρώτη φάση, ένα τερματικό υπαλλήλου των ΕΛΤΑ, στη συνεχεία πραγματοποίησε σύνδεση με server που ελέγχεται από κυβερνοεγκληματίες με τη χρήση τεχνικής https reverse shell.

Οι επιτιθέμενοι πραγματοποίησαν pivoting στο εσωτερικό δίκτυο του Οργανισμού και μόλυναν περισσότερα συστήματα. Έπειτα, ο κακόβουλος κώδικας εκτελέστηκε σε συστήματα των οποίων τον έλεγχο είχαν οι χάκερ και είχε ως αποτέλεσμα την κρυπτογράφηση κύριων server και τερματικών των ΕΛΤΑ.

Μάλιστα, οι επιτιθέμενοι κλείδωσαν τα συστήματα χρησιμοποιώντας τυχαίο κλειδί κρυπτογράφησης και ζητούσαν λύτρα για να αποκρυπτογραφήσουν τους server και να επαναφέρουν το δίκτυο των Ελληνικών Ταχυδρομείων στη σωστή του λειτουργία.

Η στοχευμένη κυβερνοεπίθεση και η κρυπτογράφηση των τερματικών και server, οδήγησε στην αδυναμία εκτέλεσης οικονομικών συναλλαγών και διαχείρισης πολλών υπηρεσιών που παρέχουν τα ΕΛΤΑ, για διάστημα πολλών ημερών, δημιουργώντας μεγάλα προβλήματα, σε πολλαπλά επίπεδα.

Οι χάκερ είχαν πλήρη πρόσβαση στο εσωτερικό δίκτυο του οργανισμού και μπορούσαν να αντλούν, να διαγράφουν, να αλλοιώνουν δεδομένα πολιτών, ή ακόμα και να πάρουν αντίγραφα τα οποία θα πουλούσαν για ένα εξαιρετικά μεγάλο χρηματικό ποσό.

Το χειρότερο σε όλο αυτό είναι ότι ο απαρχαιωμένος εξοπλισμός και το λογισμικό που χρησιμοποιούν τα ΕΛΤΑ έκαναν τη δουλειά των επιτιθέμενων πολύ πιο εύκολη – καθώς ακόμα και άτομα με χαμηλού επιπέδου γνώσεις θα μπορούσαν να παραβιάσουν τα συστήματα του οργανισμού.

Επιπλέον, είναι ξεκάθαρο ότι δει είχε γίνει λήψη μέτρων προστασίας τόσο στα τερματικά συστήματα, όσο και στους server που περιείχαν προσωπικά δεδομένα πολιτών – και όχι μόνο. Αυτό είχε ως αποτέλεσμα, οι χάκερ να αποκτήσουν πρόσβαση χωρίς καν να χρησιμοποιήσουν προχωρημένες τεχνικές παραβίασης.

Το Υπουργείο Ψηφιακής Πολιτικής, Τηλεπικοινωνιών και Ενημέρωσης ανέφερε ότι τα ΕΛΤΑ στον δήμο της Αθήνας αποτέλεσαν τον στόχο μιας από τις πιο επιζήμιες κυβερνοεπιθέσεις οι οποίες έχουν πραγματοποιηθεί εναντίον ελληνικής εταιρείας, υπηρεσίας, ή οργανισμού.

Σύμφωνα με τις αρχές, τα περισσότερα από τα back-end συστήματα έχουν ήδη αποκατασταθεί και έχουν εφαρμοστεί επιπλέον έλεγχοι ασφαλείας προς αποφυγή επιτυχούς μελλοντικής κυβερνοεπίθεσης, απώλειας ελέγχου των συστημάτων, και για την προστασία των δεδομένων που περιέχουν τα συστήματα.

Με βάση στοιχεία παλαιότερων επιθέσεων σε οργανισμούς που διαχειρίζονται τέτοιο όγκο προσωπικών δεδομένων, η πώληση μιας βάσης δεδομένων 1 εκ. χρηστών στο darknet είχε τιμή εκκίνηση τις 600.000 ευρώ και το ποσό αυτό ανέβαινε – ανάλογα την πηγή, τον τύπο δεδομένων, και τα λοιπά.

Δυστυχώς, τα τελευταία χρόνια οι χάκερ γίνονται διαρκώς πιο δραστήριοι και έχουμε δει πολλές επιτυχημένες επιθέσεις σε ξένες, αλλά και πολλές ελληνικές υπηρεσίες και εταιρείες. Για παράδειγμα, ο Edward Snowden είχε αποκαλύψει τρομερά στοιχεία για την κατασκοπεία των ΗΠΑ στη χώρα μας, και όχι μόνο.

Οι υπηρεσίες κατασκοπείας έχουν αγοράσει πολλές βάσεις δεδομένων. Ένα απλό παράδειγμα είναι η αγορά μιας βάσης με πληροφορίες που αφορούν πάνω από 750.000 πολίτες για το ποσό των 500.000 ευρώ – περίπου. Αυτό το ποσό θα μπορούσε να είναι πολύ μεγαλύτερο, εξαιτίας της φύσης και της αξίας αυτής της βάσης δεδομένων.

Επιστρέφοντας στο θέμα των ΕΛΤΑ, έχει διαπιστωθεί ότι η πληροφοριακή υποδομή των Ελληνικών Ταχυδρομείων ήταν από παντού τρύπια. Πλήθος ανοιχτές πόρτες επέτρεπαν την πρόσβαση από το 2018 και στοιχεία σχετικά με αυτά τα κενά είναι διαθέσιμα στον καθένα, αρκεί να έχει λίγες γνώσεις – πόσο μάλιστα ένας χάκερ ή μία ομάδα ατόμων με ειδική κατάρτιση.

Για να γίνει το σενάριο ακόμα χειρότερο, τον Μάρτιο του 2022 – λογικά μετά την επίθεση, οι αρμόδιοι άρχισαν να κλείνουν τμηματικά όλες τις ανοιχτές πόρτες που είναι ευάλωτες. Όμως, υπάρχουν σοβαρά προβλήματα. Μία από τις ενεργοποιημένες πόρτες είναι η 3389 που χρησιμοποιείται για τεχνικές brute force με στόχο τον εντοπισμό αδύναμων κωδικών πρόσβασης και εν τέλει την είσοδο σε διάφορες υποδομές.

Στοιχεία δείχνουν ότι οι πόρτες ήταν ενεργές από τον Νοέμβριο του 2021 μέχρι τον Απρίλιο του 2022 και ειδικότερα η επίμαχη πόρτα 3389 – που κατά πάσα πιθανότητα λειτούργησε ως η δίοδος των χάκερ, ήταν ανοιχτή για πολύ μεγάλα χρονικά διαστήματα. Ακόμα χειρότερα, τα τρύπια συστήματα των ΕΛΤΑ γινόταν όλο και πιο ευάλωτα, μέχρι τον Μάρτιο του 2022 που παραβιάστηκαν και προκλήθηκε όλος αυτός ο χαμός.

Δυστυχώς, οι αρμόδιοι έλαβαν τα απαραίτητα μέτρα και περιόρισα την πρόσβαση στον server και την υπηρεσία που ήταν πλήρως προσβάσιμα μέσω διαδικτύου, αφού πρώτα έγινε η επίθεση. Εδώ όμως δεν ισχύει το κάλλιο αργά, εκτός του ότι από όλο αυτό προκύπτουν πολλά άλλα ερωτήματα, όπως το πολύ σημαντικό “Οι χάκερ άφησαν κακόβουλο λογισμικό, και αν ναι, οι “ειδικοί” των ΕΛΤΑ το εντόπισαν και το απομάκρυναν;”

Όλα όσα αναφέραμε δείχνουν ότι οι επιτιθέμενοι δεν είχαν τρομερές γνώσεις, αφού βρήκαν το κλειδί μια ξεκλείδωτης πόρτας κάτω από το χαλάκι, την άνοιξαν, και μπήκαν. Με δημόσια διαθέσιμα εργαλεία, βρήκαν τρύπες στα συστήματα του οργανισμού και τις εκμεταλλεύτηκαν. Σαν να μην έφτανε αυτό, ο οργανισμός είχε προκηρύξει διαγωνισμό για ανάδοχο σχετικά με τη δημιουργία και παροχή κύριας και εφεδρικής υποδομής Data center (disaster recovery site). Ο διαγωνισμός τελείωνε στις 5 Ιανουαρίου του 2022 και όλα τα έγγραφα είναι διαθέσιμα στο διαδίκτυο.

Που είναι το πρόβλημα σε όλο αυτό; Ότι έγινε πάλι το κόλπο “Ελλάδα”, ο διαγωνισμός αναβλήθηκε – προφανώς για αδιευκρίνιστους λόγους. Η πρώτη αναβολή ήταν για τις 07 Φεβρουαρίου, η δεύτερη για τις 31 Μαρτίου, και η τρίτη για τις 08 Απριλίου. Τα ΕΛΤΑ εντόπισαν την επίθεση το βράδυ της 20 Μαρτίου προς 21 Μαρτίου Οπότε, ίσως τα πράγματα να ήταν καλύτερα, αν ο διαγωνισμός είχε ολοκληρωθεί στην αρχική καταληκτική ημερομηνία.

Κάπου εδώ γεννάται ένα άλλο ερώτημα. Αν τελικά ο διαγωνισμός είχε ολοκληρωθεί, ο οργανισμός θα είχε κύρια και εφεδρική υποδομή Datacenter; Αυτό θα ήταν αρκετό και θα είχε λειτουργήσει ως έπρεπε ώστε να αποφευχθεί αυτή η καταστροφή; Τα προβλήματα που έχει δημιουργήσει αυτή η κατάσταση είναι πάρα πολλά και δεν αφορούν μόνο τους πολίτες.

Σε πρώτη φάση, εταιρείες, επιχειρήσεις, καταστήματα, και τα λοιπά, δεν μπορούσαν να εξυπηρετήσουν τους πελάτες τους, διότι δεν είχαν τη δυνατότητα να στέλνουν προϊόντα ή να ενημερώνουν για την πορεία αποστολής όσον έχουν ήδη διώξει από τις εγκαταστάσεις τους. Επιπλέον, οι πολίτες δεν μπορούσαν να δουν που βρίσκονται δέματα ή συστημένα γράμματα / δέματα, και τα λοιπά, ενώ σε ορισμένες περιπτώσεις δεν μπορούσαν να παραλάβουν αντικείμενα που βρίσκονταν στα τοπικά καταστήματα των ΕΛΤΑ.

Έπειτα, μετά την επίθεση, όλο και περισσότεροι πολίτες λαμβάνουν μηνύματα με phishing URL τύπου rb.gy – ανήκουν σε υπηρεσία shortener που αποκρύπτει τον προορισμό του URL, και κείμενα που ζητούν να πατήσουν τον σύνδεσμο για να ξεκλειδώσουν τους λογαριασμούς των ηλεκτρονικών τραπεζικών υπηρεσιών τους, γιατί τις έχει κλειδώσει η τράπεζα. Υπάρχουν αναφορές ότι οι σύνδεσμοι συνδέονται με τουρκική εταιρεία που έχει ως έδρα την Κωνσταντινούπολη και δραστηριότητα σε εφαρμογές και τομείς υγείας.

Το όλο θέμα έχει πάρει πολύ μεγαλύτερες διαστάσεις και τα ΕΛΤΑ δεν τοποθετούνται επίσημα για το τι πραγματικά έχει συμβεί. Ίσως δεν μάθουμε ποτέ τι πραγματικά έχει συμβεί. Αν έχουν σχέση με όλο αυτό Τούρκοι χάκερ ή αν εμπλέκεται στην επίθεση η παραπάνω αναφερθείσα εταιρεία. Το μόνο βέβαιο είναι ότι για μία ακόμα φορά η κακή κατάσταση των ελληνικών οργανισμών και υπηρεσιών οδήγησε στη μαζική ταλαιπωρία των πολιτών.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.