Μια νέα κακόβουλη δραστηριότητα Google Search στοχεύει σε χρήστες που επιθυμούν να κατεβάσουν το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++, χρησιμοποιώντας προηγμένες τεχνικές για να αποφύγουν την ανίχνευση και την ανάλυση.
Οι φορείς απειλών κάνουν όλο και περισσότερο κατάχρηση των διαφημίσεων Google σε κακόβουλες καμπάνιες για την προώθηση ψεύτικων ιστότοπων λογισμικού που διανέμουν κακόβουλο λογισμικό.
Σύμφωνα με τη Malwarebytes, η οποία εντόπισε την κακόβουλη διαφημιστική καμπάνια Notepad++, ήταν ζωντανή εδώ και αρκετούς μήνες, αλλά κατάφερε να περάσει κάτω από το ραντάρ όλο αυτό το διάστημα.
Το τελικό ωφέλιμο φορτίο που παραδίδεται στα θύματα είναι άγνωστο, αλλά η Malwarebytes λέει ότι πιθανότατα πρόκειται για το Cobalt Strike, το οποίο συνήθως προηγείται των ιδιαίτερα επιζήμιων αναπτύξεων ransomware.
Κατάχρηση διαφημίσεων της Google
Το κακόβουλο Notepad++ προωθεί διευθύνσεις URL που είναι προφανώς άσχετες με το πρόγραμμα λογισμικού, αλλά χρησιμοποιούν παραπλανητικούς τίτλους που εμφανίζονται στις διαφημίσεις αποτελεσμάτων αναζήτησης της Google.
Αυτή η στρατηγική SEO χρησιμοποιείται σε μεγάλο βαθμό σε αυτή την περίπτωση, και δεδομένου ότι οι τίτλοι είναι πολύ μεγαλύτεροι και πιο ορατοί από τις διευθύνσεις URL, πολλοί άνθρωποι είναι πιθανό να πέσουν στην παγίδα.
Μόλις τα θύματα κάνουν κλικ σε κάποια από τις διαφημίσεις, ένα βήμα ανακατεύθυνσης ελέγχει την IP τους για να φιλτράρει τους χρήστες που πιθανόν να είναι crawlers, VPN, bots κ.λπ. και τους οδηγεί σε έναν ιστότοπο δόλωμα που δεν ρίχνει τίποτα κακόβουλο.
Αντίθετα, οι νόμιμοι στόχοι ανακατευθύνονται στο “notepadxtreme[.]com”, το οποίο μιμείται τον πραγματικό ιστότοπο του Notepad++, με συνδέσμους λήψης για διάφορες εκδόσεις του επεξεργαστή κειμένου.
Όταν οι επισκέπτες κάνουν κλικ σε αυτούς τους συνδέσμους, εκτελείται ένας δεύτερος έλεγχος δακτυλικών αποτυπωμάτων συστήματος από ένα τμήμα JavaScript για να επικυρωθεί ότι δεν υπάρχουν ανωμαλίες ή ενδείξεις ότι ο επισκέπτης χρησιμοποιεί ένα sandbox.
Στα θύματα που χαρακτηρίζονται ως κατάλληλοι στόχοι σερβίρεται στη συνέχεια μια δέσμη ενεργειών HTA, στην οποία αποδίδεται ένα μοναδικό αναγνωριστικό, το οποίο πιθανότατα επιτρέπει στους επιτιθέμενους να παρακολουθούν τις μολύνσεις τους. Αυτό το ωφέλιμο φορτίο σερβίρεται μόνο μία φορά ανά θύμα, οπότε μια δεύτερη επίσκεψη οδηγεί σε σφάλμα 404.
Η εξέταση του HTA από το Malwarebytes δεν παρήγαγε χρήσιμες πληροφορίες λόγω του ότι δεν ήταν οπλισμένο εκείνη τη στιγμή, αλλά οι αναλυτές βρήκαν το ίδιο αρχείο σε ένα VirusTotal upload από τον Ιούλιο.
Αυτό το αρχείο προσπάθησε να συνδεθεί σε έναν απομακρυσμένο τομέα σε μια προσαρμοσμένη θύρα, με τους ερευνητές να πιστεύουν ότι ήταν πιθανότατα μέρος μιας ανάπτυξης του Cobalt Strike.
Για να αποφύγετε τη λήψη κακόβουλου λογισμικού όταν αναζητάτε συγκεκριμένα εργαλεία λογισμικού, παραλείψτε τα προωθημένα αποτελέσματα στην Αναζήτηση Google και ελέγξτε ξανά ότι έχετε προσγειωθεί στον επίσημο τομέα.
Αν δεν είστε σίγουροι για τον πραγματικό ιστότοπο του προγράμματος, ελέγξτε τη σελίδα “Σχετικά”, την τεκμηρίωση, τη σελίδα της Wikipedia και τα επίσημα κανάλια κοινωνικής δικτύωσης.
Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας της libwebp, η οποία αξιοποιήθηκε ως zero-day σε επιθέσεις και επιδιορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, που εντοπίστηκε ως CVE-2023-4863, αντί να το αποδώσει στη βιβλιοθήκη libwebp ανοικτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το σφάλμα μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and Architecture (SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο την Τετάρτη 6 Σεπτεμβρίου και διορθώθηκε από την Google λιγότερο από μια εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας του Citizen Lab έχουν καθιερωμένο ιστορικό στον εντοπισμό και την αποκάλυψη zero-day που έχουν γίνει αντικείμενο κατάχρησης σε στοχευμένες εκστρατείες κατασκοπευτικού λογισμικού, οι οποίες συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να χαρακτηριστεί ως σφάλμα του Chrome προκάλεσε σύγχυση στην κοινότητα της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως πρόβλημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα στο libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064 που αντιμετωπίστηκε από την Apple στις 7 Σεπτεμβρίου και χρησιμοποιήθηκε καταχρηστικά ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (που ονομάστηκε BLASTPASS) για τη μόλυνση πλήρως επιδιορθωμένων iPhones με το εμπορικό spyware Pegasus της NSO Group.
Νέο CVE υψηλής σοβαρότητας
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE, το CVE-2023-5129, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στη libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοικτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα της libwebp και αφορά μια υπερχείλιση buffer σωρού στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman που χρησιμοποιείται από τη libwebp για συμπίεση χωρίς απώλειες και επιτρέπει στους επιτιθέμενους να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας κακόβουλα διαμορφωμένες σελίδες HTML.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από συντριβές έως εκτέλεση αυθαίρετου κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η επαναταξινόμηση του CVE-2023-5129 ως ευπάθεια της libwebp έχει ιδιαίτερη σημασία λόγω του ότι αρχικά πέρασε απαρατήρητη ως πιθανή απειλή για την ασφάλεια πολλών έργων που χρησιμοποιούν τη libwebp, συμπεριλαμβανομένων των 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera και των εγγενών προγραμμάτων περιήγησης ιστού Android.
Η αναθεωρημένη κρίσιμη αξιολόγηση υπογραμμίζει τη σημασία της άμεσης αντιμετώπισης της ευπάθειας ασφαλείας (που τώρα παρακολουθείται με πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε όλες αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Ασφαλής χρήση των συστημάτων ιστοσελίδων κοινωνικής δικτύωσης
Δενπρέπει να λέτε σε κανέναν τον κωδικό πρόσβασης τουεικονικούσαςπροφίλ. Όποιος έχει πρόσβαση στο προφίλ σας έχειπλήρηέλεγχοτωνδεδομένωνπου εμφανίζονται στοπροφίλ σας.
Μην βάζετεφωτογραφίες στο προφίλ σας πουδείχνουνξεκάθαρατηντοποθεσία σας(ιδίωςτο σπίτι σας, το σχολείο σας ή μέρη που συχνάζετε). Είναιλιγότεροπιθανόνασας βρουνστηφύση.
Εάνλάβετε ένα προσβλητικό ή ανεπιθύμητο μήνυμα, αναφέρετέ το στηδιαδικασίακαταγγελιών τουιστότοπου κοινωνικής δικτύωσης που χρησιμοποιείτε ή στη Safeline. Συνήθως εκφράζεται με τη λέξη “αναφορά”.
Έχετεπάντα κατάνου ότι οι πληροφορίες που δημοσιεύετε στουςιστότοπους κοινωνικής δικτύωσης είναι ευρέως προσβάσιμες.Ακόμηκαι ανδιαγράψετε το προφίλ σας, πολλές από τις πληροφορίες δεν θααφαιρεθούν και μπορείνασυνεχίσουν να είναιδιαθέσιμεςαλλού στο Διαδίκτυο.
Λάβετευπόψη ότι ότανπροσθέτετεκάποιονστη λίστα φίλων σας (ότανεπιβεβαιώνετεένααίτημαφιλίας), το άτομο αυτό μπορείνα έχει πρόσβαση στα προσωπικά σαςδεδομένα,όπωςηφωτογραφίασαςκαιταστοιχείαεπικοινωνίαςπουεμφανίζονταιστοπροφίλσας.
Αφούδημιουργήσετετο εικονικό σας προφίλ,πρέπει να μεταβείτε στο μενού ρυθμίσεων απορρήτουκαι να αλλάξετε τις προεπιλεγμένες ρυθμίσεις.
Πάνω από 40.000 λογαριασμοί διαχείρισης χρησιμοποιούν τον κωδικό πρόσβασης “admin”.
Οι ερευνητές ασφαλείας διαπίστωσαν ότι οι διαχειριστές πληροφορικής χρησιμοποιούν δεκάδες χιλιάδες αδύναμους κωδικούς πρόσβασης για την προστασία της πρόσβασης στις πύλες, αφήνοντας την πόρτα ανοιχτή σε κυβερνοεπιθέσεις στα δίκτυα των επιχειρήσεων.
Από τα περισσότερα από 1,8 εκατομμύρια διαπιστευτήρια διαχειριστών που αναλύθηκαν, πάνω από 40.000 καταχωρήσεις ήταν “admin”, γεγονός που δείχνει ότι ο προεπιλεγμένος κωδικός πρόσβασης είναι ευρέως αποδεκτός από τους διαχειριστές πληροφορικής.
Προεπιλεγμένοι και αδύναμοι κωδικοί πρόσβασης
Τα δεδομένα ελέγχου ταυτότητας συλλέχθηκαν μεταξύ Ιανουαρίου και Σεπτεμβρίου του τρέχοντος έτους μέσω του Threat Compass, μιας λύσης πληροφοριών απειλών της εταιρείας κυβερνοασφάλειας Outpost24.
Η Outpost24 αναφέρει ότι τα διαπιστευτήρια ελέγχου ταυτότητας προέρχονται από κακόβουλο λογισμικό κλοπής πληροφοριών, το οποίο συνήθως στοχεύει εφαρμογές που αποθηκεύουν ονόματα χρηστών και κωδικούς πρόσβασης.
Παρόλο που τα δεδομένα που συλλέχθηκαν δεν ήταν σε απλό κείμενο, οι ερευνητές λένε ότι “οι περισσότεροι από τους κωδικούς πρόσβασης στη λίστα μας θα μπορούσαν εύκολα να έχουν μαντέψει σε μια μάλλον μη εξελιγμένη επίθεση μαντείας κωδικών πρόσβασης”.
Ανάλογα με το σκοπό της, μια πύλη διαχειριστή μπορεί να παρέχει πρόσβαση σχετικά με τη διαμόρφωση, τους λογαριασμούς και τις ρυθμίσεις ασφαλείας. Θα μπορούσε επίσης να επιτρέπει την παρακολούθηση πελατών και παραγγελιών ή να παρέχει ένα μέσο για λειτουργίες δημιουργίας, ανάγνωσης, ενημέρωσης, διαγραφής (CRUD) για βάσεις δεδομένων.
Μετά την ανάλυση της συλλογής διαπιστευτηρίων ελέγχου ταυτότητας για πύλες διαχείρισης, η Outpost24 δημιούργησε μια λίστα με τα 20 πιο αδύναμα διαπιστευτήρια ελέγχου ταυτότητας:
01.
admin
11.
demo
02.
123456
12.
root
03.
12345678
13.
123123
04.
1234
14.
admin@123
05.
Password
15.
123456aA@
06.
123
16.
01031974
07.
12345
17.
Admin@123
08.
admin123
18.
111111
09.
123456789
19.
admin1234
10.
adminisp
20.
admin1
Οι ερευνητές προειδοποιούν ότι αν και οι παραπάνω καταχωρήσεις “περιορίζονται σε γνωστούς και προβλέψιμους κωδικούς πρόσβασης”, σχετίζονται με πύλες διαχείρισης και οι φορείς απειλών στοχεύουν σε προνομιούχους χρήστες.
Η υπεράσπιση του εταιρικού δικτύου ξεκινά με την εφαρμογή βασικών αρχών ασφαλείας, όπως η χρήση μεγάλων, ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό, ειδικά για τους χρήστες με πρόσβαση σε ευαίσθητους πόρους.
Για να είστε ασφαλείς από κακόβουλο λογισμικό που κλέβει πληροφορίες, η Outpost24 συνιστά τη χρήση μιας λύσης απόκρισης τελικού σημείου και ανίχνευσης, την απενεργοποίηση των επιλογών αποθήκευσης κωδικού πρόσβασης και αυτόματης συμπλήρωσης στα προγράμματα περιήγησης στο διαδίκτυο, τον έλεγχο των τομέων όταν γίνεται ανακατεύθυνση και την απομάκρυνση από σπασμένο λογισμικό.
Οι ερευνητές προειδοποιούν ότι αν και οι παραπάνω καταχωρήσεις “περιορίζονται σε γνωστούς και προβλέψιμους κωδικούς πρόσβασης”, σχετίζονται με πύλες διαχείρισης και οι φορείς απειλών στοχεύουν σε προνομιούχους χρήστες.
Η υπεράσπιση του εταιρικού δικτύου ξεκινά με την εφαρμογή βασικών αρχών ασφαλείας, όπως η χρήση μεγάλων, ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό, ειδικά για τους χρήστες με πρόσβαση σε ευαίσθητους πόρους.
Για να είστε ασφαλείς από κακόβουλο λογισμικό που κλέβει πληροφορίες, η Outpost24 συνιστά τη χρήση μιας λύσης απόκρισης τελικού σημείου και ανίχνευσης, την απενεργοποίηση των επιλογών αποθήκευσης κωδικού πρόσβασης και αυτόματης συμπλήρωσης στα προγράμματα περιήγησης στο διαδίκτυο, τον έλεγχο των τομέων όταν γίνεται ανακατεύθυνση και την απομάκρυνση από σπασμένο λογισμικό.
Data Breach για εκατομμύρια χρήστες κινητής τηλεφωνίας
Οι χάκερς κάνουν πάρτι με τα δεδομένα εκατομμυρίων χρηστών τη στιγμή που η δικαιοσύνη κάνει τα στραβά μάτια και η ΑΔΑΕ τους τιμωρεί με χάδια.
Σοβαρά ερωτήματαέχουνπροκύψει σχετικά με το απόρρητο των επικοινωνιών εκατομμυρίων χρηστών κινητώντηλεφώνων στη χώρα μας, όπως προκύπτει από επίσημα έγγραφα και αποφάσεις της Ανεξάρτητης Αρχής γιατην Προστασία του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).
Οι Data Journalistsαποκαλύπτουν σήμερα ένα“μαύροκουτί”συστηματικώνπαραβιάσεωντου απορρήτου των επικοινωνιών λόγωανεπαρκώνμέτρωνασφαλείας απότιςεταιρείεςκινητήςτηλεφωνίας.Τα τελευταία χρόνια, η ΑΔΑΕ έχει επιβάλει πρόστιμα στιςεταιρείες VODAFONE, COSMOTE, ΟΤΕκαι FORTHNET για εκατοντάδεςπεριπτώσεις παραβίασης του απορρήτουπουοιίδιεςπροκάλεσαν.
Σε μια περίπτωση, οιχάκερκατάφεραν να αποκτήσουν τα προσωπικά δεδομένα εκατομμυρίων χρηστών της Cosmote. Σε μια άλλη περίπτωση, κατά τη μεταφοράμιας τηλεφωνικής γραμμής από την Cosmote στη Vodafone, έναάτομοχρησιμοποίησετο τηλέφωνο ενός άλλου χρήστηγιααρκετέςημέρεςκαιότανκάλεσετο προσωπικό τουτηλέφωνο,απάντησεένας άλλος χρήστης.
Αυτέςείναι μόνο δύο από τις εκατοντάδες περιπτώσεις που εντόπισεη ΑΔΑΕ, ορισμένες από τις οποίες έχουν οδηγηθείσταδικαστήρια,αλλά δυστυχώς όχι με πρωτοβουλία της ΑΔΑΕ. Οιεταιρείεςκινητήςτηλεφωνίαςδενφαίνεταιναπράττουντοσωστό,παράτιςσυνταγματικέςκαι νομικέςυποχρεώσειςτουςναπρολαμβάνουντέτοιαπεριστατικάκαιναεφαρμόζουνσυγκεκριμένεςπολιτικέςασφαλείας.
Παράλληλα,αυτόπουπροκύπτειαπό τηνέρευνα του Data Journalistγιατα κέρδη των εταιρειών και τα πρόστιμα που επιβάλλονταιπροκαλείέκπληξη:τα κέρδη γιατηνπερίοδο2017-2022ανέρχονταισεπολλέςδεκάδεςδισεκατομμύριαευρώ,ενώτα πρόστιμα δεν ξεπερνούν τα 7,2 εκατομμύρια ευρώ. Ας δούμε όμως λίγοπιοπροσεκτικάτιαποκαλύπτειη έρευνα της Data Journalist.
Μπέρδεψαν τις γραμμές κατά τη μεταφορά από Cosmote σε Vodafone
Τον Μάρτιο του 2017, ο επιχειρηματίας Γιώργος ΦλώραςυπέβαλεγραπτήκαταγγελίαστηνΑρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (CSA) σχετικά με πιθανή “παραβίαση της ισχύουσας νομοθεσίας γιατοαπόρρητο των επικοινωνιών” από την COSMOTE. Η καταγγελία αφορούσε συγκεκριμέναγεγονότακατά τη μεταφοράτηλεφωνικώνσυνδέσεωναπό την COSMOTE στη Vodafone. Όπως διαπίστωσε ο κ. Φλώρας,η τηλεφωνική του γραμμή είχεχρησιμοποιηθεί από άλλονχρήστηγιαδιάστημα δύο εβδομάδων και ο ίδιος χρησιμοποιούσε την τηλεφωνική γραμμήάλλου χρήστη. Ήταν σαφές ότι κάτι είχε πάει στραβά.
Τον Μάρτιο του 2018, η ΑΔΑΕ αποφάσισε ναδιενεργήσειέκτακτοέλεγχοστηνCOSMOTE και τη VODAFONE. Μάλιστα, κλιμάκιο της ΑΔΑΕ επισκέφθηκε τις εγκαταστάσεις των δύο εταιρειών. Ηομάδα διαπίστωσε ότι όντωςυπήρχανκάποιαπροβλήματα.Συγκεκριμένα,από τις 20.02.2017 έωςτις 3.03.2017, ο κ. Φλώραςχρησιμοποιούσετηλεφωνικήγραμμήπουδενήτανσυνδεδεμένημεαυτόνκαι όταν κάποιος καλούσε τον αριθμό του, απαντούσε άλλος χρήστης. ηομάδα της ΑΔΑΕ απέδωσε το πρόβλημα αυτό στογεγονόςότι“κατάτηνπερίοδοδιακοπής από 20.02.2017έως03.03.2017,οίδιοςσύνδεσηαναμίχθηκελανθασμένααπότουςτεχνικούςτουΟΤΕμετησύνδεσητουκαταγγέλλοντοςσεσχέσημετην υλοποίηση της φορητότηταςτηςσύνδεσηςστοδίκτυοτης Vodafone”.
Τον Νοέμβριο του 2020, η ΑΔΑΕ αποφάσισε να καλέσει την COSMOTEσεακρόαση.ΣεγραπτόυπόμνημαπουαπέστειλεστηνΑΔΑΕστις19Μαρτίου2021,οΟΤΕ ουσιαστικά δεν αμφισβήτησε τα πραγματικά περιστατικά που διαπίστωσεη ΑΔΑΕ.
Ταυτόχρονα, ο ΟΤΕ ανέφερεότιηλανθασμένησυν-είσπραξη οφειλόταν σε ανθρώπινο λάθος και ότικάτι τέτοιο μπορούσε να διαπιστωθεί μόνο μετά τηνυποβολή καταγγελίας.
Τελικά,με την υπ’αριθμ. 233/2021 απόφασή της,ηΑΔΑΕέκρινεομόφωναότιοΟΤΕ ευθύνεται“λόγωπαραβίασηςτης κείμενης νομοθεσίας περί απορρήτου των επικοινωνιών απόμηεξουσιοδοτημένηανάμειξη”-σύμφωναμε την απόφαση της ΑΔΑΕ, η λανθασμένη“συντόμευση”οφειλότανσεαμέλεια του τεχνικού του ΟΤΕ που είχεαναλάβειτη μεταφορά.
Είναι εκπληκτικότο γεγονός ότι ενέτει 2023, ένας γιγαντιαίοςφορέαςτηλεπικοινωνιών όπως η COSMOTE θαμπορούσε να θέσεισε κίνδυνο την ασφάλεια των συνομιλιών των πελατών και τη φήμη της ίδιαςτηςεταιρείαςλόγω ανθρώπινου λάθους. ΗπλειοψηφίατηςΑΔΑΕ επέβαλε πρόστιμο 20.000 ευρώ στον ΟΤΕ για την υπόθεση αυτή.
Χάκερς υπέκλεψαν τα δεδομένα 12.013.928 εκατ. χρηστών
ΤοπεριστατικότουΦλώρου δεν είναι τομοναδικόπεριστατικό που αφορά εταιρείακινητής τηλεφωνίας:τον Σεπτέμβριο του 2020 συνέβηένα περίεργο περιστατικό. Χάκερς επιτέθηκαν στην COSMOTE,υποκλέπτονταςτα δεδομένα εκατομμυρίων χρηστών καικαταστρέφοντας τα συστήματα ασφαλείας της εταιρείας. Μάλιστα, η ίδια η εταιρεία κατήγγειλετο περιστατικό στηνΑΔΑΕκαιυπέβαλεέκθεση,στηνοποία η COSMOTEτόνισε ότι είχεδιενεργηθεί έρευνα καιότι“30GBαρχείωνήταναποθηκευμέναστονδιακομιστή”.Το αρχείο περιείχε δεδομέναεπικοινωνιών συνδρομητών της COSMOTE απότις9Ιανουαρίουέως τις 9Μαΐου2020“.
Βρέθηκανεπίσης“30GBδιαδικτυακήςκίνησης δεδομένων μεταξύ του διακομιστή και μιας εξωτερικής IPπουανήκει σε λιθουανικόπάροχοφιλοξενίας”,όπως ισχυρίστηκε η εταιρεία.“ΗΑΔΑΕ, με την υπ’αριθμ. 227/2020 απόφασή της,αποφάσισε να διερευνήσει τηνυπόθεση.
Πράγματι,τον Νοέμβριο του 2021, ηομάδα ελέγχου της ADAEολοκλήρωσε τον έλεγχο και συνέταξε έκθεση. Τα αποτελέσματαήταν ωςεπί το πλείστον ανατριχιαστικά: οιχάκερς είχαν επιτεθείστην COSMOTE και είχαν αποκτήσειταπροσωπικά δεδομένα εκατομμυρίων χρηστών.
Σύμφωνα με την έκθεση,οι χάκερ απέκτησαν “δεδομένακίνησης και συντεταγμένες σταθμών βάσης 4.792.869 μοναδικώνσυνδρομητών COSMOTE“,“MSISDN/CLI, 6.939.χρήστες άλλων παρόχων σταθερής & κινητής τηλεφωνίας στη χώρα που πραγματοποίησαν ή έλαβανκλήσειςσε συνδρομητές COSMOTE656άτομα” και “Συντεταγμένες MSISDN, IMEI, IMSI και σταθμούβάσης για 281.403 συνδρομητές περιαγωγής που πραγματοποίησαν κλήσεις μέσω του δικτύου κινητής τηλεφωνίας της COSMOTE“.
Οι κωδικοί στα social media
Το πιο εντυπωσιακό,ωστόσο, είναι ο τρόπος με τον οποίο οι χάκερ κατάφεραν να παραβιάσουν το απόρρητο της COSMOTE. Σύμφωνα με την έκθεση ελέγχου,“……Οιεπιτιθέμενοιχρησιμοποίησανταδιαπιστευτήριατωνδιαχειριστώντωνοποίωνοικωδικοί πρόσβασης βρίσκοντανσεμιαλίσταπουδιατηρούντανσε μιαβάσηδεδομένωνκωδικώνπρόσβασης που διέρρευσεαπόχάκερςαπόταμέσα κοινωνικής δικτύωσης (LinkedIn, Facebookκ.λπ.) και άλλες υπηρεσίες στο ……. απέκτησαν διαχειριστική πρόσβαση στους διακομιστές της υποδομής”.
Μεάλλα λόγια, όπως αναφέρουν στην έκθεσή τους οι ελεγκτές της ΑΔΑΕ, “η βάση δεδομένωνπουελέγχονταναπότουςχάκερςπεριείχε στοιχεία πουταυτοποιούσαντηνεταιρεία και τουςλογαριασμούς πρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης) τωνυπαλλήλων της Cosmoteμεδικαιώματα διαχειριστή στα Πληροφοριακά και Επικοινωνιακά Συστήματα (ΠΕΣ) της εταιρείας”.
Πράγματι, όπως διαπίστωσαν οι ελεγκτές, “κρίσιμα δεδομέναστουςλογαριασμούς πρόσβασης τωνυπαλλήλων της εταιρείαςπροορίζονταν για χρήση στοΠΣΚΕτηςεταιρείας”,αλλάθαμπορούσαν“ναχρησιμοποιηθούν σε προσωπικέςεφαρμογές/υπηρεσίες εκτός τηςεταιρείαςκαιναδιαρρεύσουναπόεκεί”. Είναι συγκλονιστικότογεγονόςότιεκατομμύριαχρήστεςμιαςγιγαντιαίαςεταιρείαςτηλεπικοινωνιώνθαμπορούσαντόσοεύκολα να εκτεθούναπότιςαπερίσκεπτες ενέργειες ενός καιμόνο υπαλλήλου ιδιωτικής εταιρείας.
Τελικά,με την υπ’αριθμ. 225/2022 απόφασή της, ηΑΑΔΕέκρινετην COSMOTE υπεύθυνη για τη“διαρροή δεδομένωνπουταυτοποιούντηνεταιρεία και λογαριασμώνπρόσβασης (ονόματαχρηστών και κωδικούς πρόσβασης)“ και της επέβαλε πρόστιμο 200.000 ευρώ. Επιπλέον, η ΑΑΔΕ διαπίστωσε ότι“κατά τοσυγκεκριμένοπεριστατικόυπήρχαναποκλίσειςστηνεφαρμογήτηςπολιτικήςασφαλείαςτης COSMOTEγια τηνπροστασία του απορρήτου των επικοινωνιών”και επέβαλε πρόστιμο 3 εκατ. ευρώ.
Αυτόδενείναιτομοναδικόπρόστιμο:ηΑρχήΠροστασίαςΔεδομένωνΠροσωπικούΧαρακτήραεπέβαλε πρόστιμο 6 εκατ. ευρώ στην COSMOTE και 3,25 εκατ. ευρώ στον ΟΤΕ.
Έδωσαν 756.700 ρούτερ με κοινούς κωδικούς πρόσβασης
Μιαάλλη περίπτωση όπουδιακυβεύτηκε το απόρρητο των επικοινωνιών είναι οιεκατοντάδες χιλιάδες δρομολογητές που δόθηκαν στους παρόχους του ΟΤΕ, αλλά…χρησιμοποιούνταικοινοίκωδικοί πρόσβασης. τον Μάιο του 2015,μια ιδιωτική εταιρεία υπέβαλε μιαιδιαίτερασοβαρήκαταγγελίαστηνΑΠΔΠΧ.Σύμφωνα με την καταγγελία αυτή, οιδρομολογητέςπουέδινετότεοΟΤΕ στουςχρήστεςπεριείχαν,εκτός από τους κωδικούς διαχείρισης,δύοκωδικούςπρόσβασηςπουήτανκοινοίγια όλες τις συσκευές. Οικωδικοί αυτοί ήταναποθηκευμένοι σε “μη κρυπτογραφημένη μορφή”,πράγμαπουσήμαινεότιέναςτρίτος που τους γνώριζεμπορούσε να έχει“απομακρυσμένη πρόσβαση στιςσυσκευές”.
Οιδρομολογητέςαυτοίήτανδιαθέσιμοι σε περίπου 756.700συνδρομητέςκαιοΟΤΕ πραγματοποίησε τεχνικό έλεγχο και ισχυρίστηκε ότι δεν υπήρχε“κίνδυνος για το απόρρητο των επικοινωνιών”και “δενυπήρχεδυνατότητα απομακρυσμένης παρεμβολής μέσω των συσκευών αυτών“.Ωστόσο,σύμφωναμετην απόφαση 326/2020, η ΑΔΑΕ αμφισβήτησε τους ισχυρισμούς του ΟΤΕ, καθώς περίπου3.800 χρήστες είχαν απενεργοποιήσει τατείχηασφαλείαςτους(mini-firewalls)και είχαν ανοίξει το WAN τους.
Αυτοίοι χρήστες πουγνώριζανγιατουςπρόσθετουςλογαριασμούςπρόσβασης που εντοπίστηκανήταν στην πραγματικότητα“ευάλωτοι,θέτονταςέτσισεκίνδυνοτο απόρρητο τωνεπικοινωνιών τους“-σύμφωναμε τηνέκθεσηεπιτόπιου ελέγχου τηςομάδας της ΑΔΑΕτης 21/09/2015, “η γνώση τωνδημόσιωνδιευθύνσεων IP καιηαπενεργοποίηση των μηχανισμών ασφαλείας και τωνκωδικώνπρόσβασηςσεσυνδυασμόεπέτρεψαν την απομακρυσμένη πρόσβαση σεαυτούςτους δρομολογητές τρίτων με τη χρήση πρόσθετωνλογαριασμώνπρόσβασης”.
…Λαμβάνονταςυπόψηταπαραπάνω, οι κοινοί κωδικοί πρόσβασης τωντερματικώνCPE επέτρεπαν την απομακρυσμένη πρόσβαση σε τρίτουςχωρίςοτρίτοςναγνωρίζειτον προσωπικό κωδικό πρόσβασης διαχείρισης κάθε CPE…”.Ηαπόφασηαναφέρει.
Η ΑΔΑΕ κάλεσε τον ΟΤΕσεακρόασηκαι διενεργήθηκανπέντε επιτόπιοι έλεγχοι σε εργολάβους που είχαν προμηθευτεί τουςενλόγωδρομολογητέςτο2015 και το2016, ενώ διενεργήθηκαν και έλεγχοι στον ΟΤΕ. Σύμφωνα με την έκθεση ελέγχου,ο ΟΤΕ “δεν εφάρμοσε τις κατάλληλες πολιτικές και επιμέρους διαδικασίες κατά τηνπαροχήτερματικούεξοπλισμούCPEτύπουZTEH108Nσεσυνδρομητέςκαι δεν ενημέρωσε την ΑΔΑΕ ή τους συνδρομητές που επηρεάστηκαν από το συγκεκριμένοπεριστατικό ασφαλείας”.Στηνεταιρεία επιβλήθηκε τελικάπρόστιμο 20.000 ευρώ για παράβασητουνόμου,ιδίωςγιατηνπαράλειψηενημέρωσηςτωνσυνδρομητώνγια το περιστατικό ασφαλείας.
Δεν τηρούνται αρχεία με το ποιος μπαίνει στο σύστημα
Το 2019 υποβλήθηκεάλλημιακαταγγελίαστηνΕλληνικήΑρχήΠροστασίας Δεδομένων Προσωπικού Χαρακτήρα από χρήστη κινητούτηλεφώνου,μετονισχυρισμόότιμπορείνα παραβιάστηκε το απόρρητο των επικοινωνιών. Για τη διερεύνηση αυτού του περιστατικού, η CMAE αποφάσισε ναδιενεργήσειδιαχειριστικόέλεγχο στις εγκαταστάσεις της COSMOTE. Τον Μάιο του 2019,ηομάδα ελέγχου ολοκλήρωσε τον διαχειριστικό έλεγχο και υπέβαλεέκθεση στην CMAE.Σεαυτήναναφέρεταιότι“δεν τηρούνται αρχεία καταγραφής της πρόσβασης τωνδεδομένων επικοινωνίας στοσύστημα VMSκαι αρχεία καταγραφής των διαχειριστικώνλειτουργιών στο σύστημααυτό”,γεγονόςπουαποτελείπαράβασητωνκανονισμώντης ADAE.
Η Cosmote παραδέχθηκε ότι η αδυναμία αυτή έχει καταγραφεί ως μησυμμόρφωση με τον κανονισμό από το 2013. Πράγματι,σεεπιστολή τουΦεβρουαρίου2020,ηεταιρείαδήλωσεότι“η αναβάθμιση του VMS που υλοποιήθηκε το τελευταίο τρίμηνο του 2014 αφοράνέεςβελτιώσειςυλικού και λογισμικούκαι όχι αλλαγές στο υποσύστημα καταγραφής ενεργειών πουθαεπιβεβαίωναντημη συμμόρφωση με τηνενλόγω κανονιστική υποχρέωση”.
Η ΑΔΑΕ διαπίστωσε ότι“η ασυνέπεια της εταιρείας όσοναφοράτηντήρηση των αρχείων καταγραφής τουεν λόγω συστήματοςκαι σε κάθε περίπτωση η μη συμμόρφωσημετιςυποχρεώσεις καταγραφής τουσυστήματος VMS συνιστά κανονιστικήπαράβαση”.Πράγματι,η τήρησητων αρχείων καταγραφής πρόσβασηςκαι των αρχείων καταγραφής ενεργειών τουεν λόγω συστήματοςθαεπέτρεπετόσο στηνεταιρείαόσο και στηναρχήπρόσβασηςναελέγχουντα δεδομένα επικοινωνίας των χρηστών που είναιαποθηκευμένα στο σύστημα,αλλάστηνπροκειμένηπερίπτωση ο έλεγχοςαυτός δεν είναιεφικτός”.
Σύμφωναμετηνεταιρεία, η νέα πλατφόρμα,ηοποία θα κυκλοφορήσειτο 2021, θα διαθέτει μηχανισμό καταγραφής και πρόσβασης στιςενέργειες στο σύστημα επικοινωνίας. Στηναπόφασήτης,ωστόσο, η ΑΔΑΕ έκρινετηνCOSMOTE υπεύθυνη για παράβαση γιαπαραβίαση του ΚανονισμούΔιασφάλισηςτου Απορρήτου των ΗλεκτρονικώνΕπικοινωνιών, σύμφωνα με την υπ’αριθμ. 165/2011 απόφαση της ΑΔΑΕ.
Καταγγελία κατά Vodafone και FORTHNET
Ωστόσο,έχουνυποβληθεί επίσηςπολλέςκαταγγελίεςκατάάλλων εταιρειών τηλεπικοινωνιών.Συγκεκριμένα,τον Μάρτιο του 2018 υποβλήθηκε στην ADAE καταγγελία κατάτης VODAFONE. Οκαταγγέλλωνπαραπονέθηκε για “δυσλειτουργίεςτηςτηλεφωνικήςγραμμής”.Συγκεκριμένα, αναφέρθηκεσεπεριστατικάόπου“εισερχόμενες κλήσεις μεταφέροντανσε άλλη τηλεφωνική γραμμή”και όπου“ακούγοντανάλλεςτηλεφωνικέςσυνομιλίεςκατά τη διάρκεια της συνομιλίας“Η ADAE έδωσε εντολή στηνομάδα ελέγχου της να διερευνήσει.Τελικά, τον Φεβρουάριο του 2020, η ADAE επέβαλε πρόστιμο 40000 ευρώ για παράβαση του νόμου περί επικοινωνιών.
Τον Νοέμβριο του 2018,έναφυσικόπρόσωπουπέβαλε καταγγελία στηνADAEκατά της FORTHNET–ηADAEσυγκρότησε ομάδα ελέγχου καιδιενήργησεεπιτόπιο έλεγχο, ο οποίος ολοκληρώθηκε στις 19 Φεβρουαρίου 2019.
Σύμφωνα με την έκθεση του έκτακτου ελέγχου, το περιστατικό συνέβηαφούοκαταγγέλλωνκατήγγειλετηζημία τον Οκτώβριο του 2018. Ένα μήνα αργότερα, η βλάβη αποκαταστάθηκε με “αντικατάστασητουζεύγους”. Ή τουλάχιστον έτσι νόμιζε ο καταγγέλλων. Λίγο αργότερα,συνειδητοποίησε ότι υπήρξε“αναντιστοιχίαμεταξύτου αριθμούτηλεφώνου του καιενόςάλλουαριθμούτηλεφώνου”. Η αναντιστοιχία αυτή διήρκεσε11 ημέρες. Κατάτηδιάρκεια της περιόδουπουαναφέρεταιως“αναντιστοιχία”,έγιναν 37 κλήσεις, 12 από τις οποίες έμειναν αναπάντητες.
“Μεάλλαλόγια,έγινανκλήσειςαπόκαιπροςτοναριθμότηλεφώνου του καταγγέλλοντοςκατάτην περίοδο που υπήρχεασυμφωνίαμεταξύτουτηλεφωνικούτουαριθμούκαι ενόςάλλουτηλεφωνικούαριθμού”,αναφέρειηυπ’αριθμόν 139/2021απόφαση της ΑΔΑΕ, η οποία κάλεσε τηνεταιρείασεακρόαση.
Στη Δικαιοσύνη η υπόθεση από Φλωρά και ποινικές διώξεις
Η υπόθεση του Γιώργου Φλώρα δεν σταμάτησεστην ΕλληνικήΕισαγγελία:μετά από μια δεύτερη καταδίκηαπότηνADAE(αυτή τη φορά για παραβίαση του απορρήτου των επικοινωνιώνκατά της VODAFONE), ο κ. Φλώρας προσέφυγε στηδικαιοσύνη.Συγκεκριμένα,κατέθεσε αγωγήκατάτων νομίμων εκπροσώπων των δύο εταιρειώντο2021.Ηαγωγήαυτήαφορούσετηνπαραβίασητουαπορρήτου των επικοινωνιών. Στη συνέχεια, η Εισαγγελία Πρωτοδικών Αθηνών άσκησε ποινική δίωξη κατάτων εκπροσώπων τωνδύοεταιρειώνκαι παραπέμφθηκαν σε δίκη. Μία από τιςδίκεςεπρόκειτοναδιεξαχθείτον Δεκέμβριο του 2023 μετά από σειράαναβολών. Η υπόθεση τέθηκε επίσης ενώπιονπολιτικούδικαστηρίου.Ο κ. Φλώρας κατέθεσε δύο αγωγές κατά της VODAFONE και της COSMOTEκαι μέχρι σήμερα έχει εκδοθεί πρωτοβάθμια απόφαση για τη μία από αυτές,δικαιώνονταςτονκ.Φλώρα,όπως υποστήριξε σε επιστολή που απέστειλε στηνεισαγγελέα του Αρείου Πάγου Γεωργία Αδειλίνη το καλοκαίρι… Η δεύτερη δίκηαναβλήθηκεμέχριτην απόφασητου Διοικητικού ΠρωτοδικείουΑθηνών,κατάτηςοποίαςη εταιρεία άσκησε έφεση.
Κάτιπουαξίζεινααναφερθεί σε σχέση με τις εταιρείες κινητής τηλεφωνίας είναι το γεγονός ότι επί δεκαετίες η ΑΔΑΕ δεν δημοσίευετα στοιχεία των εταιρειών στις οποίες επέβαλε πρόστιμα για παραβίασητουνόμου περί απορρήτου των επικοινωνιών καιδενπαρέπεμπε τις αποφάσεις της στη δικαιοσύνη.το καλοκαίρι του 2022 ο κ. Φλώραςανακάλυψε τις πρακτικές τηςΑΔΑΕ και κατέθεσε τρεις μηνύσειςστηνΕισαγγελία Πρωτοδικών Αθηνών κατέθεσε τρεις καταγγελίες στην Εισαγγελία Πρωτοδικών Αθηνών. Αυτόοδήγησετονκ.Φλώρα να καταγγείλει στην Εισαγγελία Πρωτοδικών Αθηνών μιασειρά αποφάσεων της ΑΔΑΕκατάεταιρειών κινητής τηλεφωνίας πουδεν είχαν παραπεμφθεί στη δικαιοσύνη.Δύο από τις τρεις καταγγελίεςήτανσχετικές και η Εισαγγελία εξέδωσε την υπ’αριθμ. 960/2023 παραγγελία.
ΗΑΔΑΕαρχειοθέτησε όλες τις υποθέσεις που αφορούσαν αποφάσεις της ΕισαγγελίαςΠρωτοδικών που είχαν παραγραφεί. Επρόκειτο για αποφάσεις μετιςοποίες η ΑΔΑΕ είχε διαπιστώσει παραβάσεις της νομοθεσίας εκμέρουςτων τηλεπικοινωνιακώνεταιρειών,αλλάόσοναφορά τιςποινικέςυποθέσεις,ηπαραγραφή είχε παρέλθει επειδή είχε παρέλθει πενταετία από τηδιάπραξη του αδικήματος.
Εκτός από τιςπαραγγελίεςγιατηνάσκησηποινικήςδίωξηςπου είχαν κατατεθεί, είχαν ανοίξει συνολικά περίπου15 υποθέσεις.Σεαρκετές από αυτές είχαν ήδη ασκηθεί ποινικές διώξεις κατάεκπροσώπων της COSMOTE και της FORTHNET για παραβίασητου απορρήτου των επικοινωνιών. Μία από τιςυποθέσεις επρόκειτο να εκδικαστεί απότοΠρωτοδικείοΑθηνώντη Δευτέρα 11Σεπτεμβρίου.Ωστόσο,η δίκηαναβλήθηκεμετάαπό αίτημα τωνδικηγόρωντωνκατηγορουμένωνγιαλόγους υγείας.
Αθώωση κατηγορουμένου αλλά χωρίς υποστήριξη της κατηγορίας
Πριναπό αυτό, τον Ιούλιο του 2023, μιαάλληυπόθεση εκδικάστηκεενώπιοντουΔικαστηρίουτων Αθηνών. Ο κατηγορούμενος αθωώθηκε λόγωέλλειψηςδόλου.Ωστόσο,υπήρχεμια νέαπτυχήσεαυτήτηδίκη.Ούτεο καταγγέλλων,κ.Γιώργος Φλώρας, ούτε τοάτομο που έκανετην καταγγελία στην ΑΔΑΕ, ούτε η ΑΔΑΕ που εξέδωσε την απόφαση, ήταν παρόντες ως μάρτυρες προς υποστήριξη των κατηγοριών.
Προηγουμένως, ο κ. Φλώρας είχε υποβάλειγραπτό αίτημα στον εισαγγελέα ναεμφανιστείωςμάρτυραςστη δίκη,προκειμένου να καταχωρηθεί στη δικογραφία και να ερωτηθείστοδικαστήριο.Ωστόσο,τοδικαστήριοαπέρριψετοαίτημα του κ.Φλώρα.
Λίγες ημέρεςαργότερα, ο κ. Φλώρας απέστειλε επιστολή στηνΕισαγγελέατου Αρείου Πάγου Γεωργία Αδειλίνη, την οποία δημοσίευσετο Data Journalist. Οκ.Φλώραςτηνενημέρωσεεπίσηςγια ταόσα συνέβησανστη δίκη του Ιουλίου και για τον κίνδυνο να αθωωθούν οι εκπρόσωποι των εταιρειών σεάλλεςπρογραμματισμένεςδίκες.
Επιστολή που απέστειλε προς την εισαγγελέα του Αρείου Πάγου (pdf ΕΔΩ)
“Εάν αυτή η προσέγγιση συνεχιστεί σε όλες τις άλλες περιπτώσεις,τότεοκατηγορούμενοςπρέπεινααθωωθεί.Δενπρόκειταιναυποστηρίξωεκπροοιμίου ότι είναι άδικονααθωωθείοκατηγορούμενος.Ωστόσο, θα υποστηρίξω ότι ηεισαγγελίαδενμπορείνααφήσειτονκατηγορούμενοναδικαστείγιαένατόσοσοβαρόαδίκημαμεβάσητηναπόφασηενόςανεξάρτητουοργάνου,χωρίς να υπάρχεικανείς στο δικαστήριο για να υποστηρίξει τιςκατηγορίες.Είναιείτε ο ασθενής,η ΔΑΑΕ είτε οκατήγορος,όπωςεγώ,που ξύπνησε ένα πρωί και είπε, ας πάμε να κατηγορήσουμετηνεισαγγελία,κάτιπουσαφώςδενισχύει”,αναφέρειο Φλώρας στην επιστολή του,τονίζονταςότι εναπόκειταιστηνεισαγγελίανα δώσειστοιχεία.
Οανώτατοςεισαγγελέαςέκανε δεκτό το αίτημα τουΦλώρα. Πριν από λίγες ημέρες, σύμφωνα με πληροφορίες του Data Journalist, έλαβε κλήση για να εξεταστεί ως μάρτυρας στηναναβληθείσαδίκη της 11ης Σεπτεμβρίου.Ηδίκητώραφαίνεταιναέχειπάρεινέα τροπή.
Ένα άλλοθέμα που θίγει ο κ. Φλώραςστηνεπιστολήτουαφορά το ύψος των προστίμων πουεπιβάλλειη ΑΔΑΕ και τα κέρδη των εταιρειών κινητής τηλεφωνίας. Τοσύνολοτωνπροστίμωνπου επιβάλλειοανεξάρτητοςφορέαςγια παραβιάσεις του απορρήτου των επικοινωνιών μπορείναανέλθεισε εκατομμύρια ευρώ. Συγκεκριμένα,μεταξύ2017 και2022, η ΑΔΑΕ επέβαλε πρόστιμα συνολικού ύψους 7,2 εκατ. ευρώ σε εταιρείες κινητής τηλεφωνίας. Πρόκειται για εκατοντάδες υποθέσεις και καταγγελίες που χειρίζεταιη ΑΔΑΕ. Παράλληλα,τα κέρδη των εταιρειώντηνίδιαπερίοδοανέρχονται σε αρκετές δεκάδες δισεκατομμύρια ευρώ,συγκεκριμέναμόνοοΟΤΕκαιηVODAFONEανέρχονταισεπερίπου13δισεκατομμύριαευρώ.
“Δεδομένουτουσημαντικούκόστους που συνεπάγεται η εφαρμογή μέτρων ασφαλείας για τηδιασφάλισητου απόλυτου απορρήτου των επικοινωνιών,γίνεταιεύκολα αντιληπτόότι τα πρόστιμα που επέβαλε η Ε.Ε.Τ.Τ. δεν θααποτελούσαν καθόλου αποτρεπτικόπαράγοντα για τις τηλεφωνικέςεταιρείες.
Χάκερς παραβίασαν τα συστήματα του Διεθνούς Ποινικού Δικαστηρίου την περασμένη εβδομάδα
Το Διεθνές Ποινικό Δικαστήριο (ΔΠΔ) αποκάλυψε μια κυβερνοεπίθεση την Τρίτη, αφού ανακάλυψε την περασμένη εβδομάδα ότι τα συστήματά του είχαν παραβιαστεί. Ανέφεραν ότι επί του παρόντος διερευνά το περιστατικό με τη συνδρομή των ολλανδικών αρχών, καθώς οι Κάτω Χώρες λειτουργούν ως χώρα υποδοχής του ΔΠΔ. Το ΔΠΔ περιέγραψε επίσης σχέδια για την εντατικοποίηση των προσπαθειών για την ενίσχυση της άμυνας του στον κυβερνοχώρο, συμπεριλαμβανομένης της επιτάχυνσης της υιοθέτησης της τεχνολογίας cloud.
Προς το παρόν, δεν υπάρχουν διαθέσιμες πληροφορίες σχετικά με την έκταση της φύσης της κυβερνοεπίθεσης και τον αντίκτυπο στα συστήματα του ΔΠΔ ή αν οι δράστες κατάφεραν να αποκτήσουν πρόσβαση ή να εξαφανίσουν δεδομένα ή αρχεία από το δίκτυό του. Το Δικαστήριο αποκάλυψε μόνο ότι “συνεχίζει να αναλύει και να μετριάζει τον αντίκτυπο αυτού του περιστατικού”, εστιάζοντας στη “διασφάλιση της συνέχισης του βασικού έργου του Δικαστηρίου”.
Ο εκπρόσωπος Fadi El-Adballah δήλωσε ότι το ΔΠΔ δεν μπορεί να παράσχει περαιτέρω λεπτομέρειες ή πληροφορίες. Το ΔΠΔ είναι ένα διεθνές δικαστήριο που ερευνά και διώκει τα σοβαρότερα αδικήματα που επηρεάζουν τη διεθνή κοινότητα, συμπεριλαμβανομένων των εγκλημάτων πολέμου, της γενοκτονίας και των εγκλημάτων κατά της ανθρωπότητας. Για παράδειγμα, τον Μάρτιο του 2023, το ΔΠΔ εξέδωσε ένταλμα σύλληψης για τον Ρώσο πρόεδρο Βλαντιμίρ Πούτιν σχετικά με εγκλήματα που συνδέονται με την εισβολή της Ρωσίας στην Ουκρανία.
Το ΔΠΔ ιδρύθηκε το 2002 μετά τη θέση σε ισχύ του Καταστατικού του Διεθνούς Ποινικού Δικαστηρίου της Ρώμης (Καταστατικό της Ρώμης) και από τον Μάρτιο του 2023 έχει 123 κράτη μέλη.
Η ψεύτικη εφαρμογή συναγερμού πυραύλων “RedAlert” για το Ισραήλ εγκαθιστά κατασκοπευτικό λογισμικό Android
Οι Ισραηλινοί χρήστες Android έχουν στοχοποιηθεί από μια κακόβουλη έκδοση της εφαρμογής “RedAlert – Rocket Alerts”, η οποία, ενώ προσφέρει την υποσχόμενη λειτουργικότητα, λειτουργεί ως λογισμικό κατασκοπείας στο παρασκήνιο. Το RedAlert – Rocket Alerts είναι μια νόμιμη εφαρμογή ανοιχτού κώδικα που χρησιμοποιείται από τους Ισραηλινούς πολίτες για να λαμβάνουν ειδοποιήσεις για εισερχόμενες ρουκέτες που στοχεύουν τη χώρα. Η εφαρμογή είναι ιδιαίτερα δημοφιλής, με πάνω από ένα εκατομμύριο λήψεις στο Google Play.
Από τότε που οι τρομοκράτες της Χαμάς εξαπέλυσαν την επίθεσή τους στο Νότιο Ισραήλ την περασμένη εβδομάδα, με χιλιάδες ρουκέτες, το ενδιαφέρον για την εφαρμογή έχει εκραγεί, καθώς οι άνθρωποι αναζητούσαν έγκαιρες προειδοποιήσεις για επερχόμενες αεροπορικές επιδρομές στην περιοχή τους. Σύμφωνα με την Cloudflare, χάκερ άγνωστης αιτιολογίας και προέλευσης εκμεταλλεύονται το αυξημένο ενδιαφέρον για την εφαρμογή και τον φόβο των επιθέσεων για να διανείμουν μια ψεύτικη έκδοση που εγκαθιστά λογισμικό κατασκοπείας.
Αυτή η κακόβουλη έκδοση διανέμεται από τον ιστότοπο “redalerts[.]me”, ο οποίος δημιουργήθηκε στις 12 Οκτωβρίου 2023 και περιλαμβάνει δύο κουμπιά για τη λήψη της εφαρμογής για τις πλατφόρμες iOS και Android. Η λήψη για το iOS ανακατευθύνει τον χρήστη στη σελίδα του νόμιμου έργου στο App Store της Apple, αλλά το κουμπί για το Android κατεβάζει απευθείας ένα αρχείο APK για να εγκατασταθεί στη συσκευή.
Ειδοποίηση Spyware
Το APK που κατεβάσατε χρησιμοποιεί τον νόμιμο κώδικα της πραγματικής εφαρμογής RedAlert, έτσι ώστε να περιέχει όλες τις κανονικές λειτουργίες και να εμφανίζεται ως ένα νόμιμο εργαλείο συναγερμού πυραύλων.
Ωστόσο, η Cloudflare διαπίστωσε ότι η εφαρμογή ζητά πρόσθετες άδειες από τα θύματα, συμπεριλαμβανομένης της πρόσβασης στις επαφές, τους αριθμούς, το περιεχόμενο SMS του χρήστη, τη λίστα του εγκατεστημένου λογισμικού, τα αρχεία καταγραφής κλήσεων, το IMEI του τηλεφώνου, τους συνδεδεμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου και εφαρμογών και πολλά άλλα.
Κατά την εκκίνηση, η εφαρμογή ξεκινά μια υπηρεσία παρασκηνίου που κάνει κατάχρηση αυτών των δικαιωμάτων για να συλλέξει δεδομένα, να τα κρυπτογραφήσει με AES σε λειτουργία CBC και να τα φορτώσει σε μια σκληρά κωδικοποιημένη διεύθυνση IP.
Η εφαρμογή διαθέτει επίσης μηχανισμούς κατά της αποσφαλμάτωσης, κατά της εξομοίωσης και κατά των δοκιμών που την προστατεύουν από τους ερευνητές και τα εργαλεία αναθεώρησης κώδικα.
Συμβουλές ασφαλείας RedAlert
Ο ψεύτικος ιστότοπος είναι εκτός λειτουργίας τη στιγμή που γράφονται αυτές οι γραμμές. Ωστόσο, οι απειλητικοί φορείς πιθανότατα θα στραφούν σε νέο τομέα μετά την αποκάλυψη της επιχείρησής τους.
Ένας απλός τρόπος για να διακρίνετε μεταξύ της πραγματικής και της παγιδευμένης έκδοσης είναι να ελέγξετε τα δικαιώματα που ζητά η εφαρμογή κατά την εγκατάσταση ή στα οποία έχει πρόσβαση σε περίπτωση που είναι ήδη εγκατεστημένη στη συσκευή σας.
Για να το ελέγξετε αυτό, πατήστε παρατεταμένα το εικονίδιο της εφαρμογής, επιλέξτε “Πληροφορίες εφαρμογής” και πατήστε “Δικαιώματα”.
Επίσης, έχουν αναφερθεί περιπτώσεις αεροπειρατείας στην πραγματική εφαρμογή RedAlert, με χακτιβιστές να εκμεταλλεύονται ελαττώματα API για να προωθούν ψεύτικες ειδοποιήσεις στους χρήστες. Για να ελαχιστοποιήσετε την πιθανότητα τέτοιων περιστατικών, βεβαιωθείτε ότι χρησιμοποιείτε την τελευταία έκδοση της εφαρμογής που περιλαμβάνει όλες τις διαθέσιμες διορθώσεις ασφαλείας.
Οι επιθέσεις Ransomware στοχεύουν τώρα μη ενημερωμένους διακομιστές WS_FTP
Οι εκτεθειμένοι στο Διαδίκτυο διακομιστές WS_FTP που δεν έχουν ενημερωθεί για μια ευπάθεια μέγιστης σοβαρότητας αποτελούν πλέον στόχο επιθέσεων ransomware.
Όπως παρατηρήθηκε πρόσφατα από τους υπεύθυνους αντιμετώπισης περιστατικών της Sophos X-Ops, οι απειλητικοί φορείς που αυτοπροσδιορίζονται ως Reichsadler Cybercrime Group προσπάθησαν, ανεπιτυχώς, να αναπτύξουν ωφέλιμα φορτία ransomware που δημιουργήθηκαν χρησιμοποιώντας έναν οικοδόμο LockBit 3.0 που κλάπηκε τον Σεπτέμβριο του 2022.
Οι επιτιθέμενοι προσπάθησαν να κλιμακώσουν τα προνόμια χρησιμοποιώντας το εργαλείο ανοικτού κώδικα GodPotato, το οποίο επιτρέπει την κλιμάκωση προνομίων σε ‘NT AUTHORITY\SYSTEM’ σε πλατφόρμες πελατών Windows (Windows 8 έως Windows 11) και διακομιστών (Windows Server 2012 έως Windows Server 2022).
Ευτυχώς, η προσπάθειά τους να αναπτύξουν τα ωφέλιμα φορτία ransomware στα συστήματα των θυμάτων ματαιώθηκε, εμποδίζοντας τους επιτιθέμενους να κρυπτογραφήσουν τα δεδομένα του στόχου.
Παρόλο που δεν κατάφεραν να κρυπτογραφήσουν τα αρχεία, οι απειλητικοί φορείς εξακολουθούσαν να απαιτούν λύτρα ύψους 500 δολαρίων, πληρωτέα έως τις 15 Οκτωβρίου, ώρα Μόσχας.
Η χαμηλή απαίτηση λύτρων υποδηλώνει ότι οι εκτεθειμένοι στο Διαδίκτυο και ευάλωτοι διακομιστές WS_FTP πιθανότατα αποτελούν στόχο μαζικών αυτοματοποιημένων επιθέσεων ή μιας άπειρης επιχείρησης ransomware.
Με την ονομασία CVE-2023-40044, το ελάττωμα προκαλείται από μια ευπάθεια αποδιαταξινόμησης του .NET στο Ad Hoc Transfer Module, επιτρέποντας σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν εντολές στο υποκείμενο λειτουργικό σύστημα μέσω αιτήσεων HTTP από απόσταση.
Στις 27 Σεπτεμβρίου, η Progress Software κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της κρίσιμης ευπάθειας του WS_FTP Server, προτρέποντας τους διαχειριστές να αναβαθμίσουν τις ευάλωτες περιπτώσεις.
Οι ερευνητές ασφαλείας της Assetnote που ανακάλυψαν το σφάλμα WS_FTP κυκλοφόρησαν κώδικα απόδειξης του σχεδίου (PoC) για εκμετάλλευση μόλις λίγες ημέρες μετά την επιδιόρθωσή του.
Η εταιρεία κυβερνοασφάλειας Rapid7 αποκάλυψε ότι οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το CVE-2023-40044 στις 3 Σεπτεμβρίου, την ημέρα που κυκλοφόρησε το exploit PoC.
Το Shodan απαριθμεί σχεδόν 2.000 συσκευές που είναι εκτεθειμένες στο Διαδίκτυο και χρησιμοποιούν το λογισμικό WS_FTP Server, επιβεβαιώνοντας τις αρχικές εκτιμήσεις της Assetnote.
Οι οργανισμοί που δεν μπορούν να επιδιορθώσουν άμεσα τους διακομιστές τους μπορούν να εμποδίσουν τις εισερχόμενες επιθέσεις απενεργοποιώντας την ευάλωτη μονάδα Ad Hoc Transfer Module του διακομιστή WS_FTP.
Το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας (HC3), η ομάδα ασφαλείας του Υπουργείου Υγείας των ΗΠΑ, προειδοποίησε επίσης τον περασμένο μήνα τους οργανισμούς του τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Η Progress Software αντιμετωπίζει επί του παρόντος τα απόνερα μιας εκτεταμένης σειράς επιθέσεων κλοπής δεδομένων που εκμεταλλεύτηκαν ένα σφάλμα μηδενικής ημέρας στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer νωρίτερα φέτος.
Οι επιθέσεις αυτές επηρέασαν πάνω από 2.500 οργανισμούς και περισσότερα από 64 εκατομμύρια άτομα, όπως εκτιμά η Emsisoft.