EPS - "nezapamćeni hakerski napad, kripto tipa"

[milos_rs]

interno obaveštenje zaposlenima u jednoj velikoj stranoj firmi, ne bih da imenujem

[1van]

Zanimljivo BB-OSINT-AGEGATOR je našao ovo: 

   

Zajednički činilac: hbdev.nites.rs. 

A onda vidimo da sam do "Energotehnike" došao preko "Moj Doktor":

   

Što se nekako mnogo podudara sa ovim obaveštenjem:



I našim analizama:

- OSINT analiza incidenata vezanih za resurse Elektro Privrede Srbije
- Dark Web analiza eps.rs
- Kompromitovan Energotehnika Južna Bačka (entjuba.rs)
- Kompromitovan mojdoktor.gov.rs
- Dark Web analiza mojdoktor.gov.rs

[milos_rs]

i malo "off topic" jel neko testirao ova wifi ("smart") brojila?
koliko ispratih po zemljama gde su vec neko vreme, brojne vuln. postoje... :/

Kod mene je ovaj https://www.ewg.rs/sr/pdf/brojila/EWG_E31xxAx.pdf

Pa piše:

U EWG ponudi su sledeći komunikacioni moduli: GPRS/GSM, PLC, RS232 / RS485, MBUS, Bežični MBUS, ZIGBEE, Bežični - RF.

A koji tačno modul ima i čime komunicira ne znam, vizuelno na samom brojilu ne vidim ništa što bi mi ukazalo na to. Znam da se podaci razmenjuju preko DLMS standarda https://www.dlms.com/core-specifications/

[y0d4]

da nije Nites kompromitovan onda?

[1van]

Treba pustimo za početak NITES adrese odavde kroz AbuseIPDB i ostale.

[milos_rs]

hahaha izgleda da je neko zaboravio da otkaže plaćene članke za EPS portal

   

[milos_rs]

Od nekoga na twitteru ko navodno zna nešto o slučaju...

   

   

   

   

[milos_rs]

da sačuvamo i zvanično saopštenje sa https://www.eps.rs/lat/vesti/Stranice/ep...napad.aspx

   

[1van]

Update sa SOCRadar: https://platform.socradar.com/app/threat...q=nites.rs

Da izdvojim najzanimljivije: 

- owa.eps.rs 5.183.26.15 5.183.24.15 195.250.121.65 178.220.231.243
- mantis.nites.rs 79.101.38.237

Infected Device - Accounts for "nites.rs" were observed for sale on the Russian Market, On Mar 02, 2023

{
    "country": "RS",
    "date": "2023.02.26",
    "files": "archive.zip",
    "id": "9363889",
    "isp": "Serbia Broadband",
    "links": [
        "members.mozzartbet.com",
        "eu.alienwarearena.com",
        "hd-torrents.org",
        "nekretnine.rs",
        "easypolls.net",
        "easypolls.net",
        "en.rutracker.org",
        "brzedoznanja.com",
        "s1.skijumpmania.com",
        "login.skype.com",
        "raidcall.com.ru",
        "easypolls.net",
        "rutracker.org",
        "renaultforumserbia.com",
        "battle-of-glory.com",
        "hattrick.org",
        "polovniautomobili.com",
        "accounts.google.com",
        "evo-web.co.uk",
        "scribd.com",
        "discordapp.com",
        "192.168.0.1",
        "booking.com",
        "booking.com",
        "signin.ea.com",
        "renaultforumserbia.com",
        "account.samsung.com",
        "account.samsung.com",
        "upwork.com",
        "99designs.com",
        "polovniautomobili.com",
        "polovniautomobili.com",
        "miniclip.com",
        "store.steampowered.com",
        "freelancer.com",
        "accounts.epicgames.com",
        "accounts.unrealengine.com",
        "camscanner.intsig.com",
        "uexaaagg10003.widgetone.wbpalmstar.zywx.org",
        "pinktaxivaljevo.netinformatika.com",
        "rs.factcool.com",
        "account.formula1.com",
        "n-sport.net",
        "users.wix.com",
        "knjige.club",
        "Serbia.android.huawei.com",
        "mojsbb.rs",
        "app.android.deezer",
        "chess.com",
        "plex.tv",
        "127.0.0.1",
        "app.polovniautomobili.com",
        "outlook.office.microsoft.com",
        "plex.tv",
        "app.plex.tv",
        "plex.tv",
        "mega.nz",
        "popcornsrbija.com",
        "android.instagram.com",
        "account.live.com",
        "sbb.rs",
        "login.live.com",
        "login.live.com",
        "myteamspeak.com",
        "app.plex.tv",
        "discordapp.com",
        "store.steampowered.com",
        "nikana.gr",
        "sbb.rs",
        "login.microsoftonline.com",
        "reddit.com",
        "nekretnine.rs",
        "myaccount.google.com",
        "twitter.com",
        "store.steampowered.com",
        "humblebundle.com",
        "opelteamserbia.com",
        "login.aliexpress.com",
        "owa.eps.rs",
        "epicgames.com",
        "connect.ubisoft.com",
        "mojsbb.rs",
        "99designs.com",
        "forum.benchmark.rs",
        "linkedin.com",
        "login.microsoftonline.com",
        "10.31.6.20",
        "chess.com",
        "account.xiaomi.com",
        "smarthome.xiaomi.com",
        "login.gog.com",
        "limundo.com",
        "api.twitter.com",
        "netflix.com",
        "asmp.vipmobile.rs",
        "vipmobile.rs",
        "aliexpresshd.alibaba.com",
        "forum.xda-developers.com",
        "podcastrs.appworks.io",
        "account.xiaomi.com",
        "mojsbb.rs",
        "eu.wargaming.net",
        "moj.esdnevnik.rs",
        "10.31.6.20",
        "pixelcodes.com",
        "epicgames.com",
        "accounts.google.com",
        "hrkgame.com",
        "id.kinguin.net",
        "gamivo.com",
        "my.eneba.com",
        "pinterest.com",
        "basic.f1timingapp2014.softpauer.com",
        "10.31.6.20",
        "10.31.6.20",
        "registracija.eid.gov.rs",
        "prijava.eid.gov.rs",
        "nagradnaigra.cedevita.com",
        "192.9.250.34",
        "mozzartbet.com",
        "mozzartbet.com",
        "komerzialna.prinum.com",
        "192.9.252.15",
        "iris.mts.rs",
        "health.hm.xiaomi.com",
        "android.vpnclient.surfshark.com",
        "192.9.252.230",
        "192.9.252.230",
        "registracija.eid.gov.rs",
        "prijava.eid.gov.rs",
        "balkandownload.org",
        "mi-srbija.rs",
        "profile.callofduty.com",
        "account.battle.net",
        "eu.battle.net",
        "profile.callofduty.com",
        "app.plex.tv",
        "hbomax.com",
        "play.hbomax.com",
        "192.9.250.135",
        "192.9.250.135",
        "admiralbet.rs",
        "account.booking.com",
        "profile.oracle.com",
        "dreamstime.com",
        "192.168.250.181",
        "twitch.tv",
        "gui.mpki.aeteurope.nl",
        "hmwatchmanager.watch.huami.com",
        "10.100.2.151",
        "192.9.250.34",
        "ananas.rs",
        "webott.kliktv.rs",
        "webott.kliktv.rs",
        "webott.kliktv.rs",
        "WizzAirApp.wizzair.com",
        "androidewgreader.ewg",
        "android-ewg-reader.firebaseapp.com",
        "login.tidal.com",
        "offer.tidal.com",
        "activate.hbomax.com",
        "disneyplus.com",
        "moj.mts.rs",
        "safetymapd.android.life360.com",
        "novi.kupujemprodajem.com",
        "shoppster.rs",
        "jsfiddle.net",
        "codecademy.com",
        "my.surfshark.com",
        "mojsbb.rs",
        "login.microsoftonline.com",
        "mail.zoho.eu",
        "sso.godaddy.com",
        "accounts.zoho.eu",
        "dash.cloudflare.com",
        "id.atlassian.com",
        "auto-data.net",
        "software-codes.com",
        "fordclubserbia.org",
        "KomBank.jimba.android.asseco.hr",
        "outlook.office.microsoft.com",
        "health.hm.xiaomi.com",
        "account.xiaomi.com",
        "jnportal.ujn.gov.rs",
        "10.31.6.20",
        "mantis.nites.rs",
        "wizzair.com",
        "members.mozzartbet.com",
        "eu.alienwarearena.com",
        "hd-torrents.org",
        "nekretnine.rs",
        "easypolls.net",
        "easypolls.net"
    ],
    "outlook": "-",
    "price": "10.00",
    "province": "Kolubara",
    "size": "0.20Mb",
    "stealer": "Racoon ",
    "vendor": "Mo####yf [Diamond]"
}

[1van]

Nove informacije, EPS portal i mejl još uvek ne rade, izvor: https://twitter.com/urosevic/status/1737844893756846228.

mail.eps.rs (178.220.231.242)
[email protected] (10.100.16.76)
SBGEXCH02.eps.local (10.100.220.51)
SBGEXCH3.eps.local (10.100.220.63)