Na prodaju mejlovi sa minljmpdd.gov.rs

Na prodaju mejlovi sa minljmpdd.gov.rs - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Na prodaju mejlovi sa minljmpdd.gov.rs (/thread-800.html)

Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-03-2023

Na crnom tržištu uočili smo da se prodaju OWA nalozi za minljmpdd.gov.rs (Ministarstvo za ljudska i manjinska prava i društveni dijalog):

Filename: minljmpdd.gov.rs_owa_1.png Size: 23.74 KB 09-03-2023, 08:48 AM

Ova ponuda pojavila se 04.08.2023, i nema dodatne detalje o kompromitovanim nalozima. Ako istražimo dalje, IP na kojoj se hostuje ovaj veb sajt je 195.222.99.250, to je CDN Kancelarije za informacione tehnologije i elektronsku upravu (iza koje se nalazi gomila sajtova).

Ako pogledamo VirusTotal: https://www.virustotal.com/gui/ip-address/195.222.99.250/detection za ovu IP videćemo da je bilo detekcija pre 25 dana, tj. u isto vreme kada se pojavila i ova ponuda na crnom tržištu.

Filename: 195.222.99.250_VirusTotal_1.png Size: 104.45 KB 09-03-2023, 08:53 AM

Zatim OTX AlienVault ima skorašnje detekcije: https://otx.alienvault.com/indicator/ip/195.222.99.250

Filename: 195.222.99.250_OTX_1.png Size: 160.4 KB 09-03-2023, 08:56 AM

Greynoise takođe detektuje aktivnosti sa ove IP: https://viz.greynoise.io/ip/195.222.99.250

Filename: 195.222.99.250_GreyNoise_1.png Size: 110.84 KB 09-03-2023, 08:58 AM

Dalje ako proverimo SPF za ovaj domen: https://mxtoolbox.com/SuperTool.aspx?action=mx%3aminljmpdd.gov.rs&run=toolpage, dobićemo sledeće IP adrese:

- 195.222.96.10, Kancelarija za ITE Srbija
- 37.187.118.58, OVH SAS France ???
- 195.222.99.221, Kancelarija za ITE Srbija
- 195.222.99.222, Kancelarija za ITE Srbija

A ako zatim proverimo aktivnosti ovih IP adrese dobijemo sledeće:

- 195.222.99.221, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.221

Filename: 195.222.99.221_ThreatBook_1.png Size: 67 KB 09-03-2023, 09:04 AM

- 195.222.99.222, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.222

Filename: 195.222.99.222_ThreatBook_1.png Size: 66.17 KB 09-03-2023, 09:06 AM

Nakon ovih detalja možemo da zaključimo da je neki server (virtuelna instanca) koji koristi ovaj CDN (hosting i mejl) definitivno kompromitovan. I da je uzeći u obzir prethodne nalaze koje smo imali, a koji su dokazali da su mejlovi stvarno kompromitovani, možemo da zaključimo da je i ovo stvaran incident.

RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-05-2023

Zanimljivo je da je sajt upitnik.minljmpdd.gov.rs koji je bio hostovan na jednom od MX: 37.187.118.58, OVH SAS France, danas (delimično) ugašen. Da li su odatle iscureli nalozi?

Više o upitnik.minljmpdd.gov.rs u ovoj temi: https://bezbedanbalkan.net/thread-805.html.

RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-14-2023

Izgleda da više ni Poverenika ne zanimaju ovakvi slučajevi. Dobio sam odgovor na prijavu incidenta, gde se navodi gomila zakona i odgovornosti drugih institucija (Ministarstvo, CERT, VTK, itd.).

Filename: minljmpdd.gov.rs_Poverenik.png Size: 87.26 KB 09-14-2023, 07:16 AM

RE: Na prodaju mejlovi sa minljmpdd.gov.rs - 1van - 09-18-2023

Dobili smo odgovor Ministarstva:

Filename: minljmpdd.gov.rs_odg_1.png Size: 786.49 KB 09-18-2023, 09:25 AM

Ja sam prethodno napisao ovo:

Filename: minljmpdd.gov.rs_fwd_1.png Size: 136.95 KB 09-18-2023, 09:26 AM

Dakle, možemo da zaključimo da je do incidenta došlo, i da sada Povernik ima nadležnost? Usput, CERT-ovi se nisu javili.