PRIE KRAŠTO APSAUGOS MINISTERIJOS SUTRUMPINTAS PRANEŠIMAS APIE KIBERNETINIO INCIDENTO TYRIMĄ NR. 163811 2019 m. balandžio 19 d. Vilnius TLP: WHITE Kibernetinio incidento tyrimo objektas: 2019-04-10 imituotų elektroninių laiškų siuntimas tikslinei auditorijai, įsilaužimas į interneto svetainę kaunas.kasvyksta[.]lt šmeižiančios informacijos platinimui. 2018-09-17 10:00 kaunas.kasvyksta.lt svetainėje patalpinamas programinis kodas kaip "galinės durys" ateities atakomis. 2019-04-10 18:07 Platinami elektroniniai laiškai imituojantys Krašto apsaugos darbuotoją ir šmeižiantys Krašto apsaugos ministrą. 2019-04-11 11:57 Svetainėje kaunas.kasvyksta.lt pasinaudojama "galinėmis durimis" ir pakeičiamas straipsnio turinys šmeižiantis Krašto apsaugos ministrą. Patalpinama netikra STT internetinė svetainė. 2019-04-11 Svetainėje baltictimes.com patalpinamas straipsnis šmeižiantis Krašto apsaugos ministrą. Įvykių laiko juosta 2019 m. balandžio 10 d. vakare pradedami platinti elektroniniai laiškai imituojantys Krašto apsaugos darbuotoją ir šmeižiantys Krašto apsaugos ministrą. Laiškai platinami tikslinei auditorijai: Lietuvos Respublikos valstybės institucijų atstovams, politikams. Laiško turinys parašytas sklandžia, taisyklinga, formalizuota Lietuvių kalba, aiškiai suprantant Lietuvos Respublikos teisinę bazę, vidinę organizacinę struktūrą. Patikrinus laiško techninę antraštę (angl. header) nustatyta, kad laiškas siųstas iš IP adreso 94.103.82[.]136, naudojantis laiškų/ naujienų platinimo paslaugų teikėjus. Taip siekiant nuslėpti pirminę laiško antraštę ir tokiu būdu apeiti įvairias pašto serverio apsaugas. 1
Suklastotas elektroninis laiškas Atlikus laiško analizę nustatyta, kad laiško turinyje įterpta nuoroda: vieno pikselio dydžio, naudotojui nematomas, paveiksliukas. Tai daroma tam, kad laiško siuntėjas galėtų identifikuoti kas ir kiek kartų perskaitė siųstą laišką. Nuoroda į nematomą paveikslėlį Tyrimo metu nustatyta, kad pasinaudojus viešai prieinamu programiniu kodu, jį modifikavus, patalpinamas į naujienų portalą kaunas.kasvyksta[.]lt 2018-09-17 10:00:05. Tokius programinio kodo rinkinius naudoja interneto svetainių administratoriai, tačiau ne retais atvejais ir piktavaliai įsilaužę į svetainės sistemą ir palikdami rinkinio failą kaip galines duris (angl. backdoor) ateities atakoms. Galimai tokie veiksmai buvo atlikti ir šio incidento metu. Kaip failas buvo įkeltas į sistemą negalima nustatyti nėra svetainės įvykių įrašų. Pasinaudojus seniau įkeltomis galinėmis durimis 2019-04-11 11:57 buvo suklastotas straipsnio turinys šmeižiantis Krašto apsaugos ministrą. Remiantis iš MB Kas Vyksta gauta informacija, nustatyta, kad ataka vykdyta naudojantis TOR tinklo paslaugomis, iš IP adreso 38.117.96.154. Pasinaudota technologija, veikiančia sluoksninio maršruto parinktuvo principu, skirta informacijai anonimiškai siųsti ir gauti internetu. Užfiksuoti išeities mazgų loginiai IP adresai, kurie buvo naudojami įsilaužimo metu, siejami su kenkėjiška veikla internete. 2
Patikrinus 2019-04-11 11:57 atnaujinto straipsnio turinį svetainėje kaunas.kasvyksta[.]lt nustatyta, kad straipsnio turinys sutampa su suklastotu laišku. Svetainėje kaunas.kasvyksta[.]lt patalpinta netikra naujiena (I/II dalis) 3
Svetainėje kaunas.kasvyksta[.]lt patalpinta netikra naujiena (II/II dalis) Straipsnyje įterpta nuoroda pranešė STT. Pažymėta nuoroda, kuri matoma Svetainėje kaunas.kasvyksta[.]lt patalpinta netikra naujiena (I/II dalis)) paveikslėlyje, nukreipia į tą pačią kaunas.kasvyksta[.]lt svetainę, kurioje atvaizduojamas suklastotas Lietuvos Respublikos Specialiųjų tyrimų tarnybos tinklalapis, nukopijuotas tikros svetainės stilius, dizainas, paveiksliukai su ta pačia Krašto apsaugos ministrą šmeižiančia informacija. 4
Suklastotas STT puslapis patalpintas kaunas.kasvyksta[.]lt svetainėje 2019-04-11 Gauta informacija, kad į svetainę baltictimes[.]com buvo galimai įsilaužta ir patalpintas straipsnis anglų kalba, kurio turinys neva paremtas svetainės kaunas.kasvyksta[.]lt patalpinta netikra naujiena, šmeižiančia Krašto apsaugos ministrą. Svetainėje matoma straipsnio įkėlimo data 2019-04-10, galimai svetainė baltictimes.com turėti panašias galines duris kaip ir kaunas.kasvyksta[.]lt svetainė, kuriomis 2019-04-11 buvo pasinaudota ir pakeistas anksčiau įkelto straipsnio turinys. 5
Patalpinta netikra naujiena svetainėje baltictimes[.]com 6
Išvados Tikslingai auditorijai išplatinti suklastoti sensacingi elektroniniai laiškai, imituojantys Krašto apsaugos sistemos darbuotoją, kurių turinyje pateikiama Krašto apsaugos ministrą šmeižianti informacija. Laiško turinyje esanti nuoroda galėjo pranešti kas ir kiek kartų atsidarė el. laišką (informavo apie gavėjų IP); Svetainėje kaunas.kasvyksta[.]lt pasinaudojant įsilaužėlių anksčiau paliktomis galinėmis durimis pakeistas straipsnis, šmeižiantis Krašto apsaugos ministrą. Straipsnio turinyje patalpinta nuoroda į Lietuvos Respublikos Specialiųjų tyrimų tarnybos pranešimą, kuri nuveda į suklastotą tarnybos svetainę talpinamą toje pačioje tarnybinėje stotyje su skelbiama melaginga ministrą šmeižiančia informacija. Gauta informacija, kad į internetinę naujienų svetainę baltictimes.com buvo galimai įsilaužta ir patalpintas straipsnis anglų kalba, kurio turinys paremtas svetainės kaunas.kasvyksta[.]lt patalpinta netikra naujiena. Grėsmių indikatoriai 94.103.82.136 Tipas Data 2019-04-10 IP Aprašymas: IP adresas, iš kurio buvo išsiųstas elektronini laiškas. 38.117.96.154 Tipas Data 2019-04-11 IP Aprašymas: Rekomendacijos IP adresas, iš kurio buvo pakeistas straipsnio, patalpinto kaunas.kasvyksta[.]lt svetainėje, turinys. Grėsmės lygis High (3/5) Indikatoriaus patikimumas (70/100) Grėsmės lygis High (4/5) Indikatoriaus patikimumas (70/100) Dažniausiai naudotojams apgauti naudojami socialinės inžinerijos metodai, kai stengiamasi sudominti, išgąsdinti ar manipuliuoti kitomis emocijomis, todėl itin svarbus nuolatinis darbuotojų sąmoningumo ugdymas: švietimas, supažindinant su galimomis grėsmėmis, kibernetinio saugumo pratybų organizavimas, rekomendacijos, kaip elgtis su įtartinais laiškais ar dokumentais. Gavus keisto ar įtartino turinio elektroninį laišką nuo žinomo asmens ar organizacijos tikrinti elektroninio laiško antraštes (angl. headers), kuriose matoma, kas yra tikrasis laiško siuntėjas (laukelis From ). Analizuojant antraštę, reikėtų žiūrėti į pirmą Received parametrą nuo apačios. Šis parametras pasakys, iš kurio serverio buvo išsiųstas elektroninis laiškas. Jeigu From laukas yra siuntejas@imone.lt, tai ir Received laukelyje dažniausiai turi matytis adresų sritis (domenas) imone.lt. Neaktyvuoti elektroninio pašto skaitymui naudojamos programinės įrangos nustatymų, kurie automatiškai inicijuotų laiško turinyje esančių paveikslėlių atsisiuntimą. Įtartinuose elektroniniuose laiškuose neinicijuoti paveiksliukų atsisiuntimo. Siekiant apsaugoti internetines svetaines nuo įsibrovimų apsaugai naudoti svetainėms skirtą ugniasienę (angl. Web Application Firewall WAF). Reguliariai atnaujinti tarnybinėse stotyse naudojamą programinę įrangą, apriboti prieigą prie administravimo sąsajos (pvz., prieigos kontrolės sąrašais), griežtai kontroliuoti administravimo teises turinčias paskyras, naudoti sudėtingus ir 7
reguliariai keičiamus prieigos slaptažodžius, reguliariai atlikti svetainės žurnalų įrašų (angl. Logs) ir failų sistemos auditą. Suplanuoti ir reguliariai atlikti svetainės pažeidžiamumų skanavimą. 8