Tag Archives: Киберсигурност

Хакери на ГРУ атакували САЩ, Франция и Украйна от сървъри на български фирми

Post Syndicated from Атанас Чобанов original https://bivol.bg/gru-bulgaria-cyberattacks.html

вторник 14 януари 2020


Атаките на ГРУ срещу цели в САЩ, Франция, Украйна и Южна Корея са предприети чрез сървъри наети от българска компания, собственост на украинец. Хакерите са се възползвали от възможността да наемат сървърите анонимно и непроследимо. Биволъ също успя да наеме такъв сървър като се регистрира с фалшива самоличност и го плати с биткойн. Наш репортер се свърза с украинския собственик, който декларира, че е готов да сътрудничи на евентуално разследване. Засега обаче но никой не го търси, защото българските служби не се интересуват от тези разкрития.

Информацията, че руските хакери са използвали свързани с България сървъри излезе още в средата на ноември 2019 г. в статия на известния американски журналист Анди Грийнбърг за списание Wired. Специалисти от фирмата за киберсигурност FireEye са идентифицирали IP-адресите използвани при фишинг-атаките срещу американската Демократическа партия (DCLeaks), партията на Макрон (Макронлийкс), Олимпийските игри в Сеул, украинското електроразпределение и вирусът NotPetya, нанесъл щети за 6 милиарда долара.

Навсякъде експертите са открили почерка на хакерската група на ГРУ известна като “Пясъчен червей” от поделение 74455 на ГРУ. То е идентифицирано в разследването на прокурора Мълър за руското вмешателство в американските избори през 2016 г. 12 руски офицери от военното разузнаване, бяха обвинени от Мълър за проникването в сървърите на Демократическата партия и източването на кореспонденция, впоследствие публикувана с цел да се повлияе на изборите.

Списъкът с IP адреси използвани от хакерите на ГРУ е установен от Майк Матонис от компанията FireEye. Източник: Wired

Биволъ проучи IP-адресите установени от FireEye при различните атаки и се оказа, че четири от тях водят към сървъри хоствани от българската фирма ХЗ Хостинг ЕООД185.80.53.22, 5.149.248.67, 5.149.249.1725.149.254.114,  която е регистрирана в Пловдив.

Фантомна фирма, купена през посолството ни в Киев

ХЗ Хостинг ЕООД е правната форма на хостинг провайдъра HostZealot, предлагащ интернет сървъри под наем.  Наш репортер посети адреса на фирмата в Пловдив на ул. Любен Каравелов 2 етаж 3 офис 5, където намери единствено офиса на адв. Александър Филев и на счетоводна кантора.

Хостинг фирмата се оказа фантом.

Фирмата съществува в правния мир от 2015 г., когато е регистрирана от пловдивския адвокат Филев под името “Глобал Индустриал Компани” със собственик и управител Вилко Любенов Дамянов.

Проучване на това лице показва, че то се явява номинален собственик в няколко подобни фирми, регистрирани на адрес  Сан Стефано 23 А в София или Любен Каравелов 2 в Пловдив. Общото между тях е, че впоследствие са продадени на чужденци.

Същото се случва и с “Глобал Индустриал Компани” само месец след като е създадена. Като собственик във фирмата влиза Данило Ерьомка от Украйна, представляван от адв. Филев с пълномощно, издадено от посолството ни в Киев.

Адвокат Александър Филев прехвърля фирмата на Еремка с пълномощно, издадено в Киев.

На практика Ерьомка не е стъпвал в България, за да придобие и върти фирмата. Счетоводството се извършва от пловдивската кантора “Кепитъл 2011”,  където също не са му виждали очите, установи нашия репортер. Цялото обслужване на фирмата се извършва дистанционно по имейл.

Да наемеш сървър анонимно

Дейността на ХЗ Хостинг ЕООД  обаче е реална. Фирмата генерира обороти и обявява нетни приходи от продажби 1,3 милиона лева за 2018 г. според последния годишен финансов отчет. На сайта hostzealot.com може да се поръча сървър и да се плати с някоя от популярните криптовалути, без да се остави следа, отвеждаща до клиента.

Репортери на Биволъ извършиха проверка, като регистрираха анонимен имейл адрес в tutanota.com, достъпвайки го през VPN, за да се маскира оригиналния IP-адрес. След това с този имейл адрес и фалшива самоличност на Ivan Ivanov от САЩ поръчаха сървър в сайта hostzealot.com и го заплатиха с биткойн.

Биволъ нае сървър от hostzealot.com с фалшива непроследима самоличност и плащане с криптовалута.

Фактурата за сървъра платен с биткойни е издадена от българската фирма и съответно трябва да бъде осчетоводена от нея. Но клиентът реално може да е фалшив и няма начин да се стигне до него.

Целият процес по регистрацията и плащането на сървъра мина гладко и от няколко дни на въпросната машина има  linux инсталация с уеб сървър, показващ текста “Този сървър е купен анонимно и платен с биткойн за нуждите на журналистическо разследване на Bivol.bg”.

Това доказва, че всеки, включително и руски хакер от ГРУ, може за минути да си купи от България интернет ресурс без да оставя следи, след което да атакува чрез него набелязаната цел.

Ерьомка ще съдейства на органите ако го потърсят

С помощ от украински колеги от YouControl, Биволъ установи подробности за собственика на ХЗ Хостинг и hostzalot.com. Украинският гражданин Данило Ерьомка се оказа реален човек, живеещ в Харков.

Данило Еремка. Снимка от профила му в LinkedIn https://www.linkedin.com/in/dan-ieromka-42171425/

Ерьомка (изписва се ЄРЬОМКА) е IT-специалист, който обаче не развива бизнес в родната си Украйна. Там се появява единствено като основател на местния футболен клуб “Тесла”. През 2012 той започва бизнес за предоставяне на интернет услуги с фирмата Fortunix Networks L.P., регистрирана във Великобритания. От името на тази фирма купува домейна hostzealot.com в края на 2012 г.

Fortunix Networx L.P. не просъществува дълго във Великобритания, но името ѝ все още е асоциирано с IP-адресите, преминали в собственост на ХЗ Хостинг.

Биволъ се свърза с Даниел Ерьомка, който разясни, че е преместил бизнеса си в България, защото не искал да използва офшорна регистрация. Освен това имал трудности да отвори банкова сметка във Великобритания с Fortunix Networx L.P.

Ерьомка започва бизнеса на HostZealot от името на британска фирма през 2012 г.

Попитан за коментар относно факта, че продаваните от него сървъри са предпочитани от руските хакери, Ерьомка заяви, че фирмата му не следи какво правят клиентите. Но е готов да окаже съдействие ако бъде потърсен по официален ред от властите.

Съдействието обаче може да се окаже безполезно заради анонимността в целия процес на наемане и плащане на сървърите. Данило Ерьомка коментира, че фирмата му прави оценки на риска, но не е възможно да бъдат засечени всички рискови клиенти. Той призна, че пазаруването на сървъри с криптовалути е особено проблемно и обеща програмистите му да въведат допълнителни контроли за идентификация на клиентите.

От Бангладеш до Ямбол

Българската следа в действията на руските държавни хакери обаче не се изчерпва с пловдивската фирма ХЗ Хостинг.  Още два IP – адреса използвани от тях – 130.185.250.77 и 130.185.250.171, принадлежат на BeeHosted – Internet Services & Hosting Provider от Бангладеш, но според сайта IPINFO.io се локализират в… Ямбол.

Друга услуга за локализация на IP-адреси свързва тези адреси с българската фирма Lir.bg. Експерти, до които Биволъ се допита коментираха, че вероятно става дума за стара регистрация на цялата мрежа с адреси, която в момента се свързва с холандската фирма Global Layer BV, посочена и в изследването на FireEye.

Адресът 130.185.250.171 е засечен и от специалистите по киберсигурност от ESET в проучване за вируса NotPetya, атакувал Украйна. На него е регистриран домейнът transfinance.com[.]ua, използван за разпространение на вируса, както и командно-контролна програма на Tor сървър с име severalwdadwajunior.

Дори тази връзка с България да е случайна, тя все пак заслужава подробно проучване и от българските служби, тъй като е обезпокоително страната ни да се използва като платформа за глобални дестабилизиращи операции на руското разузнаване.

Биволъ се обърна с въпроси към ДАНС и правителствената пресслужба относно разкритията, че свръзани с България ресурси са използвани за атаките на ГРУ, но не получи отговор. Източник от МВР, занимаващ се с киберсигурност сподели, че проучвания за конкретните IP-адреси, разкрити от експертите, до момента не са правени.

По темата работиха Атанас Чобанов и Димитър Стоянов

Някак ми е киберсигурно

Post Syndicated from original https://bivol.bg/cybersecurity-torlak.html

вторник 27 август 2019


Киберсигурна работа

Post Syndicated from Bozho original https://blog.bozho.net/blog/3389

Напоследък отваряш вестника – киберсигурност, отваряш хладилника – киберсигурност, пускаш телевизора – киберсигурност, пускаш пръскачката – киберсигурност. Хакнаха НАП, вицепремиер със сертификат за компютърна грамотност заяви, че е достатъчно квалифицирана да ръководи съвет по въпроса, а явно сега ще искаме такъв ресор в Европейската комисия.

Макар че вече съм писал веднъж за киберсигурността, ми се ще да разгледам темата малко повече, особено от гледна точка на публичните институции и накрая ще опитам да отговоря на въпроса „може ли България да е киберсигурна“

Имаме стратегия за киберустойчива България, която не мисля, че се спазва, и за която може би съветът по киберсигурност не беше чувал. Имаме закон за киберсигурност, в който има абстрактни организационни мерки (той е транспонирана европейска директива, така че не е по наша инициатива). Имаме наредба към този закон, която е доста причлина, но между съществуването на добра наредба и нейното прилагане има разлика. Имаме и шаблон на техническо задание, което всички нови системи трябва да ползват. Там сме се постарал да опишем възможно най-много неща, които изпълнител и възложител изрчно да проверят – уязвимости като тази в НАП, напр, също са там.

Както стана ясно от теча в НАП, а и от редица пробиви напоследък, нивото на киберсигурност е ниско. (Някои пробиви не стават публично достояние, но можем да питаме govcert-а, звеното за реакция при киберинциденти, колко сигнала за уязвимости е приел). За да имаме пълна картина колко зле са нещата, трябва да един пълен одит на сигурността на всички системи. Но той най-вероятно ще ни каже това, което вече знаем – че нивото е ниско.

В допълнение на въпроса по-горе, ще отговоря и на още три: „защо системите са уязвими“, „кой може да злоупотреби с това“ и „какво може да се направи“

  • Системите са уязвими по две причини. Първата е, че по принцип е трудно да се поддържат сигурни системи. Дори да е била сигурна в един момент, нещата се променят, оттриват се неизвестни досега уязвимости на компоненти, от които зависи самата система. Затова проактивно обновяване, следене за уязвимости и комбинация от много други мерки са начинът да има по-сигурни системи, но дори това невинаги е достатъчно. Втората причина е, че системите в държавата с много ниско качество (в общия случай). Пишат ги фирми с не особено кадърни хора (защото и малкото кадърни по темата са отишли на по-високи заплати другаде, където не се разчита на обществени поръчки), приемат ги хора, които нямат идея какво приемат, и няма кой да следи този процес да бъде по-адекватен. Дори да има наредби, шаблони и хипотетични санкции, просто няма хора. Наскоро имаше система, разработвана по шаблона за задание. Дори като никога беше спазен закона и кодът беше отворен. И какво имаше там – SQL инжекция. Поправена след съответния сигнал (нагледен пример за ползите кодът да е отворен), но най-базовата грешка при работа с база данни, за която изрично има предупреждение в заданието, беше допусната. В 13 от последните 15 години тези наредби и шаблони ги е нямало, а системите, които се ползват, са на толкова.
  • Кой може да злоупотреби с това – всеки. Причините са няколко. Комерсиални – напр. е полезно за една компания да има данните от Национална база данни „Население“; геополитически – някои държави не одобряват определени решения, които нашата е взела или предстои да вземе, и съответно включват киберарсенала си; „някои хора просто искат да гледат как света гори“ – хакване заради самото хакване и заради деструктивния ефект. Първите могат да разчитат не на експлоатиране на уязвимости, а на корумпирани вътрешни хора, чрез които да източат данните – това също е част от киберсигурността, която включва както външни, така и вътрешни „атаки“.
  • Може да се направи много – да се прилага по-стриктно нормативната уредба, да се използват различни механизми за привличане на по-компетентни хора (вкл. с по-високо заплащане), да се обучават по-активно хората в публичния сектор, да се затегнат вътрешните механизми за контрол на достъпа на служители. Имаше предложения за по-големи наказания в Наказателния кодекс, но според мен това няма да работи – хакерите или не познават НК и той не ги спира, или си мислят, че си прикриват следите достатъчно добре, че да са неоткриваеми. Или и двете.

Сложен въпрос, на който в индустрията се опитва да даде смислен отговор е „какво пък толкова може да стане“. По принцип всичко, но дали може да има дигитален катаклизъм и дали ако няма е нужно да инвестираме в киберсигурност е отворена тема. Засега консенсусът е, че е нужно повече. Повече познание, повече хора, повече инструменти, повече инвестиции.

Киберсигурността е състезание с „лошите“ и включва множество мерки. Не може да се реши просто като си купиш едно устройство или един софтуер (макар че това може да помогне). Най-важният ресурс и тук са хората, които да знаят какви са мерките, да имат уменията да ги приложат в усложнен контекст (процедури по ЗОП и политическа неадекватност), да знаят как да използват и конфигурират наличните инструменти. И това да не са просто двама-трима души тук-там, а да е системно решение.

Дотук би трябвало да е ясно, че нещата не изглеждат розово. Няма хора, няма адекватни доставчици, „лошите“ могат да разполагат с големи ресурси, а защитата е фундаментално трудна задача.

Лесно решениие няма. Със сигурност съвет по киберсгурност, еврокомисар по киберсигурност, закон за киберсигурност и други подобни не са решението. Някои от тях са небезполезни стъпки, други – отбиване на номера, трети – политически опортюнизъм.

Решението е същото, като в една голяма корпорация – висшият мениджмънт да осъзнае критичността на проблема и да насочи ресурси на там. Не, не да купим още техника, която няма кой да конфигурира, а да подредим така пъзела, че да ма хора с мотивация, да има финансов ресурс за това (а не за петорно надценен нов уебсайт, например).

Висшият политически мениджмънт не осъзнава нищо от това. За вицепремиер, отговорен за това, е поставен не човек с управленски опит и с опит в дигитална трансформация (не непременно технически), а някой, който просто се е оказал там по стечение на обстоятелствата. В същото време всички механизми, предвидени законите, за привличане и задържане на повече хора, отпадат един по един. Това е лош сигнал за всички (освен за хакерите). И ако искаме да имаме еврокомисар по киберсигурност, първо може би трябва да имаме някаква вътрешна адекватност по темата. И след като я имаме, успешният ръководител на това усилие да стане еврокомисар.

Дори киберсигурността е повече човешки, отколкото технически проблем. По-скоро управленски и политически, отколкото експертен. Експертната част е трудна и много интересна, но сме много далеч от тази част в публичния сектор. Тепърва трябва да направим първата копка на реалната киберсигурност.

Може ли България да е киберсигурна и дългосрочно киберустойчива? Може, разбира се – задачата е решима. Но не изглежда реалистично в близко бъдеще, защото дори да започнем веднага, при мащаба на публичния сектор и натрупаните системни проблеми, резултати може да има едва след 3-4 години. А дотогава – двайсетгодишни хакери, руски агенти или просто хора, които „имат човек“ някъде, могат да правят (почти) каквото си искат.

След сигнал на Биволъ: Търговският регистър оправи сериозен теч на лични данни

Post Syndicated from Атанас Чобанов original https://bivol.bg/brra-personal-data-leak.html

вторник 30 юли 2019


Бял хакер от три години моли КЗЛД да спре теч на лични данни от нейния сайт

Post Syndicated from Атанас Чобанов original https://bivol.bg/white-hacker-cpdp.html

петък 12 юли 2019