EPS - "nezapamćeni hakerski napad, kripto tipa"

EPS - "nezapamćeni hakerski napad, kripto tipa" - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: EPS - "nezapamćeni hakerski napad, kripto tipa" (/thread-1074.html)

Pages: 1 2 3 4 5 6 7 8 9

RE: portal.eps.rs ne radi ceo dan - milos_rs - 12-20-2023

interno obaveštenje zaposlenima u jednoj velikoj stranoj firmi, ne bih da imenujem

RE: portal.eps.rs ne radi ceo dan - 1van - 12-20-2023

Zanimljivo BB-OSINT-AGEGATOR je našao ovo:

Filename: hbdev.nites.rs_BBOSINT_1.png Size: 70.88 KB 12-20-2023, 12:05 PM

Zajednički činilac: hbdev.nites.rs.

A onda vidimo da sam do "Energotehnike" došao preko "Moj Doktor":

Filename: hbdev.nites.rs_BBOSINT_2.png Size: 245.63 KB 12-20-2023, 12:07 PM

Što se nekako mnogo podudara sa ovim obaveštenjem:

[Image: attachment.php?aid=1780]

I našim analizama:

- OSINT analiza incidenata vezanih za resurse Elektro Privrede Srbije
- Dark Web analiza eps.rs
- Kompromitovan Energotehnika Južna Bačka (entjuba.rs)
- Kompromitovan mojdoktor.gov.rs
- Dark Web analiza mojdoktor.gov.rs

RE: portal.eps.rs ne radi ceo dan - milos_rs - 12-20-2023

(12-20-2023, 12:01 PM)y0d4 Wrote: i malo "off topic" jel neko testirao ova wifi ("smart") brojila?
koliko ispratih po zemljama gde su vec neko vreme, brojne vuln. postoje... :/

Kod mene je ovaj https://www.ewg.rs/sr/pdf/brojila/EWG_E31xxAx.pdf

Pa piše:

Quote:U EWG ponudi su sledeći komunikacioni moduli: GPRS/GSM, PLC, RS232 / RS485, MBUS, Bežični MBUS, ZIGBEE, Bežični - RF.

A koji tačno modul ima i čime komunicira ne znam, vizuelno na samom brojilu ne vidim ništa što bi mi ukazalo na to. Znam da se podaci razmenjuju preko DLMS standarda https://www.dlms.com/core-specifications/

RE: portal.eps.rs ne radi ceo dan - y0d4 - 12-20-2023

da nije Nites kompromitovan onda?

RE: portal.eps.rs ne radi ceo dan - 1van - 12-20-2023

Treba pustimo za početak NITES adrese odavde kroz AbuseIPDB i ostale.

RE: portal.eps.rs ne radi ceo dan - milos_rs - 12-20-2023

hahaha izgleda da je neko zaboravio da otkaže plaćene članke za EPS portal

Filename: naslo.png Size: 128.25 KB 12-20-2023, 12:52 PM

RE: portal.eps.rs ne radi ceo dan - milos_rs - 12-20-2023

Od nekoga na twitteru ko navodno zna nešto o slučaju...

Filename: vb11.png Size: 18.77 KB 12-20-2023, 03:01 PM

Filename: vb22.png Size: 25.12 KB 12-20-2023, 03:01 PM

Filename: vb33.png Size: 16.73 KB 12-20-2023, 03:01 PM

Filename: vb44.png Size: 37 KB 12-20-2023, 03:01 PM

RE: EPS - "nezapamćeni hakerski napad, kripto tipa" - milos_rs - 12-20-2023

da sačuvamo i zvanično saopštenje sa https://www.eps.rs/lat/vesti/Stranice/eps-hakerski-napad.aspx

Filename: Screenshot 2023-12-20 at 16-25-25 Sistem i podaci bezbedni.png Size: 548.75 KB 12-20-2023, 03:25 PM

RE: EPS - "nezapamćeni hakerski napad, kripto tipa" - 1van - 12-20-2023

Update sa SOCRadar: https://platform.socradar.com/app/threat-hunting?q=nites.rs

Da izdvojim najzanimljivije:

- owa.eps.rs 5.183.26.15 5.183.24.15 195.250.121.65 178.220.231.243
- mantis.nites.rs 79.101.38.237

Infected Device - Accounts for "nites.rs" were observed for sale on the Russian Market, On Mar 02, 2023

Quote:{
"country": "RS",
"date": "2023.02.26",
"files": "archive.zip",
"id": "9363889",
"isp": "Serbia Broadband",
"links": [
"members.mozzartbet.com",
"eu.alienwarearena.com",
"hd-torrents.org",
"nekretnine.rs",
"easypolls.net",
"easypolls.net",
"en.rutracker.org",
"brzedoznanja.com",
"s1.skijumpmania.com",
"login.skype.com",
"raidcall.com.ru",
"easypolls.net",
"rutracker.org",
"renaultforumserbia.com",
"battle-of-glory.com",
"hattrick.org",
"polovniautomobili.com",
"accounts.google.com",
"evo-web.co.uk",
"scribd.com",
"discordapp.com",
"192.168.0.1",
"booking.com",
"booking.com",
"signin.ea.com",
"renaultforumserbia.com",
"account.samsung.com",
"account.samsung.com",
"upwork.com",
"99designs.com",
"polovniautomobili.com",
"polovniautomobili.com",
"miniclip.com",
"store.steampowered.com",
"freelancer.com",
"accounts.epicgames.com",
"accounts.unrealengine.com",
"camscanner.intsig.com",
"uexaaagg10003.widgetone.wbpalmstar.zywx.org",
"pinktaxivaljevo.netinformatika.com",
"rs.factcool.com",
"account.formula1.com",
"n-sport.net",
"users.wix.com",
"knjige.club",
"Serbia.android.huawei.com",
"mojsbb.rs",
"app.android.deezer",
"chess.com",
"plex.tv",
"127.0.0.1",
"app.polovniautomobili.com",
"outlook.office.microsoft.com",
"plex.tv",
"app.plex.tv",
"plex.tv",
"mega.nz",
"popcornsrbija.com",
"android.instagram.com",
"account.live.com",
"sbb.rs",
"login.live.com",
"login.live.com",
"myteamspeak.com",
"app.plex.tv",
"discordapp.com",
"store.steampowered.com",
"nikana.gr",
"sbb.rs",
"login.microsoftonline.com",
"reddit.com",
"nekretnine.rs",
"myaccount.google.com",
"twitter.com",
"store.steampowered.com",
"humblebundle.com",
"opelteamserbia.com",
"login.aliexpress.com",
"owa.eps.rs",
"epicgames.com",
"connect.ubisoft.com",
"mojsbb.rs",
"99designs.com",
"forum.benchmark.rs",
"linkedin.com",
"login.microsoftonline.com",
"10.31.6.20",
"chess.com",
"account.xiaomi.com",
"smarthome.xiaomi.com",
"login.gog.com",
"limundo.com",
"api.twitter.com",
"netflix.com",
"asmp.vipmobile.rs",
"vipmobile.rs",
"aliexpresshd.alibaba.com",
"forum.xda-developers.com",
"podcastrs.appworks.io",
"account.xiaomi.com",
"mojsbb.rs",
"eu.wargaming.net",
"moj.esdnevnik.rs",
"10.31.6.20",
"pixelcodes.com",
"epicgames.com",
"accounts.google.com",
"hrkgame.com",
"id.kinguin.net",
"gamivo.com",
"my.eneba.com",
"pinterest.com",
"basic.f1timingapp2014.softpauer.com",
"10.31.6.20",
"10.31.6.20",
"registracija.eid.gov.rs",
"prijava.eid.gov.rs",
"nagradnaigra.cedevita.com",
"192.9.250.34",
"mozzartbet.com",
"mozzartbet.com",
"komerzialna.prinum.com",
"192.9.252.15",
"iris.mts.rs",
"health.hm.xiaomi.com",
"android.vpnclient.surfshark.com",
"192.9.252.230",
"192.9.252.230",
"registracija.eid.gov.rs",
"prijava.eid.gov.rs",
"balkandownload.org",
"mi-srbija.rs",
"profile.callofduty.com",
"account.battle.net",
"eu.battle.net",
"profile.callofduty.com",
"app.plex.tv",
"hbomax.com",
"play.hbomax.com",
"192.9.250.135",
"192.9.250.135",
"admiralbet.rs",
"account.booking.com",
"profile.oracle.com",
"dreamstime.com",
"192.168.250.181",
"twitch.tv",
"gui.mpki.aeteurope.nl",
"hmwatchmanager.watch.huami.com",
"10.100.2.151",
"192.9.250.34",
"ananas.rs",
"webott.kliktv.rs",
"webott.kliktv.rs",
"webott.kliktv.rs",
"WizzAirApp.wizzair.com",
"androidewgreader.ewg",
"android-ewg-reader.firebaseapp.com",
"login.tidal.com",
"offer.tidal.com",
"activate.hbomax.com",
"disneyplus.com",
"moj.mts.rs",
"safetymapd.android.life360.com",
"novi.kupujemprodajem.com",
"shoppster.rs",
"jsfiddle.net",
"codecademy.com",
"my.surfshark.com",
"mojsbb.rs",
"login.microsoftonline.com",
"mail.zoho.eu",
"sso.godaddy.com",
"accounts.zoho.eu",
"dash.cloudflare.com",
"id.atlassian.com",
"auto-data.net",
"software-codes.com",
"fordclubserbia.org",
"KomBank.jimba.android.asseco.hr",
"outlook.office.microsoft.com",
"health.hm.xiaomi.com",
"account.xiaomi.com",
"jnportal.ujn.gov.rs",
"10.31.6.20",
"mantis.nites.rs",
"wizzair.com",
"members.mozzartbet.com",
"eu.alienwarearena.com",
"hd-torrents.org",
"nekretnine.rs",
"easypolls.net",
"easypolls.net"
],
"outlook": "-",
"price": "10.00",
"province": "Kolubara",
"size": "0.20Mb",
"stealer": "Racoon ",
"vendor": "Mo####yf [Diamond]"
}

RE: EPS - "nezapamćeni hakerski napad, kripto tipa" - 1van - 12-21-2023

Nove informacije, EPS portal i mejl još uvek ne rade, izvor: https://twitter.com/urosevic/status/1737844893756846228.

mail.eps.rs (178.220.231.242)
[email protected] (10.100.16.76)
SBGEXCH02.eps.local (10.100.220.51)
SBGEXCH3.eps.local (10.100.220.63)