+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan mojdoktor.gov.rs (/thread-402.html)
RE: Kompromitovan mojdoktor.gov.rs - 1van - 08-18-2023
Stigao je odgovor Ministarstva zdravlja tj. Poverenika:
Ukratko sistemi jesu bili kompromitovani (duži period). Sada navodno neko i radi na ovom problemu.
Hvala celoj zajednici na podeljim detaljima koje smo koristili za analize, i širenju vesti.
RE: Kompromitovan mojdoktor.gov.rs - 1van - 08-19-2023
Dodao bih samo da su "stručnjaci" zaključili da nije bilo curenja ličnih podataka, iako su priznali da su sistemi na terminalima i pristupni podaci za domenske naloge kompromitovani.
Veoma je mala verovatnoća da podaci nisu iscureli (posle toliko vremena). Bilo bi lepo videti forenzičku analizu na osnovu koje su došli do ovog zaključka.
Sve u svemu, i da podaci koji podležu nadležnosti Poverenika nisu kompromitovani, siguran sam da je došlo do povrede nekih drugih zakona vezanih za informatičku bezbednost.
RE: Kompromitovan mojdoktor.gov.rs - 1van - 09-04-2023
Da ne propustimo par zanimljivih detalja iz: https://birn.rs/informaciona-bezbednost-srbije/.
Quote:Prema istraživanju BIRN-a, zdravstveni podaci građana su izloženi velikom riziku zloupotrebe zbog konfiguracije sistema koja omogućava neovlašćenim stranama lako pristupanje tim podacima.
Revizor u izveštaju objavljenom 10. februara 2021. navodi da nekoliko kompanija koje pružaju usluge održavanja informacionog sistema ima pristup osetljivim zdravstvenim podacima građana, što može dovesti do situacije da treća strana ima neovlašćen pristup ovim podacima, što se ranije već dešavalo.
Revizor ističe da službenici mogu lako pristupiti podacima pacijenata bez njihovog znanja, unosom samo jednog ulaznog podatka, kao što je matični broj, ime ili prezime, čak i ako pacijent nije fizički prisutan. Izveštaj takođe ukazuje na to da u većini zdravstvenih ustanova USB portovi nisu zaključani, što znači da je moguće preuzeti ili snimiti sve podatke o dijagnozama, lekarskim izveštajima i slično.
U izveštaju se takođe navodi da ne postoji plan za slučaj iznenadnog prekida rada sistema, koji je ključan za zakazivanje pregleda i lečenja. Dodatno, nisu usvojene procedure za bekapovanje i čuvanje podataka, zbog čega hard diskovi i rezervni podaci nisu kriptovani. Ministarstvo zdravlja i „Batut“ smatraju da to nije veliki rizik, što revizor osporava.
Revizor navodi da Ministarstvo zdravlja nije uspostavilo mehanizam zaštite podataka zdravstvenih osiguranika od strane pružalaca usluga aplikativnog softvera „Moj doktor“.
RE: Kompromitovan [email protected] - VincaSec - 10-26-2023
Izgleda da i dalje traje napad sa mejl servera mojdoktor.gov.rs
RE: Kompromitovan mojdoktor.gov.rs - VincaSec - 10-27-2023
Malo sam analizirao ponašanje tog malwar-a i u prilogu se nalaze rezultati.
https://analyze.intezer.com/analyses/794094eb-caa6-403d-9d40-2dbce1278d1a/sub/34dbcc79-5f3c-4ee8-91b5-e6b0df1250fb/
https://www.virustotal.com/gui/file/fbe53f92a5bd344b9de096b73e0393350572cead08de228bba059510284c59af/detection
https://www.virustotal.com/gui/file/9f839303c95d32d8ecc3e84fecaa9f794135dcf1e4ea73902a1036ac4b527e9f/detection (ovaj fajl se nalazi unutar fajla sa .cab ekstenzijom)
RE: Kompromitovan mojdoktor.gov.rs - 1van - 11-07-2023
Iz detalja sa AbuseDB možemo da zaključimo da se radi o tri nove adrese:
[email protected]
[email protected]
[email protected]
RE: Kompromitovan mojdoktor.gov.rs - 1van - 11-09-2023
Ovo sam propustio: [email protected]
RE: Kompromitovan mojdoktor.gov.rs - Jana - 11-16-2023
Novi pregled istorije slučaja zloupotrebe mejl servera mojdoktor.rs:
RE: Kompromitovan mojdoktor.gov.rs - VincaSec - 11-18-2023
Postoji povezanost domena mojdoktor.gov.rs sa ovim fajlovima.
https://www.virustotal.com/gui/domain/mojdoktor.gov.rs/relations
RE: Kompromitovan mojdoktor.gov.rs - 1van - 11-26-2023
Moguće je da su ovi slučajevi iz Jula i Avgusta povezani sa:
Quote:A cross-site scripting zero-day flaw in the Zimbra Collaboration email server proved to be a bonanza for hackers as four distinct threat actors exploited the bug to steal email data and user credentials, said Google.
Researchers at Google's Threat Analysis Group in June discovered a zero-day vulnerability, tracked as CVE-2023-37580, being actively exploited in the wild.
Most of the exploit activity occurred after Zimbra had posted a hotfix onto its public GitHub site on July 5. The company published remediation guidance on July 13 but didn't release a patch until July 25. "Three of these campaigns began after the hotfix was initially made public highlighting the importance of organizations applying fixes as quickly as possible," Google said.
Detalji: https://www.databreachtoday.com/google-says-4-attack-campaigns-exploited-zimbra-zero-day-a-23607