01-26-2023, 07:28 PM
(This post was last modified: 04-11-2023, 11:48 AM by 1van.
Edit Reason: Ubačen IMG tag.
)
Cena: 15$
Na prodaju e-mail nalozi (OWA) na epsdistribucija.rs / eps.rs
|
01-26-2023, 07:28 PM
(This post was last modified: 04-11-2023, 11:48 AM by 1van.
Edit Reason: Ubačen IMG tag.
)
Cena: 15$
04-06-2023, 01:16 PM
(This post was last modified: 04-06-2023, 03:19 PM by 1van.
Edit Reason: Ubačeni detalji.
)
Još uvek nema nekog konretnog odgovora nadležnih u vezi sa ovim slučajem, a stvar je kritična. Na crnom tržistu postoje slike ekrana kompromitovanih mejl naloga sa detaljima zaposlenih u EPS-u, ugovorima, obračunima, porukama sindikata i slično.
Najviše što smo dobili je ono što je Danas uspeo da izvuče od nadležnih institucija: https://www.danas.rs/vesti/drustvo/na-ak...kultetima/. Quote:Iz CERT-a, nacionalne agencije za elektronsku komunikaciju koja je i nadležna za praćenje ovakvih pretnji, kažu za Danas da su upoznati sa ovim slučajem i da postoji „osnovana sumnja“ da su određeni mejl nalozi kompromitovani, te da je reagovano u skladu sa tim. Quote:Povodom curenje podataka o mejl nalozima državnih institucija Danas je uputio pitanja i Kabinetu Poverenika za informacije od javnog značaja. U pisanim odgovorima koje smo dobili navedeno je da Poverenik nije imao prethodna saznanja u vezi sa ovim slučajem, “bilo da se radi o saznanju iz medija, upućene predstavke ili saznanja na osnovu dostavljenog Obaveštenja o povredi podataka o ličnosti od strane rukovaoca, koje su saglasno članu 52. Zakona o zaštiti podataka o ličnosti rukovaoci u slučaju povrede podataka u obavezi da dostave Povereniku.”. Iz Kabineta su naveli da je Poverenik postupao ranije u određenom broju slučajeva kada su “hakovani” sereveri koji sadrže podatke o ličnosti. “Ti slučajevi su se u najvećem broju odnosili na dostavljena Obaveštenja o povredi podataka o ličnosti u kojima su rukovaoci shodno članu 52. ZZPL dužni da dokumentuju povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.”. Odgovarajući na pitanje da li Poverenik može da ispita tačnost informacija o curenju podataka o mejl adresama te šta se može učiniti tim povodom, Danasu je rečeno da “Poverenik nema tehničke mogućnosti utvrđivanja tačnosti navoda izvesnog Ivana Markovića o kome ste nas obavestili, te preventivnog delovanja, odnosno pružanja tehničke pomoći u konkretnom slučaju”. “Preduzimanje istražnih radnji u cilju otkrivanja počinilaca potencijalnih krivičnih dela putem sredstava elektronskih komunikacija u nadležnosti je Posebnog odeljenju za borbu protiv viskokotehnološkog kriminala Višeg javnog tužilaštva u Beogradu”, zaključuje se u odgovorima. Usput, da odgovorim Povereniku i CERT-u, da su stvano želeli da izađu u susret ovom problemu/incidentu, dovoljno je bilo da su mi samo poslali e-mail i dobili bi detalje (ja njima više da pišem nema smisla jer mi ne odgovaraju na poruke).
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
04-06-2023, 01:17 PM
Dodaću na ovu temu i povezane slučajeve:
- Na prodaju e-mail nalozi (OWA) na ems.rs: https://bezbedanbalkan.net/thread-406.html - Kompromitovan Energotehnika Južna Bačka (entjuba.rs): https://bezbedanbalkan.net/thread-535.html
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
04-06-2023, 03:10 PM
(This post was last modified: 04-06-2023, 03:15 PM by 1van.
Edit Reason: Ubačeni detalji.
)
DNS zone za eps.rs: https://intodns.com/eps.rs, arhivirano: https://archive.ph/zHokV
NS 1: ns1.eps.rs 195.250.121.25 (Informatika a.d.) NS 2: ns2.eps.rs 178.220.231.39 (Telekom Srbija) A: 20.224.189.238 (Microsoft Azure) <- Nije u Srbiji MX 1: 104.47.11.74 (Microsoft Azure) <- Nije u Srbiji MX 2: 104.47.11.202 (Microsoft Azure) / <- Nije u Srbiji, Potencijalan dokaz da su nalozi korišćeni za SPAM, AbuseIPDB: https://www.abuseipdb.com/check/104.47.11.202 DNS zone za epsdistribucija.rs: https://intodns.com/epsdistribucija.rs, arhivirano: https://archive.ph/IlpuP NS 1: ns.beotel.net 194.106.162.2 (BeotelNet-ISP d.o.o) <- Potencijalno kompromitovan, AbuseIPDB: https://www.abuseipdb.com/check/194.106.162.2 NS 2: ns.beotel.rs 194.106.162.3 (BeotelNet-ISP d.o.o) <- Potencijalno kompromitovan, AbuseIPDB: https://www.abuseipdb.com/check/194.106.162.3 A: 20.160.153.106 (Microsoft Azure) <- Nije u Srbiji MX 1: 104.47.11.74 (Microsoft Azure) <- Nije u Srbiji MX 2: 104.47.11.10 (Microsoft Azure) <- Nije u Srbiji
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
04-06-2023, 03:50 PM
(This post was last modified: 04-06-2023, 04:22 PM by 1van.
Edit Reason: Ubačeni detalji.
)
Upravo sam dobio informaciju da prodaja ovih naloga još uvek traje i da ima i novih.
Dakle CERT, Poverenik i EPS nisu ništa preduzeli da spreče dalju kompromitaciju naloga. Ovo je pogrešno na više nivoa jer ovi nalozi sadrže vitalne informacije o kritičnoj infrastrukturi zemlje, dalje sadrže lične podatke građana, zatim mogu da se iskoriste za dalju eksploataciju sistema (jer ovi nalozi verovatno mogu da se loguju još negde ili da resetuju šifre na drugim servisima) i na kraju mogu da se zloupotrebe direktno za SPAM/SCAM/Phishing. Preporuke su da se hitno zahteva promena šifri i to bez mogućnosti stavljanje prostih i starih šifri, uvođenje MFA, kao i detaljan monitoring logina na sistem (moguće je da su i korisničke mašine sa remote pristupom kompromitovane i da se onda korisnička sesija i kredencijali aktivno kradu).
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
04-06-2023, 04:12 PM
I obavešteni su svi ponovo.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
04-19-2023, 05:41 PM
(This post was last modified: 04-19-2023, 05:45 PM by 1van.
Edit Reason: Ubačeni detalji.
)
Da dodam link i ka sumiranoj temi: OSINT analiza incidenata vezanih za resurse Elektro Privrede Srbije.
Usput u ovoj temi spomenuli smo i da EPS šalje mejlove sa epss.rs domena. Ako proverimo koji su javni DNS zapisi za MX dobićemo sledeće IP adrese: https://intodns.com/epss.rs. Quote:Your MX records that were reported by your nameservers are: Moguće je i da pomenuti mejlovi stižu i sa drugih IP adresa. Ako neko ima zaglavlja mejla može da uradi analizu. Ali uglavnom ako onda pogledamo šta ima zanimljivo za ove IP adrese vidimo sledeće (markirani kao spameri 2019. godine): https://threatbook.io/ip/109.94.103.12. Infrastruktura je u vlasništvu Comtrade System Integration doo Belgrade Serbia.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
Ludilo koji raspad... a pazi kako email izgleda (ja prvo rekao phishing...)...
p.s: link vodi ka stranici mailing.epss.rs/nesto-nesto
04-20-2023, 08:24 AM
Pa i oni (mailing.epss.rs / 109.94.103.10) su bili spameri izgleda: https://threatbook.io/ip/109.94.103.10
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
08-04-2023, 03:33 PM
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
|
« Next Oldest | Next Newest »
|