Στοχευμένη επίθεση Hackers πραγματοποιήθηκε στον κεντρικό εξυπηρετητή ιστοσελίδων (web server) της ελληνικής Τράπεζας ProBank... [http://www.probank.gr] πριν από μερικές ώρες! Είναι το δεύτερο χτύπημα σε Τράπεζα που κοινοποιείται στο SecNews εντός του μηνός Οκτωβρίου, μιας και πριν 10 ημέρες είχε πραγματοποιηθεί κυβερνοεπίθεση στην ιστοσελίδα της Συνεργατικής Κεντρικής Τράπεζας Κύπρου, από Τούρκους όμως τότε Hackers. Σύμφωνα με την ανώνυμη πληροφορία που δεχτήκαμε, οι επιτιθέμενοι κατόρθωσαν να αποκτήσουν πλήρη πρόσβαση και έλεγχο της ιστοσελίδας της Τράπεζας, χωρίς να γίνουν αντιληπτοί από τους διαχειριστές, ενώ στη συνέχεια άντλησαν αρχεία δεδομένων του εξυπηρετητή. Το αρχείο που διέρρευσε μέχρι στιγμής από τους hackers είναι «/etc/passwd», αρχείο συστημάτων Unix/Linux στο οποίο βρίσκονται τα δεδομένα χρηστών του εξυπηρετητή. Από μόνο του το συγκεκριμένο αρχείο δεν εκθέτει κωδικούς χρηστών (γιαυτό και προβαίνουμε σε δημοσίευση), αλλά δίνει σημαντικές αξιοποιήσιμες πληροφορίες σχετικά με τους διαθέσιμους χρήστες του Server ή το είδος πρόσβασης του κάθε χρήστη. Για παράδειγμα είναι εύκολο να αντλήσει κάποιος τα username των διαθέσιμων χρηστών,ποιοι χρήστες διαθέτουν πρόσβαση κονσόλας, στοιχεία που μπορούν να χρησιμοποιηθούν για περαιτέρω πρόσβαση στο σύστημα της Τράπεζας.
Σύμφωνα με τους Hackers, με κατάλληλη χρήση του ανωτέρω αρχείου που αντλήθηκε σε συνδυασμό με υπάρχουσα αδυναμία της ιστοσελίδας RFI – Remote file Inclusion (που επιτρέπει απομακρυσμένη εκτέλεση κώδικα) , οι άγνωστοι κατόρθωσαν να επεκτείνουν τις δυνατότητες τους.Αποκτώντας πλήρη πρόσβαση στις υποδομές της Τράπεζας Probank,άντλησαν τους κωδικούς διαχειριστή και της βάσης δεδομένων(σύμφωνα με δήλωση τους πρόκειται για Mysql), αποκτώντας δυνατότητα αλλοίωσης του συνόλου των αρχείων του εξυπηρετητή (πρόσβαση διαχειριστή – root).
Δεν διαπιστώθηκε από την συντακτική ομάδα αλλοίωση της ιστοσελίδας της Probank μέχρι την στιγμή που γραφόταν το συγκεκριμένο άρθρο,πιθανόν όχι γιατί δεν ήταν εφικτό αλλά επειδή δεν ήταν ο στόχος των Hackers κάτι τέτοιο. Είναι σαφές ότι βάσει των δυνατοτήτων που απέκτησαν οι hackers στην ιστοσελίδα της Τράπεζας, εκτός από την άντληση των δεδομένων μπορούν να χρησιμοποιήσουν την υποδομή της Τράπεζας ώστε να διασπείρουν κακόβουλο λογισμικό στους ανυποψίαστους επισκέπτες της ιστοσελίδας φυσικά εν αγνοία τους.
secnews.gr
Σύμφωνα με τους Hackers, με κατάλληλη χρήση του ανωτέρω αρχείου που αντλήθηκε σε συνδυασμό με υπάρχουσα αδυναμία της ιστοσελίδας RFI – Remote file Inclusion (που επιτρέπει απομακρυσμένη εκτέλεση κώδικα) , οι άγνωστοι κατόρθωσαν να επεκτείνουν τις δυνατότητες τους.Αποκτώντας πλήρη πρόσβαση στις υποδομές της Τράπεζας Probank,άντλησαν τους κωδικούς διαχειριστή και της βάσης δεδομένων(σύμφωνα με δήλωση τους πρόκειται για Mysql), αποκτώντας δυνατότητα αλλοίωσης του συνόλου των αρχείων του εξυπηρετητή (πρόσβαση διαχειριστή – root).
Δεν διαπιστώθηκε από την συντακτική ομάδα αλλοίωση της ιστοσελίδας της Probank μέχρι την στιγμή που γραφόταν το συγκεκριμένο άρθρο,πιθανόν όχι γιατί δεν ήταν εφικτό αλλά επειδή δεν ήταν ο στόχος των Hackers κάτι τέτοιο. Είναι σαφές ότι βάσει των δυνατοτήτων που απέκτησαν οι hackers στην ιστοσελίδα της Τράπεζας, εκτός από την άντληση των δεδομένων μπορούν να χρησιμοποιήσουν την υποδομή της Τράπεζας ώστε να διασπείρουν κακόβουλο λογισμικό στους ανυποψίαστους επισκέπτες της ιστοσελίδας φυσικά εν αγνοία τους.
secnews.gr