+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Dark Web analiza rgz.gov.rs (/thread-1025.html)
Pages:
1
2
Dark Web analiza rgz.gov.rs - VincaSec - 12-04-2023
Rezultati analize:
https://socradar.io/labs/dark-web-report/results/4d947c7097b34d5fa033be2109aefb46
RE: Dark web analiza rgz.gov.rs - 1van - 12-05-2023
Sa besplatnim SOCRadar nalogom ne mogu da vidim mnogo detalja, ali i ovo što vidim je katastofa. Imaju logove zaposlenih (ukradene šifre sa kompijutera odakle se loguju zaposleni) još od 2021. godine.
Dakle RGZ je kompromitovan i pre ovoga: Analiza napada na Republički Geodetski Zavod (RGZ) Srbije
Evo primera jednog loga (Russian Market):
Quote:{
"country": "RS",
"date": "2023.10.04",
"files": "archive.zip",
"id": "12519649",
"isp": "TELEKOM-SRBIJA",
"links": [
"accounts.google.com",
"abudhabi.dubizzle.com",
"naukrigulf.com",
"dubai.dubizzle.com",
"budo70.adriahost.com",
"3d-land.net",
"gulftalent.com",
"accounts.google.com",
"babysleepmadesimple.com",
"promemoria.com",
"syncronia.com",
"bellavistacollection.com",
"bellavistacollection.com",
"login.archipassport.com",
"login.archipassport.com",
"blacktiesofas.it",
"vizpark.com",
"rugianotech.com",
"3dsmarket.com",
"3dsky.org",
"cgtrader.com",
"login.live.com",
"zamunda.net",
"online.dis.rs",
"flexform.it",
"3dmili.com",
"eichholtz.com",
"eon.tv",
"prijava.eid.gov.rs",
"mariescorner.com",
"satelitskisnimci.rgz.gov.rs",
"pozarevac.rs",
"login.live.com",
"reid.apr.gov.rs",
"cg-source.com",
"shop3dmili.com",
"prostoria.eu",
"vibia.com",
"designconnected.com",
"satelitskisnimci.rgz.gov.rs",
"account.live.com",
"he-accounts.force.com",
"contardi-italia.com",
"meridiani.it",
"3dsky.org",
"interni-edition.com",
"fshare.vn",
"contardi-italia.it",
"rs.accounts.ikea.com",
"pozarevac.rs",
"tickets.rs",
"accounts.fitbit.com",
"amibo.rs",
"accounts.google.com",
"login.live.com",
"shop.lilly.rs",
"lilly.clickandbasket.com",
"accounts.google.com",
"abudhabi.dubizzle.com",
"naukrigulf.com",
"dubai.dubizzle.com",
"budo70.adriahost.com",
"3d-land.net",
"gulftalent.com",
"accounts.google.com",
"babysleepmadesimple.com",
"promemoria.com",
"syncronia.com",
"bellavistacollection.com",
"bellavistacollection.com",
"login.archipassport.com",
"login.archipassport.com",
"blacktiesofas.it",
"vizpark.com",
"rugianotech.com",
"3dsmarket.com",
"3dsky.org",
"cgtrader.com",
"login.live.com",
"zamunda.net",
"online.dis.rs",
"flexform.it",
"3dmili.com",
"eichholtz.com",
"eon.tv",
"prijava.eid.gov.rs",
"mariescorner.com",
"satelitskisnimci.rgz.gov.rs",
"pozarevac.rs",
"login.live.com",
"reid.apr.gov.rs",
"cg-source.com",
"shop3dmili.com",
"prostoria.eu",
"vibia.com",
"designconnected.com",
"satelitskisnimci.rgz.gov.rs",
"account.live.com",
"he-accounts.force.com",
"contardi-italia.com",
"meridiani.it",
"3dsky.org",
"interni-edition.com",
"fshare.vn",
"contardi-italia.it",
"rs.accounts.ikea.com",
"textures.com"
],
"outlook": "-",
"price": "10.00",
"province": "Belgrade",
"size": "0.41Mb",
"stealer": "stealc ",
"vendor": "Mo####yf [Diamond]"
}
Onda objavljeni kredencijali (2022-11-10):
Quote:[email protected]:k*****
[email protected]:c*****
[email protected]:r*****
Cookies:
Quote:{
"name": "system",
"value": "271cc5sqs8bnt2cn342u0pa7jg",
"domain": "rgz.gov.rs",
"path": "/",
"expires": -1,
"size": 32,
"httpOnly": true,
"secure": false,
"session": true,
"priority": "Medium"
},
I tako dalje, nadam se da će ovo Poverenik ponovo lepo da ispita.
RE: Dark web analiza rgz.gov.rs - 1van - 12-05-2023
Ostaviću i ovaj sažetak sa SOCRadar-a da imamo kao dokaz (pre nego što još neko dobije orden):
Datumi su kada je SOCRadar detektovao, a iz detalja sam uspeo sa saznam da ima podataka koji kreću od 2021. godine.
RE: Dark web analiza rgz.gov.rs - 1van - 12-07-2023
Da dodamo i ovaj komentar gde imamo potvrdu da je Poverenik rekao da je novinar BIRN-a slučajno dobio poruku od (kompromitovanog) zaposlenog u RGZ.
Izvor: https://twitter.com/alexatesic_teso/status/1732100958006460556, arhivirano: https://archive.ph/1pEfG
RE: Dark Web analiza rgz.gov.rs - 1van - 12-14-2023
Odgovor RGZ-a: https://www.021.rs/story/Info/Srbija/361240/Da-li-su-se-poverljivi-podaci-RGZ-nasli-na-dark-vebu-Oni-tvrde-da-nisu.html
Quote:Preliminarni rezultati analize ovog slučaja, prema njihovim rečima, ukazuju na to da je reč o "klasičnom pokušaju manipulacije onoga ko je ovu informaciju plasirao".
"Radi se o normalnoj pojavi u IT svetu, koja običnim građanima zvuči zabrinjavajuće. Ovakva situacija je uobičajena i dešava se svakodnevno, jer se nalozi spoljnih korisnika lako kompromituju i odnose se na javno dostupne servise i aplikacije. Ovakvi nalozi nemaju pristup IT sistemu institucije, osetljivim podacima građana, niti se koriste od strane državnih službenika", objašnjavaju za Danas u RGZ.
Dodaću samo: https://www.rgz.gov.rs/%D1%81%D0%B0%D1%82%D0%B5%D0%BB%D0%B8%D1%82%D1%81%D0%BA%D0%B8-%D1%81%D0%BD%D0%B8%D0%BC%D1%86%D0%B8
Quote:Приступ порталу предвиђен је за регистроване кориснике који су ангажовани на пословима грађевинске инспекције и озакоњења нелегално изграђених објеката. Регистрација корисника се врши достављањем попуњених и електронски потписаних формулара на е-маил адресу [email protected] (Захтев за приступ порталу и Изјава о прихватању услова) које можете преузети ако следите линкове приказане на дну странице.
I nikako mi nije jasno dokle će državne institucije (zapravo prave osobe koji tamo rade) da misle da ne želimo da im pomognemo... već da pokušavamo da manipulišemo (koga, šta, sa kojim ciljem?).
RE: Dark Web analiza rgz.gov.rs - 1van - 12-14-2023
Samo još da dodam da na SOCRadar-u ima podataka za sledeće domene (to što mi ne stavljamo sve moguće detalje odmah, ne znači da ih nema još):
Quote:satelitskisnimci.rgz.gov.rs
grider.rgz.gov.rs
agros.rgz.gov.rs
geomreze.rgz.gov.rs
esalter.rgz.gov.rs
katastar.rgz.gov.rs
email.rgz.gov.rs
idp.rgz.gov.rs
Black Market:
RE: Dark Web analiza rgz.gov.rs - 1van - 12-15-2023
I tekst u Danasu: https://www.danas.rs/vesti/ekonomija/rgz-podaci-dark-veb-crno-trziste-trgovina/
RE: Dark Web analiza rgz.gov.rs - 1van - 12-15-2023
IP rgz.gov.rs 93.87.76.203
IP satelitskisnimci.rgz.gov.rs 195.222.99.179
IP grider.rgz.gov.rs 93.87.56.82
IP agros.rgz.gov.rs 93.87.56.181
IP geomreze.rgz.gov.rs 93.87.56.181
IP esalter.rgz.gov.rs 93.87.56.77
IP katastar.rgz.gov.rs 93.87.56.105
IP email.rgz.gov.rs 93.87.56.7
IP idp.rgz.gov.rs 93.87.56.170
IP mailgw.rgz.gov.rs 93.87.56.22
RE: Dark Web analiza rgz.gov.rs - 1van - 12-21-2023
Imamo nove detalje od drugara iz https://sosintel.co.uk/:
Quote:1_860_496_URL-Login-Pass_.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all.new.f48.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:jelena.brkic:[PASSWORD_REDACTED]
all_txt-1-._httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-1-._httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]
suncloud_new.data.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
sunurl-PRIVATE-244-.txt:idp.rgz.gov.rs/auth/realms/RGZ/protocol/openid-connect/registrationslesrđan:[PASSWORD_REDACTED]
thelogssssssssss.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]
ulp_reallycloud-2-.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]
ulp_reallycloud-3-.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:jelena.knezevic:[PASSWORD_REDACTED]
URL+LOGIN+PASS#222.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:dusan.vukovic:[PASSWORD_REDACTED]
october_reallycloud-12-.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx dusan.vukovic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:jelena.knezevic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/:ikovincic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/owa/auth/expiredpassword.aspx:ikovincic:[PASSWORD_REDACTED]
WLFR_URL_CLOUD-2-.txt:https://email.rgz.gov.rs/:ikovincic:[PASSWORD_REDACTED]
WLFR_URL_CLOUD-2-.txt:https://email.rgz.gov.rs/owa/auth/expiredpassword.aspx:ikovincic:[PASSWORD_REDACTED]
Meni se čini da email i idp nisu baš javni RGZ servisi.
RE: Dark Web analiza rgz.gov.rs - 1van - 12-28-2023
Dobili smo novi odgovor od Poverenika, ukratko:
- Nadzor (Poverenik) i forenzika (verovatno Oktacron jer su oni radili i prošli put kad ništa nisu našli) su potvrdili da su kompromitovani nalozi korisnika spoljnih servisa
- Ono što su zaboravili da urade je da analiziraju naloge korisnika servisa idp.rgz.gov.rs kao i email.rgz.gov.rs
- A tek što su zaboravili je da urade kompletnu forenziku i monitoring, a ne samo naloga koje mi objavimo ovde (jer i mi ne objavljujemo sve)
- Ima još nepravilnosti u ovim odgovorima ali ja stvarno nemam vremena...
Ne znam više koliko ima smisla dopisivati se sa intitucijama i "poznatim" kompanijama (znam to sam i pre rekao), jednostavno su nestručni i/ili korumpirani.