Par novih informacija, može se pretpostaviti da maliciozni akteri češljaju ove četove za baš ovakve podatke i da će pokušati da ih iskoriste te je bitno da se hitno osigura sve što se spominje u ovim četovima...
Posle malo dublje analize možda imam teoriju o kojoj srpskoj GOV organizaciji je reč
član black baste sa nadimkom "usernamezz" je 2023-10-19 11:15:02 napisao da je pristupio "serbian gov"
isti član je 2023-10-20 18:51:47 ostavio poruku gde deli podatke za pristup četiri različita Palo Alto GlobalProtect VPN portala od različitih firmi, i među njima su kredencijale za pristup GlobalProtect portalu od Privredne Komore Srbije :
Te mislim da ona prethodna analiza od strane ChatGPT-a nije tačna, nego da je ovaj član samo javio u čet kanalu da je pristupio na "serbian gov" i sledeći dan podelio pristup sa drugima. Da li je došlo do kompromitacije ne možemo znati. IP adresa u pitanju je još uvek i danas GlobalProtect od PKS :
Drugi komentar vezan za Srbiju gde je korisnik sa nadimkom usernamenn rekao da "Srbija ne radi", sa datumom 2023-11-28 15:43:06, može biti povezan sa ovim pristupom na PKS, gde su možda izgubili pristup malo više od mesec dana posle navodnog upada. Ovo je naravno samo špekulacija.
Druga zanimljivost je na dan 2024-01-29 16:10:09 član sa nadimkom "usernamegg" podelio je obilan spisak RDP pristupa na razne računare po celom svetu, među njima je i jedan računar sa IP adresom iz Srbije. Računar se zove KRAGUJEVAC-TS (očigledno Terminal Server) a korisničko ime čija šifra je podeljena je Marijana.
Kako Shodan javlja, ovaj računar je poslednji put bio dostupan 2025-02-15 i još uvek postoji nalog Marijana na njemu, pored toga je starinski i nesigurni Windows 7:
Posle malo dublje analize možda imam teoriju o kojoj srpskoj GOV organizaciji je reč
član black baste sa nadimkom "usernamezz" je 2023-10-19 11:15:02 napisao da je pristupio "serbian gov"
isti član je 2023-10-20 18:51:47 ostavio poruku gde deli podatke za pristup četiri različita Palo Alto GlobalProtect VPN portala od različitih firmi, i među njima su kredencijale za pristup GlobalProtect portalu od Privredne Komore Srbije :
Code:
vladimir.markovic;XXXX;https://217.XXX.XXX.XXX/global-protect/login.esp || connect + || GOV || www.pks.rsTe mislim da ona prethodna analiza od strane ChatGPT-a nije tačna, nego da je ovaj član samo javio u čet kanalu da je pristupio na "serbian gov" i sledeći dan podelio pristup sa drugima. Da li je došlo do kompromitacije ne možemo znati. IP adresa u pitanju je još uvek i danas GlobalProtect od PKS :
Drugi komentar vezan za Srbiju gde je korisnik sa nadimkom usernamenn rekao da "Srbija ne radi", sa datumom 2023-11-28 15:43:06, može biti povezan sa ovim pristupom na PKS, gde su možda izgubili pristup malo više od mesec dana posle navodnog upada. Ovo je naravno samo špekulacija.
Druga zanimljivost je na dan 2024-01-29 16:10:09 član sa nadimkom "usernamegg" podelio je obilan spisak RDP pristupa na razne računare po celom svetu, među njima je i jedan računar sa IP adresom iz Srbije. Računar se zove KRAGUJEVAC-TS (očigledno Terminal Server) a korisničko ime čija šifra je podeljena je Marijana.
Kako Shodan javlja, ovaj računar je poslednji put bio dostupan 2025-02-15 i još uvek postoji nalog Marijana na njemu, pored toga je starinski i nesigurni Windows 7: