Devman adında bir tehdit oyuncusu, Tayland Çalışma Bakanlığı’nda bir siber saldırı için sorumluluk iddia etti, 300’den fazla gigabayt hassas veriyi tehlikeye attı ve hükümet operasyonlarını ciddi şekilde bozdu.
Tayland Çalışma Bakanlığı siber saldırı, vur-koşu olayı değildi.
Devman’ın Dark Web blogundaki bir yayına göre, bilgisayar korsanları saldırılarını uygulamadan önce bakanlığın sistemlerine 43 günden fazla erişime erişebildiler. Hem Active Directory’ye hem de çoklu Linux sunucularına sızdığını, metodik olarak veri topladığını ve grevlerine hazırlandığını iddia ediyorlar.
İhlal, bakanlığın resmi web sitesi tahrif edildiğinde halka dikkat çekti ve ana sayfa bir mesajla değiştirildi: “Bu sadece web sitesi değil. Burada tanık olduğunuz, bu bakanlığı sakatlamayı amaçlayan koordineli saldırımızın bir parçası.”
Ancak, bunu yazarken mesaj silindi.
Web sitesi aşiktirmesine ek olarak, grup yaklaşık 2.000 dizüstü bilgisayar, 98’den fazla Linux sunucusu ve 50’den fazla Windows sunucusu şifrelediklerini iddia ediyor. Belki de en rahatsız edici bir şekilde, Devman Active Directory ortamını tamamen sildiğini ve tüm bant yedeklemelerini yok ettiğini ve potansiyel olarak restorasyon çabalarını sakatladığını iddia ediyor.
Tayland Çalışma Bakanlığı’nın detayları siber saldırı
Devman’a göre, çalınan veriler şunları içerir:
- 600’den fazla gizli hükümet belgesi
- Vatandaş ve yabancı ziyaretçi veri kümelerinin büyük bölümleri
- Gizli hükümet iletişimi ve kişisel detayları
Verileri yayınlamama veya satmama karşılığında 15 milyon dolarlık bir fidye talep edildi.
Teknik analiz: Bu nasıl mümkün oldu?
Tayland Çalışma Bakanlığı’ndaki siber saldırıya yanıt olarak, Cyber Express Pentesttools’un hafif web sitesi güvenlik açığı tarayıcısı. Bu sınırlı bir tarama olsa da ve SQL enjeksiyonu veya uzaktan kod yürütme gibi kritik sorunları kontrol etmese de, birkaç güvenlik açığı keşfedildi.
Orta riskli güvenlik açıkları tanımlanmıştır:
- Güvensiz çerez ayarları: MOturum kaçırma riskini artıran oturum çerezlerine (phpsessid) güvenli ve httponly bayrakları yayınlamak.
- Eski JQuery UI Kütüphanesi: Site, XSS güvenlik açıkları ve keyfi kod yürütülmesine izin verebilecek güvenli olmayan parametre kullanımı dahil olmak üzere birden fazla CVVE’ye sahip olduğu bilinen JQuery UI 1.11.4 kullanıyordu.
- Zayıf İçerik Güvenliği Politikası (CSP): Kullanımı güvensiz– güvensizve açık nesne-src Politikalar, saldırganların kötü amaçlı JavaScript yürütmesine izin verebilir.
- Maruz kalan e -posta adresleri: Gibi adresler [email protected] Ve [email protected] Halka açık, kimlik avı risklerini artırdı.
- Sunucu teknolojisi parmak izi: Tarama, PHP, Apache, MySQL, WordPress, Bootstrap ve diğer teknolojilerin kullanımını tespit etti ve saldırganlara hedeflenen istismarlar için bir plan verdi.
- Yanlış yapılandırılmış robotlar.txt: Dosya, kamuya açık olması gereken potansiyel olarak hassas veya yönetici yollarını ortaya çıkardı.
Bu güvenlik açıklarının kombinasyonu, Tayland’daki siber saldırının, modası geçmiş kütüphaneler ve zayıf oturum güvenliği yoluyla kaldırılan bir müşteri tarafı XSS istismarını içerebileceğini ve saldırganların erişimi artırmasına ve daha derin sistemlere sızmasına izin verebileceğini düşündürmektedir.
Sarmak için
Şu an itibariyle Çalışma Bakanlığı tarafından resmi bir yanıt verilmemiştir. Cyber Express yorum yapmak için uzandı, ancak bakanlık henüz yanıt vermedi. Devman’ın iddiaları onaylanırsa, ThiTayland üzerindeki siber saldırı, sadece veri hacmi açısından değil, aynı zamanda bir krit üzerine verilen uzun vadeli sistemik hasar nedeniyle Güneydoğu Asya’nın yakın tarihindeki en ciddi veri ihlalleri arasında yer alacaktır.ical hükümet kurumu.
Yedek altyapının bildirilmesi ve şifrelenmiş sistemlerin ölçeği göz önüne alındığında, iyileşme yavaş ve karmaşık olabilir. Bu hikaye gelişiyor.
Cyber Express, etkilenen ajanslardan gelen resmi yanıtlar, onaylar veya kamu beyanları da dahil olmak üzere Tayland Çalışma Bakanlığı Siber Saldırı’daki güncellemeleri izlemeye devam edecektir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.