Ιρανική κυβερνοκατασκοπεία στην Ελλάδα

Τα μέσα του Ιουλίου του 2020 βγήκε μία είδηση που αφορούσε μία επιχείρηση κυβερνοκατασκοπείας κατά της Ελλάδος η οποία αποκαλύφθηκε από λάθος των κυβε


Τα μέσα του Ιουλίου του 2020 βγήκε μία είδηση που αφορούσε μία επιχείρηση κυβερνοκατασκοπείας κατά της Ελλάδος η οποία αποκαλύφθηκε από λάθος των κυβερνοκατασκόπων. Η υπόθεση αυτή ξεκινάει με την ιδιωτική εταιρεία IBM η οποία, όπως και οι περισσότερες εταιρείες τεχνολογίας και ασφαλείας πλέον, διαθέτει ένα τμήμα που ασχολείται αποκλειστικά με συλλογή πληροφοριών για απειλές που αφορούν τους ίδιους και τους πελάτες τους. Εις την IBM το τμήμα αυτό ονομάζεται X-Force και βλέπετε μία φωτογραφία από ένα εκ των κέντρων επιχειρήσεων του εδώ.

Πηγή: News.TheOSArc.net

Υπάρχουν κάποιες γνωστές υπηρεσίες κατασκοπείας που δρουν με συγκεκριμένες τακτικές, τεχνικές, και διαδικασίες και έτσι είναι εφικτή η ακολούθηση τους είτε για λόγους αντικατασκοπείας, είτε για γρήγορο εντοπισμό και ειδοποίηση των εταιρειών-θυμάτων τους. Μία εξ’αυτών έχει το κωδικό όνομα APT35 και είναι επίσης γνωστή και ως Newscaster, ITG18, Ajax Security, CHARMING KITTEN, Phosphorous, και NewsBeef σε διάφορες εταιρείες κυβερνοασφάλειας. Η ομάδα αυτή δρα επιβεβαιωμένα τουλάχιστον από το 2011 και φαίνεται να έχει άμεση σχέση με τας υπηρεσίας πληροφοριών του Ιράν. Αυτό διαφαίνεται τόσο από τους στόχους τους που είναι κρατικές υπηρεσίες και ένοπλες δυνάμεις για κλοπή πληροφοριών που αναζητά το Ιράν, όσο και από περιστασιακές αναφορές από επίσημες κρατικές υπηρεσίες διαφόρων κρατών που το έχουν επιβεβαιώσει αυτό.


Πηγή: FireEye.com

Υπάλληλοι της X-Force είχαν εντοπίσει ένα θύμα του APT35, καθότι πελάτης της IBM, που είχε μολυνθεί από κάποιο κακόβουλο λογισμικό υποκλοπών. Καθώς ανέλυαν αυτό το λογισμικό είδαν ότι επικοινωνούσε με έναν εξυπηρετητή για διοίκηση & έλεγχο. Δηλαδή για να λαμβάνει εντολές του τι αρχεία να κλέψει, αλλά και να αποστέλλει ότι αρχεία υποκλέπτει εκεί.


Πηγή: AIJAC.org.au

Καθώς άρχισαν να μελετούν αυτό τον εξυπηρετητή του APT35 είδαν ότι από μία λάθος ρύθμιση του, υπήρχαν εκτεθειμένα κάποια αρχεία βίντεο. Τα αρχεία φαίνεται να αποτελούσαν εγχειρίδια-οδηγούς για νέα στελέχη του APT35 ώστε να μαθαίνουν διάφορες τεχνικές κυβερνοκατασκοπείας. Συνολικά ήταν 40GB από βίντεο με συνολική διάρκεια λίγο λιγότερο από πέντε ώρες. Βλέπετε ένα στιγμιότυπο από αυτά τα βίντεο που έδωσε εις τη δημοσιότητα το τμήμα X-Force της IBM παρακάτω.


Πηγή: ZNNet.com

Η δημόσια δήλωση της υπηρεσίας πληροφοριών του τμήματος X-Force της IBM, μία υπηρεσία που ονομάζεται X-Force IRIS, ήταν η ακόλουθη αναφορικά με το τι ανακάλυψαν σε αυτό τον εκτεθειμένο εξυπηρετητή του APT35 που χρησιμοποιούνταν σε κάποιο θύμα κυβερνοκατασκοπείας το οποίο βοηθούσαν.

«Λόγω επιχειρησιακών λαθών, μία συνηθισμένη λανθασμένη ρύθμιση, από τους υπόπτους, ένας εξυπηρετητής με παραπάνω από 40GB δεδομένων από επιχειρήσεις τους μελετήθηκε και αναλύθηκε από αναλυτές του IRIS του τμήματος X-Force.

Οι ειδικοί εντόπισαν αρκετά αρχεία στον εξυπηρετητή, περίπου πέντε ώρες εκπαιδευτικών βίντεο που είχαν μαγνητοσκοπηθεί από τη συγκεκριμένη ομάδα.

Μερικά εκ των βίντεο έδειχναν πως να υποκλέπτεις δεδομένα (π.χ. επαφές, φωτογραφίες, και αρχεία) από διάφορους διαδικτυακούς λογαριασμούς που σχετίζονταν με υπηρεσίες αποθήκευσης δεδομένων cloud.

Κάποια από τα βίντεο δείχνουν επιτυχημένες επιθέσεις κατά ενός μέλους του πολεμικού ναυτικού των ΗΠΑ και ενός αξιωματικού του Πολεμικού Ναυτικού της Ελλάδος. Οι επιτιθέμενοι συνέλεξαν σημαντικό όγκο πληροφοριών και για τους δύο στόχους.

Η IRIS του X-Force της IBM δεν εντόπισε αποδεικτικά στοιχεία των κωδικών πρόσβασης σε υπηρεσιακά δίκτυα στους δύο αξιωματικούς ενόπλων δυνάμεων, και καμία υπηρεσιακή πληροφορία δε φαίνεται να υπήρχε εκεί. Ωστόσο, είναι πιθανόν οι επιτιθέμενοι να αναζητούσαν συγκεκριμένες πληροφορίες για τους αξιωματικούς ενόπλων δυνάμεων που θα τους επέτρεπαν να επεκτείνουν την επιχείρηση κυβερνοκατασκοπείας τους κατά των ΗΠΑ και του Ελληνικού Πολεμικού Ναυτικού»

Πηγή: ZNNet.com

Η παραπάνω εικόνα που έδωσαν στη δημοσιότητα δείχνει ένα φακέλα που περιείχε υποκλαπέντα στοιχεία για αξιωματικούς του πολεμικού ναυτικού της Ελλάδος και των ενόπλων δυνάμεων των ΗΠΑ από τον εν λόγω εξυπηρετητή του APT35. Η αναφορά επίσης δηλώνει ότι οι πληροφορίες του Έλλην αξιωματικού προέρχονταν από το προσωπικό του λογαριασμό GMail ενώ είχαν υποκλαπεί και δύο σχετιζόμενοι λογαριασμοί από ένα ελληνικό πανεπιστήμιο, και μία ιστοσελίδα πληρωμών του πολεμικού ναυτικού της Ελλάδος. Με απλά λόγια, το APT35 είχε χακάρει προσωπικούς λογαριασμούς τουλάχιστον ενός αξιωματικού του πολεμικού ναυτικού και συνέλεγε πληροφορίες από αυτές τις επικοινωνίες, όπως επίσης και την ιστοσελίδα πληρωμών του πολεμικού ναυτικού. Ωστόσο, δεν είναι δυνατό να εντοπίσει κανείς το κίνητρο βάσει μόνο αυτής της πληροφορίας. Η προσωπική μας υπόθεση, είναι ότι γίνονταν για εντοπισμό αδυναμιών όπως οικονομικές δυσκολίες, προσωπικά ή επαγγελματικά προβλήματα, κτλ. τα οποία μπορεί να εκμεταλλευτεί μία ξένη υπηρεσία για στρατολόγηση ενός ατόμου ως πράκτορα τους για παροχή πληροφοριών ή ακόμα και εκτέλεση δολιοφθορών. Παρακάτω είναι ένα ακόμα στιγμιότυπο που εδόθη εις τη δημοσιότητα.


SecurityIntelligence.com

Το πιο ενδιαφέρον σενάριο που ακούγεται από αρκετά επίσημα στελέχη και πρώην στελέχη των ελληνικών ενόπλων δυνάμεων είναι και εκείνο που εξέφρασε προσφάτως ο αντιστράτηγος εν αποστρατεία, κύριος Ιωάννης Μπαλτζώης εδώ. Όπως αναφέρει, τα θύματα ήταν παραπάνω από ένας αξιωματικός και υπάρχει μεγάλη πιθανότητα αυτή η κατασκοπευτική δράση να ήταν από τη Τουρκία η οποία καθώς δε διαθέτει ικανότητες διενέργειας κυβερνοκατασκοπείας στρέφεται σε στενούς συμμάχους της που είναι ειδικοί σε αυτό το χώρο, όπως είναι για παράδειγμα το Ιράν. Δεν είμεθα εις θέση να εξακριβώσουμε αυτή την υπόθεση αλλά σίγουρα είναι μία ενδιαφέρουσα προσέγγιση που χρίζει περαιτέρω ερεύνης.

Σχόλια