Десетки адреси на МВнР са били подложени на сериозна фишинг атака в сряда, 25 април 2018. Компрометирани са акаунти на шефове от Външно и на дипломати, като вероятно това засяга и националната сигурност. От “Информационно обслужване” обаче не са информирали навреме Националния център за действия при инциденти в информационната сигурност.
Вече 24 часа службата, която трябва да пази киберсигурността на държавните учреждения не знае за добре организирана фишинг атака срещу Външно министерство, установи проверка на Биволъ след като получи сигнал за много сериозна и внимателно планирана хакерска операция.
В сряда около обед на голям брой адреси на служители на МВнР се е получил имейл със заглавие СПЕШНО !!!, претендиращ, че идва от Виктор Роснев, бивш служител на МВнР, напуснал преди две години.
В съобщението се съдържа линк към домейн, който прилича на правителствения, но е регистриран в Индия.

Линкът изпратен във фишинг мейла до служители на МВнР води към страница, имитираща домейна на правителството и информационната система базирана на MS Exchange https://eventis.mfa.government-bg.in/DOCUMENT.php?id=2092230&PageName=NEWME&Keyword=&URLToGo=/Documents.jsp?PageName=NEWME
Страницата, която към момента на създаване на статията беше активна, е копие на входната страница за вътрешната информационна система на Външно министерство, интегрирана с MS Exchange.
Все още не се знае точния размер на щетите, но по информация на Биволъ поне 30 души на високи позиции в МВнР – директори, зам.-министри и посланици, са засегнати и са въвели паролите си на фалшивата страница. Със сигурност всеки, който е въвел логин и парола на фалшивата страница, е компрометирал акаунта си и е дал възможност на хакерите да го източат.
Няма яснота до каква точно информация са получили достъп атакуващите и дали не е компрометирана и националната сигурност чрез достъп до класифицирана информация.
Атаката е грижливо планирана, насочена към конкретни служители, чиито адреси са били събрани за целта. Фалшивият домейн е регистриран на 23 април, само преди два дни. Проверка на Биволъ в системата whois показа, че като лице за контакт на регистрацията е дадено името Максим Котов (Maxim Kotov), посочен е адрес на модно кафене в Букурещ, а имейлът на въпросния Максим Котов е в анонимната поща tutanova.com.
Вероятно при своевременна и дискретна реакция е било възможно да се събере повече информация за източника на атаката, но 24 часа по-късно компетентните служби не са знаели нищо за този опасен инцидент, установи проверка на Биволъ.
Свързахме се с Националния център за действия при инциденти в информационната сигурност по телефона към 12 ч. на 26 април, четвъртък. Оттам обаче съобщиха, че не знаят за такава фишинг атака и не са били информирани от Външно.
След запитване до МВнР към 15 ч. на 26 април се получи следния отговор: “Във връзка с Вашето запитване Ви информираме, че има такава фишинг атака. Предприети са необходимите мерки веднага. Информирани са компетентните органи.”
От министерството обаче не отговориха на въпросите колко са засегнатите служители, кога са информирани органите и какви мерки са предприети.
Фирмата, която се грижи за киберсигурността на Външно министерство е държавната “Информационно обслужване”. Само преди месеци тя спечели обществена поръчка за почти 1 млн. лева (без ДДС) с предмет „Наблюдение и управление на информационно-комуникационната инфраструктура на Министерство на външните работи”.
Всичко това се случва на фона на току що публикувания доклад на Държавна агенция “Разузнаване” (ДАР), в който се твърди, че България е обект на хибридни и кибератаки: “Като част от информационната война за въздействие върху общественото мнение редица страни продължиха да използват и през 2017 г. кибератаките за решаване на политически, икономически и разузнавателни задачи в полза на собствени интереси, включително и в нашата страна”.
Като начин на изпълнение, операцията на хакерите срещу Външно е твърде сходна с фишинг атаката срещу Демократичната партия на САЩ, при която беше източено огромно количество информация. Тя беше използвана по време на предизборната кампания именно за въздействие върху общественото мнение, или както се изразява ДАР: “за решаване на политически задачи”.
***
Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find the article interesting and useful, you can support us to continue to do independent investigative journalism.
Включете се с Данъкъ Биволъ! Support Bivol
При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Please, read our Terms and conditions here.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Please, read our Terms and conditions here.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
Bivol is not recording the number of your bank card. The card payments go through Stripe. Card donations for Bivol are managed by the French NGO Data for Reporters Journalists and Investigations - DRJI.
IBAN: BG27 ESPY 4004 0065 0626 02
BIC: ESPYBGS1
Титуляр/Account Holder: Bivol EOOD
Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук.
Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.
SMS код BIVOL
За да подкрепите с малка сума нашите разследвания и автори, можете да изпратите SMS на кратък номер. Ще получите с обратен SMS линк към нашия архив.
- Изпрати 1,2 лв. на номер 1851 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 2,4 лв. на номер 1092 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 4,8 лв. на номер 1094 с код BIVOL и получи достъп до Архивите на Биволъ
- Изпрати 12 лв. с два смс-а на номер 1096 с код BIVOL и получи достъп до Архивите на Биволъ
Сумите са с включен ДДС. Моля, имайте предвид, че това е най-неефективният начин да подпомогнете Биволъ, тъй като комисионната на мобилните оператори достига 60%. Ако имате възможност, използвайте някой от другите методи на плащане.
Криптовалути
За да ни изпратите биткойни сканирайте QR кода или използвайте един от двата адреса: Standard: 1EY3iwkPXiby6XFsyCcVPGZPYCGPbPeVcb
Segwit: bc1ql28g7qnvdmenrzhhc7rtk0zk67gg4wd9x9jmmc
- Документи от Панама и Пандора пейпърс нареждат пъзела
Руска връзка излиза в Барселонагейт
- 5 юни 2023 - Ексклузивни документи от Софийска градска прокуратура
Прокуратурата тихомълком прекрати наказателното производство за #Чекмеджегейт срещу Бойко Борисов
- 26 май 2023 - Сарафови станаха милионери. Политици от ГЕРБ им харизали скъпи имоти - 8 май 2023
This post is also available in: English
Трябва да влезете, за да коментирате.