FZO RS: Hakeri napali IZIS

[sonym]

Sta je na izisrs.org?

[sonym]

“Zdravo. Prvo, vaši podaci su izvađeni i uskoro će biti javno objavljeni. Drugo, ovo je važno, ne petljajte se sa vašim kriptovanim fajlovima: nemojte pokušavati da ih pokrećete, otvarate, uređujete, dešifrujete, konvertujete, formatirate ili popravljate. Uništićete ih i učiniti proces dešifrovanja nepotrebno bolnim. Još jedna napomena: nema svrhe uključivati treće strane, posrednici vam ne mogu pomoći, ali će stvari učiniti skupljim. Molimo vas da nas kontaktirate“, navodi se između ostalog u ovoj poruci.

Hakeri zaključali IZIS i poslali poruku Fondu za „bezbolno“ rješenje

[1van]

Sta je na izisrs.org?

Dobro pitanje. Izgleda da je to neki stari domen ovog sistema (ima po Google):

   

[milos_rs]

postoje dve arhive te stranice na archive.org

jedna je:

   

a druga je Plesk Web Server's Default Page, sa datumom October 1, 2023

onda auth.izisrs.org ima mesečne arhive počev od aprila 2019 pa sve do februara 2020, i izgleda ovako:

   

[1van]

Izgleda da je to test okruženje od početka problem, izvor: https://twitter.com/vladimircicovic/stat...7850570201

Zatim mojkarton.com: 

   

Spominje se i "Havoc C2 Framework": https://twitter.com/chelichno_mudo/statu...3165535612

[1van]

I da priložimo još malo dokaza da postoji konekcija između osoba koje imaju pristup razvojnom i aplikativnom okruženju, stealer logs sa SOCRadar:

Infected Device - Accounts for "izisrs.org" were observed for sale on the Russian Market, On May 16, 2023

{
    "country": "BA",
    "date": "2023.05.10",
    "files": "archive.zip",
    "id": "10794323",
    "isp": "Telekom Srpske",
    "links": [
        "testauth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "auth.izisrs.org",
        "aplikacija.zdravstvo-srpske.org"
    ],
    "outlook": "-",
    "price": "10.00",
    "province": "Republika Srpska",
    "size": "0.04Mb",
    "stealer": "Racoon ",
    "vendor": "Mo####yf [Diamond]"
}



Infected Device - Accounts for "izisrs.org" were observed for sale on the Russian Market, On Mar 30, 2023

{
    "country": "BA",
    "date": "2023.03.27",
    "files": "archive.zip",
    "id": "9941462",
    "isp": "Telekom Srpske",
    "links": [
        "signin.ebay.com",
        "olx.ba",
        "emea3.recruitmentplatform.com",
        "linkedin.com",
        "facebook.com",
        "instagram.com",
        "accounts.google.com",
        "sepstream.com",
        "hashflare.io",
        "netflix.com",
        "accounts.google.com",
        "pdftoword.com",
        "mpoo.org",
        "ees-catalog.com",
        "ees-catalog.com",
        "olx.ba",
        "app.safervpn.com",
        "aplikacija.zdravstvo-srpske.org",
        "accounts.google.com",
        "192.168.0.50",
        "accounts.google.com",
        "aplikacija.zdravstvo-srpske.org",
        "auth.izisrs.org",
        "192.168.0.50",
        "accounts.google.com",
        "imaios.com"
    ],
    "outlook": "-",
    "price": "10.00",
    "province": "Republika Srpska",
    "size": "0.31Mb",
    "stealer": "Racoon ",
    "vendor": "Mo####yf [Diamond]"
}

[1van]

O incidentu: https://mojahercegovina.com/vladimir-cic...scode-mup/ by @kernel_priest.

[kernel_priest]

Kod android aplikacije je potpisan sa MMSCODOM sertifikatom.
Ministarstvo zdravlja nije vlasnik i u slucaju zatvaranja firme nastace veliki problem.

Nasa android app, MojKarton je koristen flutteru

[sonym]

Vjerujem da je ovo pitanje (tehnicke) neorganizacije. Pretpostavljam da postoji klauzula u Ugovoru o prenosu vlasnistva nad kodom i sl. Takodje, mislim da bi Fond zdravstvenog osiguranja trebao biti vlasnik a ne Ministarstvo.

[kernel_priest]

Mysql baza na izisrs . org je bila otvorena prema internetu

skrinshoot sa shodana. istorijski zapis

Hvala covjeku na pomoci (dobio sam od drugih info)


IP Adresa: 81.93.64.34
domen: ex izisrs.org, sada je www[.]edbpale[.]com