Τεχνολογία

«Θαλάσσια Χελώνα»: Η άγνωστη επίθεση χάκερ σε ελληνικές κυβερνητικές ιστοσελίδες

Ακούστε το άρθρο

Μπορεί τις τελευταίες μέρες οι επιθέσεις Τούρκων χάκερ σε ελληνικές κυβερνητικές ιστοσελίδες να έχουν προκαλέσει έντονη ανησυχία ακόμα και στην ελληνική κυβέρνηση, ωστόσο φαίνεται πως δεν ήταν οι μοναδικές που κλήθηκε να αντιμετωπίσει η χώρα μας τους τελευταίους μήνες.

Αυτό διότι όπως φαίνεται στο στόχαστρο οργανωμένης, διεθνούς εκστρατείας κυβερνοεπιθέσεων με την ονομασία «Θαλάσσια Χελώνα» («Sea Turtle») είχαν βρεθεί τον Απρίλιο του 2019 τουλάχιστον τρεις κυβερνητικές ιστοσελίδες της Ελλάδας.

Σκοπός των χάκερ ήταν να υποκλέψουν προσωπικούς κωδικούς ασφαλείας υπαλλήλων και στη συνέχεια να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα ευαίσθητων υπηρεσιών.

Πώς γινόταν η «επίθεση»

Σύμφωνα με την Καθημερινή, μέσω επιθέσεων τύπου «DNS hijacking» επιχειρούσαν να δημιουργήσουν ιστοσελίδες-αντίγραφα των αυθεντικών, κατευθύνοντας εκεί τους επισκέπτες.

Σε περίπτωση που κάποιος χρήστης πληκτρολογούσε σε αυτές τους κωδικούς ασφαλείας του (όπως για υπηρεσίες email), οι χάκερ μπορούσαν να τους υφαρπάξουν.

Μάλιστα, το Ινστιτούτο Πληροφορικής του Ιδρύματος Τεχνολογίας και Ερευνας (ΙΤΕ-ΙΠ) στο Ηράκλειο Κρήτης, το οποίο είναι υπεύθυνο για την τεχνική υποστήριξη του μητρώου ονομάτων Internet με κατάληξη .gr και .ελ, επιβεβαιώνει ότι είχε δεχθεί κυβερνοεπίθεση.

Όπως ανέφεραν από τη διεύθυνση του ινστιτούτου, η ταυτότητα των επιτιθέμενων δεν τους είναι μέχρι και σήμερα γνωστή. «Διεξάγεται ακόμη έρευνα από την ΕΥΠ για το περιστατικό, δίχως να μας έχει κοινοποιηθεί κάποιο επίσημο αποτέλεσμα» τονίζουν.

Άγνωστες και επικίνδυνες

Σε αντίθεση με τον θόρυβο που προκάλεσαν τα δύο πρόσφατα κρούσματα «συμβολικών» επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσαν για λίγες ώρες εκτός λειτουργίας ελληνικές κυβερνητικές ιστοσελίδες, όπως αυτές του πρωθυπουργού και της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, η εκστρατεία «Θαλάσσια Χελώνα» δεν είχε απασχολήσει τη δημοσιότητα, ενώ είναι και αρκετά επικίνδυνη.

Μάλιστα, σύμφωνα με την Καθημερινή, για μεγάλες διεθνείς εταιρείες, οι οποίες ειδικεύονται σε θέματα ασφαλείας δικτύου, οι επιθέσεις του Απριλίου ήταν ιδιαίτερα σοβαρές και είχαν τα χαρακτηριστικά κυβερνοκατασκοπείας.

Το κύμα των επιθέσεων

Στις 19 Απριλίου 2019 στάλθηκε μήνυμα σε διαχειριστές ιστοσελίδων με τις καταλήξεις .gr και .ελ το οποίο τους ενημέρωνε για τις κακόβουλες ενέργειες.

«Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεαστεί αρνητικά η λειτουργία των μητρώων ονομάτων του Διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα» ανέφερε το μήνυμα.

Οι ερευνητές της Cisco (μέλη της ομάδας με την ονομασία «Talos») διαπίστωσαν ότι οι χάκερ διατήρησαν πρόσβαση για πέντε ημέρες, τουλάχιστον μέχρι τις 24 Απριλίου 2019 στο δίκτυο του ΙΤΕ-ΙΠ. Από τη διοίκηση του Ινστιτούτου Πληροφορικής ανέφεραν στην Καθημερινή ότι οι επιθέσεις αντιμετωπίστηκαν γρήγορα, επιδιορθώθηκε οποιοδήποτε τρωτό σημείο και αναβαθμίστηκαν τα συστήματα ασφαλείας.

Σύμφωνα με τις διαπιστώσεις της ομάδας ειδικών ασφαλείας της αμερικανικής εταιρείας Cisco, οι χάκερ κατοχύρωσαν στις 5 Απριλίου 2019 το domain rootdnserves.com, το οποίο χρησιμοποιήσαν για επιθέσεις κατά τριών ελληνικών κυβερνητικών ιστοσελίδων με την κατάληξη .gr. Πιθανότατα, σύμφωνα με τους ειδικούς της Cisco, οι χάκερ κατάφεραν να «κλωνοποιήσουν» αυτές τις ιστοσελίδες έχοντας αποκτήσει πρόσβαση στο δίκτυο του ΙΤΕ-ΙΠ.

Από που έγιναν οι επιθέσεις χάκερ

Η αμερικανική εταιρεία FireEye είχε αποδώσει παρόμοια κρούσματα «DNS hijacking» κατά άλλων χωρών σε Ιρανούς χάκερ. Το πρώτο κύμα αυτών των επιθέσεων καταγράφηκε στα τέλη του 2018 και στις αρχές του 2019 με στόχους κυρίως στη Μέση Ανατολή και στη Βόρεια Αφρική. Οι επιτιθέμενοι στρέφονταν αρχικά εναντίον κρατικών μυστικών υπηρεσιών, υπουργείων Εξωτερικών και εταιρειών από τον κλάδο της ενέργειας. Δευτερεύοντες στόχοι τους ήταν εταιρείες τηλεπικοινωνιών καθώς και πάροχοι υπηρεσιών Διαδικτύου. Τα πρώτα κρούσματα εντοπίστηκαν μεταξύ άλλων σε Συρία, Ιράκ, Ιορδανία, Λιβύη και Αίγυπτο. Η Ελλάδα φαίνεται ότι βρέθηκε στο κάδρο των χάκερ τον Απρίλιο του 2019.

Παρά την αρχική εκτίμηση της εταιρείας FireEye για την ταυτότητα των δραστών, αρμόδιοι Ελληνες αξιωματούχοι δεν φαίνεται να θεωρούν πιθανό ότι πίσω από την εκστρατεία «Θαλάσσια Χελώνα» βρίσκεται το Ιράν.

Μάλιστα, πρόσφατα, το ειδησεογραφικό πρακτορείο Reuters απέδωσε σε Τούρκους χάκερ παρόμοιες επιθέσεις που σημειώθηκαν την ίδια περίοδο κατά της Ελλάδας, της Κύπρου, της Αλβανίας και του Ιράκ.

Το δημοσίευμα του Reuters, επικαλούμενο έναν Αμερικανό και δύο Βρετανούς αξιωματούχους, ανέφερε ότι οι επιθέσεις είχαν σκοπό την προώθηση των τουρκικών συμφερόντων. Οι αξιωματούχοι βάσισαν τα συμπεράσματά τους μεταξύ άλλων και σε απόρρητο υλικό που απέφυγαν να αποκαλύψουν.

Οι ερευνητές της Cisco είχαν διαπιστώσει ότι τουλάχιστον 40 διαφορετικοί οργανισμοί σε 13 χώρες είχαν πληγεί από τις κυβερνοεπιθέσεις στο πρώτο κύμα της «Θαλάσσιας Χελώνας». Ενδεικτικό του μεγέθους της απειλής είναι ότι στις 22 Ιανουαρίου 2019 το υπουργείο Εσωτερικών των ΗΠΑ εξέδωσε σχετική προειδοποίηση για τον κίνδυνο αυτών των επιθέσεων.

via

Όλη η επικαιρότητα