“Το ανάλογο αξίωμα της κοινωνικής μηχανικής είναι: Αν κάτι δεν έχει αναφερθεί, δεν συνέβη ποτέ”

Η Αντίληψη είναι το παν, η πραγματικότητα έρχεται δεύτερη!....

Αριστοτέλης: "εάν το πλήθος είναι δουλόφρον («ανδραποδώδες») ή μη δουλόφρον, εξαρτάται από την μόρφωση και την παιδεία"

Κυριακή, 11 Ιουνίου 2017

NSA: Παραβιάσεις στην Otenet

"ΙΣΧΥΣ"

Σε αυτό το άρθρο θα δούμε ένα χαρακτηριστικό αρχείο που αποδεικνύει ότι η NSA είχε (και πιθανότατα συνεχίζει να έχει) πρόσβαση σε κρίσιμες υποδομές του παρόχου Otenet.

Η άγνωστη ομάδα χάκερ «Shadow Brokers» που εικάζεται ότι είναι η ρωσική υπηρεσία πληροφοριών GRU (Гла́вное разве́дывательное управле́ние, Κεντρική Υπηρεσία Πληροφοριών), είχε διαρρεύσει πριν από μερικούς μήνες μία σειρά από εσωτερικές πληροφορίες μίας άλλης ομάδας χάκερ με το κωδικό όνομα «Equation Group» η οποία αργότερα αποδείχθηκε ότι ήταν η αμερικανική υπηρεσία NSA (National Security Agency, Εθνική Υπηρεσία Ασφαλείας). Στην προσπάθεια των «Shadow Brokers» να αποδείξουν ότι τα εργαλεία της NSA που διαρρέουν κατά καιρούς είναι πραγματικά, είχαν διαρρεύσει και μία σύντομη λίστα με συστήματα κρίσιμων υποδομών από διάφορες χώρες αλλά και από το διεθνές τραπεζικό δίκτυο συναλλαγών SWIFT που δείχνουν ότι η NSA είχε πρόσβαση σε αυτά με στοιχεία. Εκεί υπήρχαν και κάποια κρίσιμα συστήματα της εταιρίας Otenet και αυτό θα δούμε σε αυτό το άρθρο.

Στις 31 Οκτωβρίου του 2016 η ομάδα «Shadow Brokers» (εικάζεται ότι είναι η GRU) διέρρευσε στο διαδίκτυο μία συλλογή από στοιχεία συστημάτων τα οποία η ομάδα «Equation Group» (δηλαδή η NSA) χρησιμοποιούσε για χρόνια. Μάλιστα, δεν ήταν μία απλή λίστα αλλά είχε μέσα και λεπτομέρειες για τα εργαλεία πρόσβασης που χρησιμοποιεί η ομάδα «Equation Group» για να διατηρεί τη πρόσβαση της σε αυτά τα συστήματα. Ο τρόπος διαρροής ήταν ως αρχεία ρυθμίσεων του προγράμματος PITCHIMPAIR της NSA. 


Σύμφωνα με την ομάδα «Shadow Brokers» που έκανε τη διαρροή, το πρόγραμμα PITCHIMPAIR είναι ένα σύστημα ανακατεύθυνσης της NSA ώστε να χρησιμοποιεί διάφορα συστήματα για να φαίνεται ότι οι επιθέσεις προήλθαν από εκεί αλλά και για κρυφή πρόσβαση σε αυτά τα συστήματα. Αυτό που τραβάει αμέσως τη προσοχή στη διαρροή είναι ο φάκελος pitchimpair/electra.otenet.gr___195.170.2.3. Το πρώτο μέρος του ονόματος του φακέλου είναι το όνομα του συστήματος (electra.otenet.gr) και το δεύτερο είναι η μοναδική διεύθυνση IP του (195.170.2.3). Ωστόσο, δε γνωρίζουμε σε τι ακριβώς χρησιμοποιείται αυτός ο εξυπηρετητής της Otenet στον οποίο έχει πρόσβαση η NSA.

Μέσα στο φάκελο αυτό, βρίσκουμε πέντε αρχεία. Κάθε ένα από αυτά τα αρχεία αντιστοιχεί σε ένα διαφορετικό πρόγραμμα εκμετάλλευσης της NSA. Πρακτικά, αυτό σημαίνει ότι από το πρόγραμμα PITCHIMPAIR ο τεχνικός της NSA επιλέγει το στόχο, για παράδειγμα electra.otenet.gr, και έπειτα μπορεί να διαλέξει με ποια μέθοδο θέλει να συνδεθεί στο σύστημα. Ανάλογα με το τι θα επιλέξει, θα φορτωθεί το αντίστοιχο αρχείο ρυθμίσεων από τα παραπάνω. Βάση των μέχρι σήμερα γνωστών πληροφοριών, ακολουθεί μία σύντομη επεξήγηση αυτών των προγραμμάτων.

  • DEWDROP: Κρυμμένο λογισμικό τύπου rootkit που τρέχει το μολυσμένο σύστημα και επιτρέπει απομακρυσμένη διαχείριση.
  • INCISION: Κρυμμένο λογισμικό τύπου rootkit που τρέχει το μολυσμένο σύστημα και επιτρέπει απομακρυσμένη διαχείριση.
  • JACKLADDER: Πρόγραμμα κρυφής απομακρυσμένης διαχείρισης.
  • ORANGUTAN: Κρυμμένο λογισμικό τύπου rootkit για λειτουργικά συστήματα Solaris που τρέχει το μολυσμένο σύστημα και επιτρέπει απομακρυσμένη διαχείριση.
  • PATCHICILLIN: Άγνωστο
Εάν δούμε για παράδειγμα το αρχείο ρυθμίσεων PITCHIMPAIR για το πρόγραμμα DEWDROP σχετικά με το «στόχο» electra.otenet.gr τότε θα δούμε μία σχετικά απλή δομή. Στη πρώτη γραμμή είναι το όνομα του προγράμματος, το όνομα του στόχου, η διεύθυνση IP του στόχου, και η ημερομηνία και ώρα της πρώτης πρόσβασης στο στόχο. Η επόμενη γραμμή αναφέρει το πρόγραμμα εκμετάλλευσης που χρησιμοποιείται μαζί με την έκδοση του (παρακάτω είναι η έκδοση 1.0.1.1 του DEWDROP) και αμέσως μετά περιγράφει το λειτουργικό σύστημα που έχει ο στόχος (σε αυτό το παράδειγμα είναι Sun Solaris SPARC 2.8). Στη τελευταία γραμμή είναι ο ορισμός της μεταβλητής CV που σε αυτή τη περίπτωση δεν έχει κάποιο κλειδί κρυπτογράφησης.
PITCHIMPAIR___electra.otenet.gr___195.170.2.3___20060117-111026() { ## DEWDROP Version:1.0.1.1 OS:sparc-sun-solaris2.8 export CV="NOT KEYED" }

Το πρόγραμμα JACKLADDER έχει αρκετά παρόμοιες ρυθμίσεις, απλώς διαφέρει στο ότι ορίζει ότι έχει εγκατασταθεί το πρόγραμμα JACKLADDER 2.0 στον εξυπηρετητή electra.otenet.gr. Βλέπετε το σχετικό αρχείο ρυθμίσεων εδώ.
PITCHIMPAIR___electra.otenet.gr___195.170.2.3___20060117-111026() { ## JACKLADDER Version:2.0 OS:sparc-sun-solaris2.8 export CV="NOT KEYED" }

Μεγαλύτερο ενδιαφέρον έχει το πρόγραμμα INCISION που στη συγκεκριμένη περίπτωση είναι εγκατεστημένη η έκδοση 4.10.2.15 του. Αυτό που έχει ενδιαφέρον είναι ότι έχει μία διαφορετική μεταβλητή, τη μεταβλητή TARG_AYT η οποία όπως διαβάζουμε από τις διαρροές των «Shadow Brokers», περιλαμβάνει ένα μοναδικό κωδικό που ενεργοποιεί την απομακρυσμένη πρόσβαση μέσω ενός πακέτου του πρωτοκόλλου DNS. Με απλά λόγια, ο τεχνικός της NSA ζητάει από τον εξυπηρετητή electra.otenet.gr να του πει που βρίσκεται κάποια διεύθυνση, όπως για παράδειγμα το google.com έχοντας αυτό το μοναδικό κωδικό μέσα στο αίτημα. Όταν το INCISION δει τον κωδικό αυτό αμέσως ενεργοποιείται και δίνει πρόσβαση στο τεχνικό της NSA όπως αυτός το έχει ρυθμίσει.
PITCHIMPAIR___electra.otenet.gr___195.170.2.3___20060117-111026() { ## INCISION Version:4.10.2.15 OS:sparc-sun-solaris2.8 export TARG_AYT="fafcdfec 8a830c16 2167276d" }

Τα αρχεία ρυθμίσεων των ORANGUTAN και PATCHICILLIN επίσης ορίζουν κάποιους μοναδικούς κωδικούς αλλά δυστυχώς, δε γνωρίζουμε σε τι ακριβώς χρησιμοποιούνται βάση των μέχρι σήμερα γνωστών στοιχείων.
  • PITCHIMPAIR___electra.otenet.gr___195.170.2.3___20060117-111026() { ## ORANGUTAN Version:1.6.1 OS:sparc-sun-solaris2.8 export CONFIG_KEYS="dda77d5b 463f40ec 30270967" } PITCHIMPAIR___electra.otenet.gr___195.170.2.3___20060117-111026() { ## PATCHICILLIN Version:1.1.2.1 OS:sparc-sun-solaris2.8 export CV="04ae87a7 a3c5b8f4 a36e3e67" } 
Αξίζει να αναφέρουμε ότι όλα τα προγράμματα έχουν την ίδια ημερομηνία και ώρα αρχικής πρόσβασης. Για την ακρίβεια, είναι 17 Ιανουαρίου 2006 και ώρα 11:10:26. Αυτό δείχνει ότι μάλλον τότε οι τεχνικοί της NSA πήραν πρόσβαση στο σύστημα και εγκατέστησαν όλα αυτά τα μέσα απομακρυσμένης πρόσβασης ώστε να έχουν αρκετές εναλλακτικές εάν κάποιο από αυτά πάψει να λειτουργεί. Θα μπορούσε κανείς να θεωρήσει ότι η παραβίαση του εξυπηρετητή electra.otenet.gr ίσως να ήταν ένα ατυχές μεμονωμένο περιστατικό. Όμως δύο μήνες πριν υπήρξε μία νέα διαρροή από την ομάδα «Shadow Brokers» για την αμερικανική υπηρεσία NSA και εκεί είδαμε ένα ακόμα πιο κρίσιμο εξυπηρετητή της Otenet. Συγκεκριμένα ήταν στο φάκελο Linux/bin/varkeys/pitchimpair/ns2.otenet.gr___195.170.2.1 και είναι, όπως φαίνεται και από το όνομα του, για το ns2.otenet.gr (με μοναδική διεύθυνση IP 195.170.2.1). Με απλά λόγια, έναν από τους βασικούς εξυπηρετητές που χρησιμοποιούν όλοι οι συνδρομητές της Otenet για να τους λέει που πρέπει να συνδεθούν για να δουν τις σελίδες που επισκέπτονται. Εκεί βλέπουμε τρία αρχεία ρυθμίσεων. Ένα για το INCISION, ένα για το ORANGUTAN, και ένα για το SIDETRACK που είναι η πρώτη φορά που το βλέπουμε.

Μελετώντας όλα τα αρχεία διαρροών (και πιο συγκεκριμένα το αρχείο Linux/bin/pyside/sidetrack.py), μπορούμε να καταλήξουμε με μεγάλη αυτοπεποίθηση ότι το SIDETRACK της NSA είναι πρόγραμμα για κρυφή επικοινωνία και απομακρυσμένη πρόσβαση μέσω το πρωτοκόλλου DNS (θα κάνουμε εκτενή ανάλυση του σε μελλοντικό άρθρο).

Ξεκινώντας από το INCISION, αυτό που μας τράβηξε τη προσοχή ήταν ότι αφορά μία παλαιότερη μόλυνση του ns2.otenet.gr. Βλέπετε το αρχείο παρακάτω.
PITCHIMPAIR___ns2.otenet.gr___195.170.2.1___20020513-135956() { ## INCISION Version:4.8.2 OS:sparc-sun-solaris2.8 export TARG_AYT="06016d21 6c0b9610 e153452a" } 

Όπως μπορείτε να δείτε, αφορά την έκδοση 4.8.2 (ενώ ο εξυπηρετητής electra.otenet.gr είχε την έκδοση 4.10.2.15) και επίσης, η αρχική ημερομηνία παραβίασης είναι 13 Μαΐου 2002 και ώρα 13:59:56. Από αυτό μπορούμε εύκολα να καταλάβουμε ότι παρότι αυτή η διαρροή έγινε δεύτερη, αφορά παλαιότερες επιχειρήσεις της NSA.

Το ίδιο παρατηρούμε και στο πρόγραμμα ORANGUTAN όπως βλέπετε και μόνοι σας εδώ.
PITCHIMPAIR___ns2.otenet.gr___195.170.2.1___20020513-135956() { ## ORANGUTAN Version:1.4 OS:sparc-sun-solaris2.8 export CONFIG_KEYS="a913acb1 e5a0d1fd 99418b79" }

Τέλος, στο άγνωστο μέχρι τώρα SIDETRACK βλέπουμε τα ίδια στοιχεία. Το περιεχόμενο της μεταβλητής CV χρησιμοποιείται ως κλειδί κρυπτογράφησης της επικοινωνίας που κάνει το πρόγραμμα SIDETRACK κρυμμένο μέσα σε φαινομενικά φυσιολογικά πακέτα δεδομένων DNS.
PITCHIMPAIR___ns2.otenet.gr___195.170.2.1___20020606-151104() { ## SIDETRACK Version:2.0 OS:sparc-sun-solaris2.8 export CV="dfe4e4b8 ef2ae65c 252f7eb4 1f892b8b" }

Δεν είμαστε σε θέση να γνωρίζουμε εάν η NSA των ΗΠΑ έχει ακόμα πρόσβαση στις κρίσιμες υποδομές της εταιρίας Otenet αλλά σίγουρα το παραπάνω είναι αρκετά ανησυχητικό. Επιπρόσθετα, εάν υποθέσουμε ότι οι εικασίες είναι αληθινές και η ομάδα «Shadow Brokers» είναι πράγματι στελέχη της ρωσικής GRU, τότε σημαίνει ότι και αυτοί είχαν πρόσβαση στα ίδια συστήματα τουλάχιστον για χρόνια προτού κάνουν αυτές τις αποκαλύψεις.

https://defensegr.wordpress.com/2017/06/08/nsa-parabiaseis-sthn-otenet/

ΤΑ ΑΡΧΕΙΑ ΕΔΩ:

https://home.nuug.no/~peter/trickortreat/pitchimpair/electra.otenet.gr___195.170.2.3/

ΣΧΟΛΙΟ "ΙΣΧΥΣ": ΠΟΙΟΣ ΘΑ ΑΣΧΟΛΗΘΕΙ ΜΕ ΟΛΑ ΑΥΤΑ; ΕΧΟΥΜΕ ΤΗΝ ΕΝΤΥΠΩΣΗ ΠΩΣ ΑΥΤΕΣ ΟΙ IP ΑΝΤΙΣΤΟΙΧΟΥΝ ΣΤΟ ΠΑΡΑΧΩΡΗΜΕΝΟ ΑΠΟ ΤΟΝ ΟΤΕ ΤΜΗΜΑ ΔΙΚΤΥΟΥ ΤΟΥ, ΣΤΑ ΠΑΝΕΠΙΣΤΗΜΙΑ. ΔΕΝ ΓΝΩΡΙΖΟΥΜΕ ΠΟΙΟΣ ΕΧΕΙ ΤΗΝ ΕΥΘΥΝΗ ΣΥΝΤΗΡΗΣΗΣ ΚΑΙ ΠΡΟΣΤΑΣΙΑΣ ΤΟΥ. ΘΥΜΙΖΟΥΜΕ ΠΩΣ ΠΑΝΩ ΑΠΟ ΔΥΟ ΦΟΡΕΣ ΕΧΟΥΜΕ ΠΡΟΤΕΙΝΕΙ ΤΗΝ ΧΡΗΣΗ ΑΛΛΩΝ DNS SERVERS, ΔΙΑΦΟΡΕΤΙΚΟΥΣ ΑΠΟ ΤΟΥΣ ΑΝΤΙΣΤΟΙΧΟΥΣ ΤΟΥ ΠΑΡΟΧΟΥ. ΕΠΙΣΗΣ ΠΟΛΛΕΣ ΦΟΡΕΣ ΕΧΟΥΜΕ ΑΝΑΦΕΡΕΙ ΠΩΣ ΣΤΗΝ ΕΛΛΑΔΑ ΟΠΟΙΟΣ ΞΕΡΕΙ ΚΑΙ ΘΕΛΕΙ, ΚΑΝΕΙ ΟΤΙ ΘΕΛΕΙ ΚΑΙ ΟΠΟΥ ΤΟ ΘΕΛΕΙ. ΑΠΛΑ ΔΕΝ ΥΠΑΡΧΕΙ ΟΥΤΕ ΥΠΟΝΟΙΑ ΨΗΦΙΑΚΗΣ ΑΣΦΑΛΕΙΑΣ ΣΕ ΚΑΝΕΝΑ ΕΠΙΠΕΔΟ. ΟΥΤΕ ΚΑΝ ΣΕ ΚΡΙΣΙΜΟΥΣ ΤΟΜΕΙΣ. ΟΣΟ ΓΙΑ ΤΑ ΔΗΘΕΝ ΠΡΟΣΤΑΤΕΥΜΕΝΑ ΑΡΧΕΙΑ ΟΛΩΝ ΤΩΝ ΠΑΡΟΧΩΝ, ΕΙΝΑΙ ΑΣΤΕΙΑ ΚΑΙ Η ΠΡΟΣΤΑΣΙΑ ΚΑΙ Η ΚΡΥΠΤΟΓΡΑΦΗΣΗ ΤΟΥΣ.

http://dia-kosmos.blogspot.gr/
Share:

Τυχαίες Αναρτήσεις

Labels

Blog Archive

Αναγνώστες

About

Διά-Κόσμος