Na prodaju mejlovi sa minljmpdd.gov.rs - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html) +--- Thread: Na prodaju mejlovi sa minljmpdd.gov.rs (/thread-800.html) |
Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-03-2023 Na crnom tržištu uočili smo da se prodaju OWA nalozi za minljmpdd.gov.rs (Ministarstvo za ljudska i manjinska prava i društveni dijalog): Ova ponuda pojavila se 04.08.2023, i nema dodatne detalje o kompromitovanim nalozima. Ako istražimo dalje, IP na kojoj se hostuje ovaj veb sajt je 195.222.99.250, to je CDN Kancelarije za informacione tehnologije i elektronsku upravu (iza koje se nalazi gomila sajtova). Ako pogledamo VirusTotal: https://www.virustotal.com/gui/ip-address/195.222.99.250/detection za ovu IP videćemo da je bilo detekcija pre 25 dana, tj. u isto vreme kada se pojavila i ova ponuda na crnom tržištu. Zatim OTX AlienVault ima skorašnje detekcije: https://otx.alienvault.com/indicator/ip/195.222.99.250 Greynoise takođe detektuje aktivnosti sa ove IP: https://viz.greynoise.io/ip/195.222.99.250 Dalje ako proverimo SPF za ovaj domen: https://mxtoolbox.com/SuperTool.aspx?action=mx%3aminljmpdd.gov.rs&run=toolpage, dobićemo sledeće IP adrese: - 195.222.96.10, Kancelarija za ITE Srbija - 37.187.118.58, OVH SAS France ??? - 195.222.99.221, Kancelarija za ITE Srbija - 195.222.99.222, Kancelarija za ITE Srbija A ako zatim proverimo aktivnosti ovih IP adrese dobijemo sledeće: - 195.222.99.221, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.221 - 195.222.99.222, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.222 Nakon ovih detalja možemo da zaključimo da je neki server (virtuelna instanca) koji koristi ovaj CDN (hosting i mejl) definitivno kompromitovan. I da je uzeći u obzir prethodne nalaze koje smo imali, a koji su dokazali da su mejlovi stvarno kompromitovani, možemo da zaključimo da je i ovo stvaran incident. RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-05-2023 Zanimljivo je da je sajt upitnik.minljmpdd.gov.rs koji je bio hostovan na jednom od MX: 37.187.118.58, OVH SAS France, danas (delimično) ugašen. Da li su odatle iscureli nalozi? Više o upitnik.minljmpdd.gov.rs u ovoj temi: https://bezbedanbalkan.net/thread-805.html. RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-14-2023 Izgleda da više ni Poverenika ne zanimaju ovakvi slučajevi. Dobio sam odgovor na prijavu incidenta, gde se navodi gomila zakona i odgovornosti drugih institucija (Ministarstvo, CERT, VTK, itd.). RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-18-2023 Dobili smo odgovor Ministarstva: Ja sam prethodno napisao ovo: Dakle, možemo da zaključimo da je do incidenta došlo, i da sada Povernik ima nadležnost? Usput, CERT-ovi se nisu javili. |