Dabar populiaru
Publikuota: 2018 sausio 29d. 15:12

NSKC paskelbė išvadas dėl įsilaužimo į tv3.lt portalą ir melagingo pranešimo apie R.Karoblį

Raimundas Karoblis
Juliaus Kalinsko / 15min nuotr. / Raimundas Karoblis

Nacionalinis kibernetinio saugumo centras (NKSC) prie Krašto apsaugos ministerijos pirmadienį paskelbė pirminę su naujienų portalu tv3.lt siejamo kibernetinio incidento analizę. Tyrimo metu nustatyta, kad pasinaudojant tv3.lt svetainės turinio valdymo sistema (TVS) ir užvaldžius administratoriaus paskyrą buvo paskelbtas suklastotas straipsnis.

Išvadose teigiama, kad į interneto svetainę TV3.lt buvo įsilaužta pasinaudojant užvaldyta administratoriaus paskyra. Kadangi buvo aptikta ir ankstesnių nesankcionuotų prisijungimų prie tarnybinės stoties, manoma, kad jos prisijungimo duomenys buvo perimti daug anksčiau, negu įvykdytas pats įsilaužimas. Taip pat pasinaudojant suklastota „sensacinga informacija“ tikslingai išplatinami laiškai su kenksmingu kodu, kuris, patekęs į sistemą, galėtų ją išnaudoti (pvz.: suteikti įsibrovėliams prieigą prie joje saugomų dokumentų, sudarytų sąlygas sekti naudotojų veiklą).

Pranešime teigiama, kad remiantis tv3.lt specialistų pateiktų tarnybinės stoties ir TVS žurnalų įrašų (angl. Logs) informacija, nustatyta, kad prisijungimas prie svetainės ir straipsnio koregavimas buvo įvykdytas naudojantis TOR tinklo paslaugomis.

Nustatyti išeities mazgų loginiai IP adresai, kurie buvo naudojami įsilaužimo metu, siejami su užsienio valstybių finansuojamos grupuotės veikla internete. 2018 m. sausio 18 d. 19.26 val. imituojant siuntėjo pašto adresą noreplay[@]tv3.lt tikslinei auditorijai išsiunčiami elektroniniai laiškai su priedu, kuriame įterptas kenksmingas kodas. Tikslinė gavėjų auditorija apėmė svarbių Lietuvos valstybės institucijų ir spaudos atstovus, politikus.

NSKC nuotr./Kibernetinės atakos įvykių seka
NSKC nuotr./Kibernetinės atakos įvykių seka

Patikrinus laiško techninę antraštę (angl. header) nustatyta, kad laiškas siųstas iš IP adreso 103.36.109[.]248. Siuntimo adresas imituojamas siekiant apsimesti tikru tv3.lt svetainės naujienų prenumeratos el. pašto adresu (noreply@tv3.lt). Laiško turinyje įterptas paveiksliukas, kreipiniai į kurį gali būti stebimi siuntėjų (siekiant sužinoti, kas atsidaro atsiųstus laiškus). Prie laiško prisegtas priedas pavadinimu Press release_18_01_18.doc (pav.). Laiško priedo Press release_18_01_18.doc turinyje pateikiama suklastota informacija apie Lietuvos Respublikos krašto apsaugos ministrą Raimundą Karoblį su nuorodomis į straipsnį portale.

Dokumente taip pat įterptas automatizuotas kenksmingas kodas (powershell komanda), kuris kreipiasi į tarnybinę stotį internete (88.99.132[.]118) norėdamas atsisiųsti papildomą kenksmingą kodą. Kenksmingas kodas turėtų būti atsiunčiamas išnaudojant „Microsoft Office“ programos funkcionalumą „Dinamiškas apsikeitimas duomenimis“ (angl. Dynamic Data Exchange) (DDE), taip gaunami duomenys iš kitų resursų kompiuteryje arba tinkle. Kenksmingas kodas įterptas į paslėptą duomenų laukelį, kurio aprašyme taip pat rodomas klaidos pranešimas, pateikiamas rusiško raidyno (kirilicos) simboliais, todėl galima daryti prielaidą, kad šiam dokumentui kurti buvo naudojama rusiška „Microsoft Word“ programinės įrangos versija (pav.).

Rekomenduoja ne tik imtis didesnių apsaugų, bet ir šviesti darbuotojus

NKSC rekomenduoja, kad siekiant apsaugoti viešai prieinamas sistemas nuo įsibrovimų, būtina reguliariai atnaujinti tarnybinėse stotyse naudojamą programinę įrangą, apriboti prieigą prie administravimo sąsajos (pvz., prieigos kontrolės sąrašais), naudoti papildomas apsaugos priemones (pvz., tinklo programų užkardą), griežtai kontroliuoti administravimo teises turinčias paskyras, naudoti sudėtingus ir reguliariai keičiamus prieigos slaptažodžius, reguliariai atlikti prisijungimų žurnalo įrašų (angl. Logs) auditą.

Organizacijoms taip pat rekomenduojama naudoti elektroninio pašto apsaugos ir filtravimo programinę įrangą. Naudotojų darbo stotyse siūloma išjungti pagal nutylėjimą veikiančius nereikalingus programų funkcionalumo nustatymus (pvz.: makrokomandos, automatinis nuorodų atnaujinimas atidarius dokumentą (angl. Update automatic links at open) ir pan.). Apriboti powershell veikimą naudotojo lygmeniu. Saugantis nuo programinių pažeidžiamumų išnaudojimo, būtina kuo dažniau atnaujinti darbo stotyse naudojamą programinę įrangą (operacines sistemas, naršykles, biuro ir elektroninio pašto, .pdf dokumentus atidarančias programas).

Kadangi dažniausiai naudotojams apgauti naudojami socialinės inžinerijos principai (stengiamasi sudominti, išgąsdinti ar manipuliuoti kitomis emocijomis), itin svarbus nuolatinis darbuotojų sąmoningumo ugdymas: švietimas supažindinant su galimomis grėsmėmis, kibernetinio saugumo pratybų organizavimas, rekomendacijos, kaip elgtis su įtartinais laiškais ar dokumentais.

Įsilaužimo į naujienų portalą tv3.lt sausio 18 d. vakare metu buvo paskelbta melaginga informacija apie krašto apsaugos ministrą Raimundą Karoblį, o vėliau, imituojant siuntėjo pašto adresą, tikslinei auditorijai – Lietuvos valstybės institucijų ir žiniasklaidos atstovams – buvo išsiųsti elektroniniai laiškai su priedu, kuriame įterptas kenksmingas kodas. Incidentas, bendradarbiaujant NKSC ir naujienų portalo tv3.lt specialistams, buvo labai greitai užkardytas.

Pasak krašto apsaugos viceministro Edvino Kerzos, pastarasis kibernetinis išpuolis buvo gera treniruotė įvertinant sutelktų valstybės kibernetinio saugumo pajėgumų pasiektą pažangą incidentų valdymo ir tyrimų srityje.

„Konsolidavę kibernetinius pajėgumus galime greičiau ir efektyviau tvarkytis, taip pat suteikti pagalbą tiems, kurie gali būti paveikti kibernetinių išpuolių“, – sako viceministras E.Kerza.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą

Naujienos

Popiežiaus vizitas Aktualu

Popiežius Pranciškus atvyko į Prezidentūrą, susitinka su D.Grybauskaite

Popiežiaus vizitas Aktualu

Kelionė su „Ganytoju“: kaip atrodo popiežiaus skrydžiai į užsienį?

Popiežiaus vizitas Aktualu

Popiežius Pranciškus jau Lietuvoje – oficiali pasitikimo ceremonija įvyko

Popiežiaus vizitas Aktualu

Svarbios maldos vietos Lietuvoje

Aktualu

Dandolke nužudytos lietuvės vaikams teikiama psichologo pagalba: spręs dėl perdavimo į globėjų rankas

Susitikimų su popiežiumi vietos ir programa

Popiežiaus vizitas 15min iš Romos Aktualu

Prieš 5 metus – 15min klausimas popiežiui Pranciškui. Apie krepšinį

24sek

LKL reitingas: Šaro efektas, „Ryto“ viltys ir „kubilo“ komandos ambicijos

Pasaulis kišenėje

Nauja verta aplankyti vieta Egipte: turistams atvertas 4 tūkst. senumo kapas

Aktualu

Popiežius Pranciškus: biografija ir įdomūs faktai

Vardai

Po sužadėtuvių Nomeda Marčėnaitė su mylimuoju po vienu stogu kraustytis neskuba: „Nenorime pokyčių“

Aktualu

Prezidentu gyventojai mato Gitaną Nausėdą ir Saulių Skvernelį

Vardai

Kourtney Kardashian santykių viražai: trijų vaikų mama susitikinėja su 20-mečiu jaunuoliu

Gazas

Priešpaskutinė diena Balkanų ralyje: kraujuojančios lietuvių žaizdos

Sportas

Įspūdingai laimėjęs I.Barysas gavo pylos nuo trenerių: „Taip rizikuoti negalima“

Gyvenimas

Ką galime sodinti rudenį: renkantis sodinukus, svarbu neapsirikti

Vardai

Amalia Damonte – moteris, kurią popiežius Pranciškus norėjo vesti: atstumtas atsigręžė į Dievą

Popiežiaus vizitas 15min iš Romos Aktualu

Pranciškaus kelionių puošmenos? Dieviški netikėtumai

Žurnalistai laukia Prezidentės ir Popiežiaus susitikimo

Maistas

Savaitgalio pietums – lietuvių mėgstami balandėliai: 9 klasikiniai ir egzotiškesni receptai

Naujienos

Popiežiaus vizitas Aktualu

Popiežius Pranciškus Lietuvoje: „Galite tapti tiltu tarp Rytų ir Vakarų“

Popiežiaus vizitas Aktualu

Svarbios maldos vietos Lietuvoje

Popiežiaus vizitas Aktualu

Kelionė su „Ganytoju“: kaip atrodo popiežiaus skrydžiai į užsienį?

Maistas

Vytaro Radzevičiaus „Pasaulio puodai“: Ernesto Hemingway'iaus troškinys „picadillo“

Popiežiaus vizitas Aktualu

Popiežius Pranciškus jau Lietuvoje – oficiali pasitikimo ceremonija įvyko

Susitikimų su popiežiumi vietos ir programa

Aktualu

Dandolke nužudytos lietuvės vaikams teikiama psichologo pagalba: spręs dėl perdavimo į globėjų rankas

Gyvenimas

„Emporio Armani“ ateinančių metų pavasario kolekciją pristatė oro uoste

Popiežiaus vizitas Aktualu

Prieš 5 metus – 15min klausimas popiežiui Pranciškui. Apie krepšinį

Vardai

Po sužadėtuvių Nomeda Marčėnaitė su mylimuoju po vienu stogu kraustytis neskuba: „Nenorime pokyčių“

24sek

LKL reitingas: Šaro efektas, „Ryto“ viltys ir „kubilo“ komandos ambicijos

Pasaulis kišenėje

Nauja verta aplankyti vieta Egipte: turistams atvertas 4 tūkst. senumo kapas

Aktualu

Popiežius Pranciškus: biografija ir įdomūs faktai

Vardai

Kourtney Kardashian santykių viražai: trijų vaikų mama susitikinėja su 20-mečiu jaunuoliu

Gazas

Priešpaskutinė diena Balkanų ralyje: kraujuojančios lietuvių žaizdos

Gyvenimas

Ką galime sodinti rudenį: renkantis sodinukus, svarbu neapsirikti

Vardai

Amalia Damonte – moteris, kurią popiežius Pranciškus norėjo vesti: atstumtas atsigręžė į Dievą

Sportas

Įspūdingai laimėjęs I.Barysas gavo pylos nuo trenerių: „Taip rizikuoti negalima“

Aktualu

Prezidentu gyventojai mato Gitaną Nausėdą ir Saulių Skvernelį

Aktualu

Gariūnuose iš aikštelės pavogtas 90 tūkstančių eurų vertės „Porsche“

Vardai

Daugiau vandens

Sveikata

Ruduo pilnas komplimentų

Parašykite atsiliepimą apie 15min