Kompromitovan Elektronski Dnevnik (idp.esdnevnik.rs)

[1van]

Izgleda da su resursi i ove državne ustanove neadekvatno zaštićeni i da se zloupotrebljavaju već duže vreme. Došao sam do ovoga istraživajući incidente vezane za MojDoktor: 

- Prvo sam ukucao na Google: "mojdoktor sorsix", jer samo već videli da ima testing lokacija kompanije koja je izradila MojDoktor aplikaciju i ideja mi je da proverim da li se i one pojavljuju na spam/malware listama (nisam sve još istražio, ako imate vremena molim vas pogledajte i vi)

- Onda među rezultatima došao sam do ove indexirane prezentacije: "ДИГИТАЛНА ТРАНСФОРМАЦИЈА ЗДРАВСТВЕНОГ СИСТЕМА СРБИЈЕ
ПРОФ.ДР ФЕРЕНЦ ВИЦКО", i u njoj sam video na slici ekrana adresu: eapoteka.mojdoktor.gov.rs.

- IP adresa gde vodi eapoteka.mojdoktor.gov.rs je 212.200.188.116. Provajder je Telekom Srbija.

- Zatim sam sam u AbuseIPDB pretražio 212.200.188.116/24 i dobio kao rezultat IP adresu: 212.200.188.121. Provajder je Telekom Srbija.

- Detalji na AbuseIPDB za adresu 212.200.188.121 pokazuju incidente počevši od Marta 2021. do Marta 2023. godine uključujući skeniranje portova, ddos i bruteforce karakteristike napada.

- Zatim ako IP 212.200.188.121 ubacimo u Shodan, dobijemo hostname: idp.esdnevnik.rs.

- Ako pretražimo idp.esdnevnik.rs na Google vidimo da to je login na elektronski dnevnik.


Rezultati sa AbuseIPDB:




Rezultati sa ShodanIO:



Rezultati sa Google:

[1van]

Bilo bi super i kada bi nam neko objasnio kako se ovo našlo u Google indeksu. Arhivirano: https://archive.ph/SRYND.

[1van]

Novi dokazi (13 detekcija) sa AlienVault: https://otx.alienvault.com/indicator/ip/212.200.188.121, arhivirano: https://archive.ph/vVQUT.

[1van]

AlienVault sve detekcije:

[1van]

Novi dokazi sa ThreatBook: https://threatbook.io/ip/212.200.188.121

[1van]

Da dodamo još par detalja na ovu temu: https://otx.alienvault.com/indicator/dom...dnevnik.rs

Dostupni domeni i IP adrese (212.200.188.120, 212.200.188.121, 212.200.188.122, 217.26.210.157, 199.247.19.49, idp.esdnevnik.rs, moj.esdnevnik.rs, test.idp.esdnevnik.rs, kibana.esdnevnik.rs, support.esdnevnik.rs, test.esdnevnik.rs):



Skorašnje detekcije:



Nečija analiza napada sa VirusTotal: https://www.virustotal.com/gui/domain/es.../relations

[1van]

I da sumiramo ono što znamo da se sigurno do sada dogodilo (nisam uspeo da izvučem sve informacije iz OTX, a i treba istražiti ostale IP i ovaj VirusTotal sample):

[1van]

Dobili smo odgovor od pomoćnika ministra prosvete dr. Saša Stojanović:

Одмах по Вашој пријави покренули смо поступак провере система, након чега смо обавештени да је систем безбедан и заштићен, и да не постоји могућност неовлашћеног приступа, те да исти није могао бити, нити је коришћен за извођење напада на било који други систем.

Jedan od mogućih scenarija zašto ipak vidimo prethodno objavljene rezultate je da je bio uključen neki vid spoofing-a IP adrese.

[1van]

Odgovorio je i CERT republičkih organa <[email protected]>:

Poštovani Ivane Markoviću,


Ovo je već treći put da nam pišete neosnovano.
Razumemo vašu brigu, ali vas molimo da ubuduće dobro proverite sve vaše navode o kompromitaciji pre nego što nam pošaljete email.

U toku su stvarni napadi, trebamo da budemo fokusirani, a vi nam skrećete pažnju dezinformacijama.

Srdačan Pozdrav,
CERT team

Канцеларија за информационе технологије и електронску управу
Office for Information Technologies and e-Government

T: + 381 11 7358 400| W: www.ite.gov.rs
LinkedIn | Twitter | Facebook | Instagram

[y0d4]

a pa da, to "opozicija im smesta".... -.-
sto li sam se nadao da ce biti drugacije...