Η εγκατάσταση του λογισμικού παρακολούθησης στους Ελληνικούς στόχους υψηλού προφίλ πραγματοποιήθηκε είτε από την εξειδικευμένη ομάδα της NSA είτε από hackers που χρησιμοποίησαν τα εργαλεία από την τελευταία διαρροή των ShadowBrokers.
Την περασμένη εβδομάδα, τα εργαλεία των επιχειρήσεων hacking (hacking operations) της NSA εναντίον παγκοσμίων στόχων ενδιαφέροντος της εν λόγω μυστικής υπηρεσίας, διέρρευσαν στο διαδίκτυο από την πασίγνωστη πλέον ομάδα Shadow brokers. Η διαρροή πραγματοποιήθηκε στο διαδίκτυο με την μορφή που βλέπουμε παρακάτω όπου ο καθένας μπορούσε να τα αντλήσει ελεύθερα:
Στο οπλοστάσιο των κυβερνο-όπλων της NSA που διέρρευσαν περιλαμβάνονται πολλά exploits (για Microsoft Windows, Lotus Notes, MDaemon Webadmin,IIS, Solaris systems και Microsoft Exchange) καθώς και πρόσθετα εργαλεία γραμμένα σε Python.
Τα εργαλεία αυτά (Fuzzbunch, Eternalblue,Doublepulsar, Danderspritz) αποτελούν το εξειδικευμένο λογισμικό με τις άκρως εντυπωσιακές δυνατότητες (σ.σ. κάποιοι το επονομάζουν το Metasploit της NSA) που έχει χρησιμοποιηθεί από τους hackers-πράκτορες της NSA εναντίον υποδομών κυβερνήσεων, εταιρειών και οργανισμών.
Σύμφωνα με το Secnews.gr όπου και αποτελεί πηγή αυτού του άρθρου, πραγματοποιήθηκε 3μερη έρευνα για τον εντοπισμό εταιρειών ή δικτύων αποκλειστικά και μόνο στην Ελληνική Επικράτεια, που να έχουν πέσει θύμα κακόβουλης δραστηριότητας ή χρήσης των cyberweapons της NSA.
Από την έρευνα εντοπίστηκαν 1086 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία SMB στο διαδίκτυο ενώ 4263 IP διευθύνσεις με ενεργοποιημένη την υπηρεσία Remote Desktop στο διαδίκτυο
Σύμφωνα με τα ευρήματα το λογισμικό απομακρυσμένης πρόσβασης της NSA βρέθηκε εγκατεστημένο:
1) Εντός του δικτύου (AIA-Cust3-Infr ) του Αεροδρομίου Ελευθέριος Βενιζέλος. Δεν είμαστε σε θέση να γνωρίζουμε αν αποτελεί δίκτυο υποδομών του Αεροδρομίου ή third party εταιρεία στην οποία το αεροδρόμιο παρέχει το backbone πρόσβασης.
2) Σε εξυπηρετητή στο τηλεοπτικό σταθμό ΣΚΑΙ που είναι προσβάσιμος από το διαδίκτυο (σ.σ. ελπίζουμε όχι για να αλλάξουν τα αποτελέσματα του Survivor ;))
3) Σε εξυπηρετητή της εταιρείας Vodafone ή συμβεβλημένης με αυτή εταιρεία.
4) Σε server στο εσωτερικό δίκτυο διαχείρισης (Internal Network Management) της εταιρείας Interworks Cloud (interworks.biz, webserve.gr). Αξίζει να αναφερθεί ότι στο ίδιο IP class εντοπίζεται και το Business marketplace της εταιρείας τηλεπικοινωνιών Wind (windbusiness.com.gr).
5) Σε πελάτη με σύνδεση DSL/VDSL της εταιρείας ΟΤΕ/Cosmote (δεν γνωρίζουμε αν είναι εταιρικός πελάτης ή home user). Δεν φαίνεται να έχει όμως κανένα συσχετισμό με τις κρίσιμες υποδομές του ΟΤΕ/Cosmote.
6) Εντός εξυπηρετητή της εταιρείας ΣΥΚΑΡΗΣ (πιθανόν Γραφικές Τέχνες)
7) Εντός εξυπηρετητή της εταιρείας ΜΕΛΚΑ (πιθανόν κατασκευαστική εταιρεία)
8) Σε τερματικό σταθμό/εξυπηρετητή του τμήματος Πολιτικών Μηχανικών στο ΑΠΘ
9) Σε server/τερματικό σταθμό στο ΤΕΙ Ηπείρου στο VLAN διαχείρισης.
10) Στο Πανεπιστήμιο Θεσσαλίας σε τερματικό σταθμό χρήστη εντός του Πανεπιστημίου (πιθανόν απομακρυσμένη σύνδεση DSL).
2) Σε εξυπηρετητή στο τηλεοπτικό σταθμό ΣΚΑΙ που είναι προσβάσιμος από το διαδίκτυο (σ.σ. ελπίζουμε όχι για να αλλάξουν τα αποτελέσματα του Survivor ;))
3) Σε εξυπηρετητή της εταιρείας Vodafone ή συμβεβλημένης με αυτή εταιρεία.
4) Σε server στο εσωτερικό δίκτυο διαχείρισης (Internal Network Management) της εταιρείας Interworks Cloud (interworks.biz, webserve.gr). Αξίζει να αναφερθεί ότι στο ίδιο IP class εντοπίζεται και το Business marketplace της εταιρείας τηλεπικοινωνιών Wind (windbusiness.com.gr).
5) Σε πελάτη με σύνδεση DSL/VDSL της εταιρείας ΟΤΕ/Cosmote (δεν γνωρίζουμε αν είναι εταιρικός πελάτης ή home user). Δεν φαίνεται να έχει όμως κανένα συσχετισμό με τις κρίσιμες υποδομές του ΟΤΕ/Cosmote.
6) Εντός εξυπηρετητή της εταιρείας ΣΥΚΑΡΗΣ (πιθανόν Γραφικές Τέχνες)
7) Εντός εξυπηρετητή της εταιρείας ΜΕΛΚΑ (πιθανόν κατασκευαστική εταιρεία)
8) Σε τερματικό σταθμό/εξυπηρετητή του τμήματος Πολιτικών Μηχανικών στο ΑΠΘ
9) Σε server/τερματικό σταθμό στο ΤΕΙ Ηπείρου στο VLAN διαχείρισης.
10) Στο Πανεπιστήμιο Θεσσαλίας σε τερματικό σταθμό χρήστη εντός του Πανεπιστημίου (πιθανόν απομακρυσμένη σύνδεση DSL).
Δημοσίευση σχολίου