14.07.2016 | 18:30

Adam Haertle

Osoby stojące za atakiem na Netię twierdzą że włamały się do MON

Kilka godzin temu konto na Twitterze powiązane z niedawnym wyciekiem danych z Netii opublikowało dokumenty, które, jak twierdzi, zostały wykradzione z polskiego Ministerstwa Obrony Narodowej.

Około godziny 15 konto Twittera, które kilka dni temu publikowało linki do plików wykradzionych z serwerów Netii, umieściło w sieci kolejne dane, tym razem twierdząc, że pochodzą z serwerów MONu. W naszej ocenie na razie brak dowodów na to, że faktycznie włamanie do sieci MON miało miejsce – raczej była to wizyta na jednym komputerze.

Komunikaty włamywaczy

Komunikaty włamywaczy

Wykradzione dane

Wśród danych udostępnionych do tej pory przez włamywaczy można znaleźć:

  • plik XLS opisany intermon.gov.pl zawierający dane wyglądające jak podsumowanie inwentaryzacji komputerów w sieci intermon.mon.gov.pl (brak loginów i haseł, obecne są tylko nazwy komputerów, nazwy domenowe, GUIDy, daty zmiany haseł i logowań, rodzaj systemu operacyjnego i poziom aktualizacji)
  • zrzut ekranu pokazujący dostęp do komputera w sieci intermon (widać pulpit, listę komputerów w sieci oraz prywatne zdjęcia)
  • kilka zdjęć dokumentów jednego wojskowego, prawdopodobnie użytkownika komputera z punktu wyżej
Zrzut ekranu z naszymi zaznaczeniami istotnych fragmentów

Zrzut ekranu z naszymi zaznaczeniami istotnych fragmentów

 

Z kiedy mogą pochodzić dane?

Na podstawie ujawnionych dokumentów można wnioskować, że dane zostały wykradzione w lipcu tego roku (lub ktoś bardzo się postarał, by na to wyglądało):

  • najnowsza data na dokumentach wojskowego wskazuje na rok 2010
  • daty zdjęć wskazują na luty 2015
  • zrzut ekranu pulpitu wskazuje na 11 lipca 2016
  • daty ostatniego logowania w arkuszu kalkulacyjnym wskazują na 2 lipca 2016

Atakujący wskazali także, że jeśli otrzymają 50 tysięcy dolarów okupu, to powstrzymają się od dalszych publikacji a jako adres, na który należy przesłać pieniądze, wskazali konto Romana Donika, ukraińskiego blogera opisującego konflikt ukraińsko – rosyjski. Podali także adres BTC 19g4a6oZdYAMyrnDuc6LzKTsLBu68717Hj, powiązany z kolei z ransomware, przez który miesiąc temu przetoczyły się 193 BTC.

Ujawnione informacje sugerują, ze włamywaczom mogło się udać uzyskać kontrolę nad jedną stacją w sieci wewnętrznej MON. Możliwe jest także, że zrzuty ekranu mogły być spreparowane – choć wyglądają dość wiarygodnie. Niewykluczone także, że opublikowane dane zostały uzyskane w ramach jednego z wcześniejszych ataków na użytkowników sieci MON, gdzie włamywacze powiązani z rosyjskim rządem tworzyli fałszywe interfejsy WWW udające pocztę MON a dane zostały wykradzione ze skrzynki jednego z użytkowników.

Powrót

Komentarz

  • 2016.07.14 21:22 iytvc9

    Komiczne jest żądać okupu od rządu. Równie dobrze od razu mogą upublicznić tę bazę.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Osoby stojące za atakiem na Netię twierdzą że włamały się do MON

Komentarze