H «Θαλάσσια Χελώνα» πίσω από τις κυβερνοεπιθέσεις. Στο στόχαστρο τους και το ΙΤΕ.

Στο στόχαστρο οργανωμένης, διεθνούς εκστρατείας κυβερνοεπιθέσεων με την ονομασία «Θαλάσσια Χελώνα» («Sea Turtle») είχαν βρεθεί τουλάχιστον τρεις κυβερνητικές ιστοσελίδες της Ελλάδας τον Απρίλιο του 2019. Σκοπός των χάκερ ήταν να υποκλέψουν προσωπικούς κωδικούς ασφαλείας υπαλλήλων και να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα ευαίσθητων υπηρεσιών.

Μέσω επιθέσεων τύπου «DNS hijacking» επιχειρούσαν να δημιουργήσουν ιστοσελίδες-αντίγραφα των αυθεντικών κατευθύνοντας εκεί τους επισκέπτες. Σε περίπτωση που κάποιος χρήστης πληκτρολογούσε σε αυτές τους κωδικούς ασφαλείας του (όπως για υπηρεσίες email), οι χάκερ μπορούσαν να τους υφαρπάξουν. 
Το Ινστιτούτο Πληροφορικής του Ιδρύματος Τεχνολογίας και Ερευνας (ΙΤΕ-ΙΠ) στο Ηράκλειο Κρήτης, το οποίο είναι υπεύθυνο για την τεχνική υποστήριξη του μητρώου ονομάτων Internet με κατάληξη .gr και .ελ, επιβεβαιώνει στην εφημερίδα «Καθημερινή» ότι είχε δεχθεί κυβερνοεπίθεση. 
Οπως ανέφεραν από τη διεύθυνση του ινστιτούτου, η ταυτότητα των επιτιθέμενων δεν τους είναι μέχρι και σήμερα γνωστή. «Διεξάγεται ακόμη έρευνα από την ΕΥΠ για το περιστατικό, δίχως να μας έχει κοινοποιηθεί κάποιο επίσημο αποτέλεσμα», τόνισαν σε τηλεφωνική επικοινωνία με την «Κ».
Σε αντίθεση με τον θόρυβο που προκάλεσαν τα δύο πρόσφατα κρούσματα «συμβολικών» επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσαν για λίγες ώρες εκτός λειτουργίας ελληνικές κυβερνητικές ιστοσελίδες, όπως αυτές του πρωθυπουργού και της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, η εκστρατεία «Θαλάσσια Χελώνα» δεν είχε απασχολήσει τη δημοσιότητα. Οπως παρουσιάζει όμως η «Κ», για μεγάλες διεθνείς εταιρείες, οι οποίες ειδικεύονται σε θέματα ασφαλείας δικτύου, οι επιθέσεις του Απριλίου ήταν ιδιαίτερα σοβαρές και είχαν τα χαρακτηριστικά κυβερνοκατασκοπείας.

Η αμερικανική εταιρεία FireEye είχε αποδώσει παρόμοια κρούσματα «DNS hijacking» κατά άλλων χωρών σε Ιρανούς χάκερ. Το πρώτο κύμα αυτών των επιθέσεων καταγράφηκε στα τέλη του 2018 και στις αρχές του 2019 με στόχους κυρίως στη Μέση Ανατολή και στη Βόρεια Αφρική. Οι επιτιθέμενοι στρέφονταν αρχικά εναντίον κρατικών μυστικών υπηρεσιών, υπουργείων Εξωτερικών και εταιρειών από τον κλάδο της ενέργειας. Δευτερεύοντες στόχοι τους ήταν εταιρείες τηλεπικοινωνιών καθώς και πάροχοι υπηρεσιών Διαδικτύου. Τα πρώτα κρούσματα εντοπίστηκαν μεταξύ άλλων σε Συρία, Ιράκ, Ιορδανία, Λιβύη και Αίγυπτο. Η Ελλάδα φαίνεται ότι βρέθηκε στο κάδρο των χάκερ τον Απρίλιο του 2019.

Σύμφωνα με τις διαπιστώσεις της ομάδας ειδικών ασφαλείας της αμερικανικής εταιρείας Cisco, οι χάκερ κατοχύρωσαν στις 5 Απριλίου 2019 το domain rootdnserves.com, το οποίο χρησιμοποιήσαν για επιθέσεις κατά τριών ελληνικών κυβερνητικών ιστοσελίδων με την κατάληξη .gr. Πιθανότατα, σύμφωνα με τους ειδικούς της Cisco, οι χάκερ κατάφεραν να «κλωνοποιήσουν» αυτές τις ιστοσελίδες έχοντας αποκτήσει πρόσβαση στο δίκτυο του ΙΤΕ-ΙΠ.

Στις 19 Απριλίου 2019 στάλθηκε μήνυμα σε διαχειριστές ιστοσελίδων με τις καταλήξεις .gr και .ελ το οποίο τους ενημέρωνε για τις κακόβουλες ενέργειες. «Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεαστεί αρνητικά η λειτουργία των μητρώων ονομάτων του Διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα», ανέφερε το μήνυμα. Οι ερευνητές της Cisco (μέλη της ομάδας με την ονομασία «Talos») διαπίστωσαν ότι οι χάκερ διατήρησαν πρόσβαση για πέντε ημέρες, τουλάχιστον μέχρι τις 24 Απριλίου 2019 στο δίκτυο του ΙΤΕ-ΙΠ. Από τη διοίκηση του Ινστιτούτου Πληροφορικής ανέφεραν στην «Κ» ότι οι επιθέσεις αντιμετωπίστηκαν γρήγορα, επιδιορθώθηκε οποιοδήποτε τρωτό σημείο και αναβαθμίστηκαν τα συστήματα ασφαλείας.

Παρά την αρχική εκτίμηση της εταιρείας FireEye για την ταυτότητα των δραστών, αρμόδιοι Ελληνες αξιωματούχοι, οι οποίοι μίλησαν στην «Κ», δεν θεωρούν πιθανό ότι πίσω από την εκστρατεία «Θαλάσσια Χελώνα» βρίσκεται το Ιράν.

Πρόσφατα, το ειδησεογραφικό πρακτορείο Reuters απέδωσε σε Τούρκους χάκερ παρόμοιες επιθέσεις που σημειώθηκαν την ίδια περίοδο κατά της Ελλάδας, της Κύπρου, της Αλβανίας και του Ιράκ. Το δημοσίευμα του Reuters, επικαλούμενο έναν Αμερικανό και δύο Βρετανούς αξιωματούχους, ανέφερε ότι οι επιθέσεις είχαν σκοπό την προώθηση των τουρκικών συμφερόντων. Οι αξιωματούχοι βάσισαν τα συμπεράσματά τους μεταξύ άλλων και σε απόρρητο υλικό που απέφυγαν να αποκαλύψουν.

Οι ερευνητές της Cisco είχαν διαπιστώσει ότι τουλάχιστον 40 διαφορετικοί οργανισμοί σε 13 χώρες είχαν πληγεί από τις κυβερνοεπιθέσεις στο πρώτο κύμα της «Θαλάσσιας Χελώνας». Ενδεικτικό του μεγέθους της απειλής είναι ότι στις 22 Ιανουαρίου 2019 το υπουργείο Εσωτερικών των ΗΠΑ εξέδωσε σχετική προειδοποίηση για τον κίνδυνο αυτών των επιθέσεων.

Στο στόχαστρο των δραστών είχε μπει και η εθνική υποδομή Netnod στη Σουηδία, που διασυνδέει τις εταιρείες Διαδικτύου της χώρας. Με την ίδια μέθοδο που εφαρμόστηκε εναντίον των ελληνικών κυβερνητικών ιστοσελίδων οι δράστες πραγματοποίησαν τρεις διαδοχικές επιθέσεις κατά της Netnod σε διάστημα δύο εβδομάδων. 


Πηγή ΚΑΘΗΜΕΡΙΝΗ

Σχετικές δημοσιεύσεις