Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html) +--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html) +--- Thread: Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? (/thread-729.html) |
Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? - milos_rs - 07-12-2023 https://twitter.com/protivdictature/status/1678122893568352257 Videh ovaj tvit i prvo što mi palo na pamet je kako ovo liči na profesionalnu i ciljanu phishing kampanju, onakve kakve smo videli da rade NSO Pegasus, Intellexa (bivši Cytrox) Predator i drugi. Dakle ovaj skrinšot je važan: Pre nego nastavim, ovo je sve zasnovano na spekulaciji, jer opipljivih dokaza nemam. Pročitajte prvo šta sam pisao na twitteru https://twitter.com/milos_rs_/status/1679066995235463169 ovde će biti neki dodatni tehnički detalji... Kada sam probao da odem na domen 09.07 uveče, video sam da ne radi, u DNS-u sam proverio da uopšte ne postoji A-record za domen. Onda sam pokušao preko gugla da nešto saznam i našao ostale domene koje sam spomenuo na twitteru. E sad, istorijski sam našao da je domen dnevnidogadjaji[.]com bio usmeren na Cloudflare: izgleda da je neko u brzini i panici kada je onaj twitter nalog objavio skrinšot, pod pretpostavkom da link nije kliknut, sklonio A rekorde odmah, a posle, 10/07 je domen usmeren na parking stranicu domen registratora, tj: Code: dnevnidogadjaji.com has address 162.255.119.26 ovo je česta taktika korišćena u visoko cilijanim napadima, gde se domen aktivira samo da se odradi phishing kampanja i onda da se uklone tragovi da bi se otežao posao istraživačima, kao i da se domen skloni sa vidika dok ne traje kampanja, otežavajući otkrivanje. Uglavnom sada je domen usmeren na parking stranicu od namecheap registra, kao što je i allfilebox.com, mislim da za ova dva domena mogu reći da su gotovo sigurno povezana jer je DNS i ostalo previše sličan, za ostale ne mogu biti toliko siguran ali mislim da su sumnje opravdane. Za druge domene koji možda nisu povezani sa ovom kampanjom ali su možda povezani sa špijunskim softverom koji je upotrebljen, je malo drugačija situacija: Code: opinionnews.org has address 172.67.201.54 Vidimo cloudflare i na ovima, kao što je bio i na onom prvobitnom, i vidimo imena domena koja su tematski slična i pogodna za phishing. Datumi registracije domena su šareni, moguće je takođe da su ovi domeni registrovani prvobitno od nekih domain squattera pa da su otkupljeni, to bi možda i objasnilo zašto sam našao u google kešu kao i internet arhivi tragove stranica sa besmislenim tekstovima, pogodnim za SEO. To mi je još jedna teorija o domenima. dnevnidogadjaji.com Creation Date: 2021-10-04T10:48:28.00Z opinionnews.org Creation Date: 2022-03-21T12:37:44Z allfilebox.com Creation Date: 2022-04-05T11:48:12.00Z cvonlinedata.net Creation Date: 2021-11-09T12:34:59Z message-medical.com Creation Date: 2022-02-15T11:04:21Z Gledao sam i na crt.sh gde se vidi da svi domeni prate nekako sličan tok kod kog su izdavača sertifikata vadili sertifikat, više izdavača je promenjeno tokom godina, otprilike u istim trenucima za neke od ovih domena. Uglavnom, mislim da su mi sumnje opravdane, ali teško je bilo šta dokazati, kad bi znali šta se desilo nakon kliktanja na onaj link, gde je preusmereno, koji dropper je korišćen, detalji C2, imali bi nešto, ovako samo mogu da spekulišem. RE: Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? - y0d4 - 07-12-2023 Odlican, svaka cast! za arhivu dns history u attachu. No. za hunt ovakvih stvari bilo bi pozeljno javiti doticnom i drugima kojima su meta da cim pre objave url-ove, kako bi uspelo nesto da se iskopa... Vro zanimljivo ovo moze biti ^^ RE: Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? - 1van - 07-12-2023 Da, odlična analiza. Dok ne nađem vremena da pogledam detaljnije, ostaviću samo ovaj možda relevatan detalj ovde: https://bezbedanbalkan.net/thread-63-post-148.html#pid148. RE: Potencijalni dokaz da Srbija koristi komercijalni špijunski softver? - 1van - 10-19-2023 Da ostavimo i ovo ovde: https://twitter.com/XudRobin/status/1262356057898323969, arhivirano: https://archive.ph/oKBF1. |