Na prodaju e-mail nalozi (OWA) na epsdistribucija.rs / eps.rs

[y0d4]

Cena: 15$

[1van]

Još uvek nema nekog konretnog odgovora nadležnih u vezi sa ovim slučajem, a stvar je kritična. Na crnom tržistu postoje slike ekrana kompromitovanih mejl naloga sa detaljima zaposlenih u EPS-u, ugovorima, obračunima, porukama sindikata i slično.

Najviše što smo dobili je ono što je Danas uspeo da izvuče od nadležnih institucija: https://www.danas.rs/vesti/drustvo/na-ak...kultetima/.

Iz CERT-a, nacionalne agencije za elektronsku komunikaciju koja je i nadležna za praćenje ovakvih pretnji, kažu za Danas da su upoznati sa ovim slučajem i da postoji „osnovana sumnja“ da su određeni mejl nalozi kompromitovani, te da je reagovano u skladu sa tim.

Povodom curenje podataka o mejl nalozima državnih institucija Danas je uputio pitanja i Kabinetu Poverenika za informacije od javnog značaja. U pisanim odgovorima koje smo dobili navedeno je da Poverenik nije imao prethodna saznanja u vezi sa ovim slučajem, “bilo da se radi o saznanju iz medija, upućene predstavke ili saznanja na osnovu dostavljenog Obaveštenja o povredi podataka o ličnosti od strane rukovaoca, koje su saglasno članu 52. Zakona o zaštiti podataka o ličnosti rukovaoci u slučaju povrede podataka u obavezi da dostave Povereniku.”. Iz Kabineta su naveli da je Poverenik postupao ranije u određenom broju slučajeva kada su “hakovani” sereveri koji sadrže podatke o ličnosti. “Ti slučajevi su se u najvećem broju odnosili na dostavljena Obaveštenja o povredi podataka o ličnosti u kojima su rukovaoci shodno članu 52. ZZPL dužni da dokumentuju povredu podataka o ličnosti, uključujući i činjenice o povredi, njenim posledicama i preduzetim merama za njihovo otklanjanje.”. Odgovarajući na pitanje da li Poverenik može da ispita tačnost informacija o curenju podataka o mejl adresama te šta se može učiniti tim povodom, Danasu je rečeno da “Poverenik nema tehničke mogućnosti utvrđivanja tačnosti navoda izvesnog Ivana Markovića o kome ste nas obavestili, te preventivnog delovanja, odnosno pružanja tehničke pomoći u konkretnom slučaju”. “Preduzimanje istražnih radnji u cilju otkrivanja počinilaca potencijalnih krivičnih dela putem sredstava elektronskih komunikacija u nadležnosti je Posebnog odeljenju za borbu protiv viskokotehnološkog kriminala Višeg javnog tužilaštva u Beogradu”, zaključuje se u odgovorima.

Usput, da odgovorim Povereniku i CERT-u, da su stvano želeli da izađu u susret ovom problemu/incidentu, dovoljno je bilo da su mi samo poslali e-mail i dobili bi detalje (ja njima više da pišem nema smisla jer mi ne odgovaraju na poruke).

[1van]

Dodaću na ovu temu i povezane slučajeve:

- Na prodaju e-mail nalozi (OWA) na ems.rs: https://bezbedanbalkan.net/thread-406.html
- Kompromitovan Energotehnika Južna Bačka (entjuba.rs): https://bezbedanbalkan.net/thread-535.html

[1van]

DNS zone za eps.rs: https://intodns.com/eps.rs, arhivirano: https://archive.ph/zHokV

NS 1: ns1.eps.rs 195.250.121.25 (Informatika a.d.)
NS 2: ns2.eps.rs 178.220.231.39 (Telekom Srbija)
A: 20.224.189.238 (Microsoft Azure) <- Nije u Srbiji
MX 1: 104.47.11.74 (Microsoft Azure) <- Nije u Srbiji
MX 2: 104.47.11.202 (Microsoft Azure) / <- Nije u Srbiji, Potencijalan dokaz da su nalozi korišćeni za SPAM, AbuseIPDB: https://www.abuseipdb.com/check/104.47.11.202




DNS zone za epsdistribucija.rs: https://intodns.com/epsdistribucija.rs, arhivirano: https://archive.ph/IlpuP

NS 1: ns.beotel.net 194.106.162.2 (BeotelNet-ISP d.o.o) <- Potencijalno kompromitovan, AbuseIPDB: https://www.abuseipdb.com/check/194.106.162.2
NS 2: ns.beotel.rs 194.106.162.3 (BeotelNet-ISP d.o.o) <- Potencijalno kompromitovan, AbuseIPDB: https://www.abuseipdb.com/check/194.106.162.3
A: 20.160.153.106 (Microsoft Azure) <- Nije u Srbiji
MX 1: 104.47.11.74 (Microsoft Azure) <- Nije u Srbiji
MX 2: 104.47.11.10 (Microsoft Azure) <- Nije u Srbiji

[1van]

Upravo sam dobio informaciju da prodaja ovih naloga još uvek traje i da ima i novih.



Dakle CERT, Poverenik i EPS nisu ništa preduzeli da spreče dalju kompromitaciju naloga. Ovo je pogrešno na više nivoa jer ovi nalozi sadrže vitalne informacije o kritičnoj infrastrukturi zemlje, dalje sadrže lične podatke građana, zatim mogu da se iskoriste za dalju eksploataciju sistema (jer ovi nalozi verovatno mogu da se loguju još negde ili da resetuju šifre na drugim servisima) i na kraju mogu da se zloupotrebe direktno za SPAM/SCAM/Phishing.

Preporuke su da se hitno zahteva promena šifri i to bez mogućnosti stavljanje prostih i starih šifri, uvođenje MFA, kao i detaljan monitoring logina na sistem (moguće je da su i korisničke mašine sa remote pristupom kompromitovane i da se onda korisnička sesija i kredencijali aktivno kradu).

[1van]

I obavešteni su svi ponovo.

[1van]

Da dodam link i ka sumiranoj temi: OSINT analiza incidenata vezanih za resurse Elektro Privrede Srbije.

Usput u ovoj temi spomenuli smo i da EPS šalje mejlove sa epss.rs domena. Ako proverimo koji su javni DNS zapisi za MX dobićemo sledeće IP adrese: https://intodns.com/epss.rs.

Your MX records that were reported by your nameservers are:

300  smtp03.epss.rs  109.94.103.13
400  smtp04.epss.rs  109.94.103.14
100  smtp01.epss.rs  109.94.103.11
200  smtp02.epss.rs  109.94.103.12
500  smtp05.epss.rs  109.94.103.15

Moguće je i da pomenuti mejlovi stižu i sa drugih IP adresa. Ako neko ima zaglavlja mejla može da uradi analizu.

Ali uglavnom ako onda pogledamo šta ima zanimljivo za ove IP adrese vidimo sledeće (markirani kao spameri 2019. godine): https://threatbook.io/ip/109.94.103.12.



Infrastruktura je u vlasništvu Comtrade System Integration doo Belgrade Serbia.

[y0d4]

Ludilo koji raspad... a pazi kako email izgleda (ja prvo rekao phishing...)...
p.s: link vodi ka stranici mailing.epss.rs/nesto-nesto

[1van]

Pa i oni (mailing.epss.rs / 109.94.103.10) su bili spameri izgleda: https://threatbook.io/ip/109.94.103.10

[1van]

Novi dokazi, izvor BIRN: https://balkaninsight.com/2023/07/27/for...ld-online/.