Dark Web analiza rgz.gov.rs

[VincaSec]

Rezultati analize:
https://socradar.io/labs/dark-web-report...2109aefb46
   
   
   
   

[1van]

Sa besplatnim SOCRadar nalogom ne mogu da vidim mnogo detalja, ali i ovo što vidim je katastofa. Imaju logove zaposlenih (ukradene šifre sa kompijutera odakle se loguju zaposleni) još od 2021. godine. 

Dakle RGZ je kompromitovan i pre ovoga: Analiza napada na Republički Geodetski Zavod (RGZ) Srbije



Evo primera jednog loga (Russian Market):

{
    "country": "RS",
    "date": "2023.10.04",
    "files": "archive.zip",
    "id": "12519649",
    "isp": "TELEKOM-SRBIJA",
    "links": [
        "accounts.google.com",
        "abudhabi.dubizzle.com",
        "naukrigulf.com",
        "dubai.dubizzle.com",
        "budo70.adriahost.com",
        "3d-land.net",
        "gulftalent.com",
        "accounts.google.com",
        "babysleepmadesimple.com",
        "promemoria.com",
        "syncronia.com",
        "bellavistacollection.com",
        "bellavistacollection.com",
        "login.archipassport.com",
        "login.archipassport.com",
        "blacktiesofas.it",
        "vizpark.com",
        "rugianotech.com",
        "3dsmarket.com",
        "3dsky.org",
        "cgtrader.com",
        "login.live.com",
        "zamunda.net",
        "online.dis.rs",
        "flexform.it",
        "3dmili.com",
        "eichholtz.com",
        "eon.tv",
        "prijava.eid.gov.rs",
        "mariescorner.com",
        "satelitskisnimci.rgz.gov.rs",
        "pozarevac.rs",
        "login.live.com",
        "reid.apr.gov.rs",
        "cg-source.com",
        "shop3dmili.com",
        "prostoria.eu",
        "vibia.com",
        "designconnected.com",
        "satelitskisnimci.rgz.gov.rs",
        "account.live.com",
        "he-accounts.force.com",
        "contardi-italia.com",
        "meridiani.it",
        "3dsky.org",
        "interni-edition.com",
        "fshare.vn",
        "contardi-italia.it",
        "rs.accounts.ikea.com",
        "pozarevac.rs",
        "tickets.rs",
        "accounts.fitbit.com",
        "amibo.rs",
        "accounts.google.com",
        "login.live.com",
        "shop.lilly.rs",
        "lilly.clickandbasket.com",
        "accounts.google.com",
        "abudhabi.dubizzle.com",
        "naukrigulf.com",
        "dubai.dubizzle.com",
        "budo70.adriahost.com",
        "3d-land.net",
        "gulftalent.com",
        "accounts.google.com",
        "babysleepmadesimple.com",
        "promemoria.com",
        "syncronia.com",
        "bellavistacollection.com",
        "bellavistacollection.com",
        "login.archipassport.com",
        "login.archipassport.com",
        "blacktiesofas.it",
        "vizpark.com",
        "rugianotech.com",
        "3dsmarket.com",
        "3dsky.org",
        "cgtrader.com",
        "login.live.com",
        "zamunda.net",
        "online.dis.rs",
        "flexform.it",
        "3dmili.com",
        "eichholtz.com",
        "eon.tv",
        "prijava.eid.gov.rs",
        "mariescorner.com",
        "satelitskisnimci.rgz.gov.rs",
        "pozarevac.rs",
        "login.live.com",
        "reid.apr.gov.rs",
        "cg-source.com",
        "shop3dmili.com",
        "prostoria.eu",
        "vibia.com",
        "designconnected.com",
        "satelitskisnimci.rgz.gov.rs",
        "account.live.com",
        "he-accounts.force.com",
        "contardi-italia.com",
        "meridiani.it",
        "3dsky.org",
        "interni-edition.com",
        "fshare.vn",
        "contardi-italia.it",
        "rs.accounts.ikea.com",
        "textures.com"
    ],
    "outlook": "-",
    "price": "10.00",
    "province": "Belgrade",
    "size": "0.41Mb",
    "stealer": "stealc ",
    "vendor": "Mo####yf [Diamond]"
}

Onda objavljeni kredencijali (2022-11-10):

[email protected]:k*****
[email protected]:c*****
[email protected]:r*****

Cookies: 

{
      "name": "system",
      "value": "271cc5sqs8bnt2cn342u0pa7jg",
      "domain": "rgz.gov.rs",
      "path": "/",
      "expires": -1,
      "size": 32,
      "httpOnly": true,
      "secure": false,
      "session": true,
      "priority": "Medium"
    },

I tako dalje, nadam se da će ovo Poverenik ponovo lepo da ispita.

[1van]

Ostaviću i ovaj sažetak sa SOCRadar-a da imamo kao dokaz (pre nego što još neko dobije orden):
Datumi su kada je SOCRadar detektovao, a iz detalja sam uspeo sa saznam da ima podataka koji kreću od 2021. godine.

   

[1van]

Da dodamo i ovaj komentar gde imamo potvrdu da je Poverenik rekao da je novinar BIRN-a slučajno dobio poruku od (kompromitovanog) zaposlenog u RGZ.

Izvor: https://twitter.com/alexatesic_teso/stat...8006460556, arhivirano: https://archive.ph/1pEfG

   

[1van]

Odgovor RGZ-a: https://www.021.rs/story/Info/Srbija/361...-nisu.html

Preliminarni rezultati analize ovog slučaja, prema njihovim rečima, ukazuju na to da je reč o "klasičnom pokušaju manipulacije onoga ko je ovu informaciju plasirao".

"Radi se o normalnoj pojavi u IT svetu, koja običnim građanima zvuči zabrinjavajuće. Ovakva situacija je uobičajena i dešava se svakodnevno, jer se nalozi spoljnih korisnika lako kompromituju i odnose se na javno dostupne servise i aplikacije. Ovakvi nalozi nemaju pristup IT sistemu institucije, osetljivim podacima građana, niti se koriste od strane državnih službenika", objašnjavaju za Danas u RGZ.

Dodaću samo: https://www.rgz.gov.rs/%D1%81%D0%B0%D1%8...1%86%D0%B8

Приступ порталу предвиђен је за регистроване кориснике који су ангажовани на пословима грађевинске инспекције и озакоњења нелегално изграђених објеката. Регистрација корисника се врши достављањем попуњених и електронски потписаних формулара на е-маил адресу [email protected] (Захтев за приступ порталу и Изјава о прихватању услова) које можете преузети ако следите линкове приказане на дну странице.

I nikako mi nije jasno dokle će državne institucije (zapravo prave osobe koji tamo rade) da misle da ne želimo da im pomognemo... već da pokušavamo da manipulišemo (koga, šta, sa kojim ciljem?).

[1van]

Samo još da dodam da na SOCRadar-u ima podataka za sledeće domene (to što mi ne stavljamo sve moguće detalje odmah, ne znači da ih nema još):

satelitskisnimci.rgz.gov.rs
grider.rgz.gov.rs
agros.rgz.gov.rs
geomreze.rgz.gov.rs
esalter.rgz.gov.rs
katastar.rgz.gov.rs
email.rgz.gov.rs
idp.rgz.gov.rs

Black Market:

   

[1van]

I tekst u Danasu: https://www.danas.rs/vesti/ekonomija/rgz...-trgovina/

[1van]

IP rgz.gov.rs 93.87.76.203
IP satelitskisnimci.rgz.gov.rs 195.222.99.179
IP grider.rgz.gov.rs 93.87.56.82
IP agros.rgz.gov.rs 93.87.56.181
IP geomreze.rgz.gov.rs 93.87.56.181
IP esalter.rgz.gov.rs 93.87.56.77
IP katastar.rgz.gov.rs 93.87.56.105
IP email.rgz.gov.rs 93.87.56.7
IP idp.rgz.gov.rs 93.87.56.170
IP mailgw.rgz.gov.rs 93.87.56.22

[1van]

Imamo nove detalje od drugara iz https://sosintel.co.uk/:

1_860_496_URL-Login-Pass_.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all.new.f48.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:jelena.brkic:[PASSWORD_REDACTED]
all_txt-1-._httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-1-._httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]
suncloud_new.data.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:nikolajovic87:[PASSWORD_REDACTED]
sunurl-PRIVATE-244-.txt:idp.rgz.gov.rs/auth/realms/RGZ/protocol/openid-connect/registrationslesrđan:[PASSWORD_REDACTED]
thelogssssssssss.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]
ulp_reallycloud-2-.txt:https://idp.rgz.gov.rs/auth/realms/RGZ/login-actions/registration:[email protected]:[PASSWORD_REDACTED]


ulp_reallycloud-3-.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:jelena.knezevic:[PASSWORD_REDACTED]
URL+LOGIN+PASS#222.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:dusan.vukovic:[PASSWORD_REDACTED]
october_reallycloud-12-.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx dusan.vukovic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/owa/auth/logon.aspx:jelena.knezevic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/:ikovincic:[PASSWORD_REDACTED]
all_txt-2-httpst.me+91p0-mGBKBiMjUy.txt:https://email.rgz.gov.rs/owa/auth/expiredpassword.aspx:ikovincic:[PASSWORD_REDACTED]
WLFR_URL_CLOUD-2-.txt:https://email.rgz.gov.rs/:ikovincic:[PASSWORD_REDACTED]
WLFR_URL_CLOUD-2-.txt:https://email.rgz.gov.rs/owa/auth/expiredpassword.aspx:ikovincic:[PASSWORD_REDACTED]

Meni se čini da email i idp nisu baš javni RGZ servisi.

[1van]

Dobili smo novi odgovor od Poverenika, ukratko:

- Nadzor (Poverenik) i forenzika (verovatno Oktacron jer su oni radili i prošli put kad ništa nisu našli) su potvrdili da su kompromitovani nalozi korisnika spoljnih servisa
- Ono što su zaboravili da urade je da analiziraju naloge korisnika servisa idp.rgz.gov.rs kao i email.rgz.gov.rs
- A tek što su zaboravili je da urade kompletnu forenziku i monitoring, a ne samo naloga koje mi objavimo ovde (jer i mi ne objavljujemo sve)
- Ima još nepravilnosti u ovim odgovorima ali ja stvarno nemam vremena...

Ne znam više koliko ima smisla dopisivati se sa intitucijama i "poznatim" kompanijama (znam to sam i pre rekao), jednostavno su nestručni i/ili korumpirani.