Στο στόχαστρο οργανωμένης, διεθνούς εκστρατείας κυβερνοεπιθέσεων με την ονομασία «Θαλάσσια Χελώνα» («Sea Turtle») είχαν βρεθεί τουλάχιστον τρεις κυβερνητικές ιστοσελίδες της Ελλάδας τον Απρίλιο του 2019. Σκοπός των χάκερ ήταν να υποκλέψουν προσωπικούς κωδικούς ασφαλείας υπαλλήλων και να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα ευαίσθητων υπηρεσιών.
Μέσω επιθέσεων τύπου «DNS hijacking» επιχειρούσαν να δημιουργήσουν ιστοσελίδες-αντίγραφα των αυθεντικών κατευθύνοντας εκεί τους επισκέπτες. Σε περίπτωση που κάποιος χρήστης πληκτρολογούσε σε αυτές τους κωδικούς ασφαλείας του (όπως για υπηρεσίες email), οι χάκερ μπορούσαν να τους υφαρπάξουν. Το Ινστιτούτο Πληροφορικής του Ιδρύματος Τεχνολογίας και Ερευνας (ΙΤΕ-ΙΠ) στο Ηράκλειο Κρήτης, το οποίο είναι υπεύθυνο για την τεχνική υποστήριξη του μητρώου ονομάτων Internet με κατάληξη .gr και .ελ, επιβεβαιώνει στην «Κ» ότι είχε δεχθεί κυβερνοεπίθεση. Οπως ανέφεραν από τη διεύθυνση του ινστιτούτου, η ταυτότητα των επιτιθέμενων δεν τους είναι μέχρι και σήμερα γνωστή. «Διεξάγεται ακόμη έρευνα από την ΕΥΠ για το περιστατικό, δίχως να μας έχει κοινοποιηθεί κάποιο επίσημο αποτέλεσμα», τόνισαν σε τηλεφωνική επικοινωνία με την «Κ».
Σε αντίθεση με τον θόρυβο που προκάλεσαν τα δύο πρόσφατα κρούσματα «συμβολικών» επιθέσεων άρνησης εξυπηρέτησης (DDoS) που έθεσαν για λίγες ώρες εκτός λειτουργίας ελληνικές κυβερνητικές ιστοσελίδες, όπως αυτές του πρωθυπουργού και της Γενικής Γραμματείας Πληροφοριακών Συστημάτων, η εκστρατεία «Θαλάσσια Χελώνα» δεν είχε απασχολήσει τη δημοσιότητα. Οπως παρουσιάζει όμως η «Κ», για μεγάλες διεθνείς εταιρείες, οι οποίες ειδικεύονται σε θέματα ασφαλείας δικτύου, οι επιθέσεις του Απριλίου ήταν ιδιαίτερα σοβαρές και είχαν τα χαρακτηριστικά κυβερνοκατασκοπείας.
Τα κύματα των επιθέσεων
Η αμερικανική εταιρεία FireEye είχε αποδώσει παρόμοια κρούσματα «DNS hijacking» κατά άλλων χωρών σε Ιρανούς χάκερ. Το πρώτο κύμα αυτών των επιθέσεων καταγράφηκε στα τέλη του 2018 και στις αρχές του 2019 με στόχους κυρίως στη Μέση Ανατολή και στη Βόρεια Αφρική. Οι επιτιθέμενοι στρέφονταν αρχικά εναντίον κρατικών μυστικών υπηρεσιών, υπουργείων Εξωτερικών και εταιρειών από τον κλάδο της ενέργειας. Δευτερεύοντες στόχοι τους ήταν εταιρείες τηλεπικοινωνιών καθώς και πάροχοι υπηρεσιών Διαδικτύου. Τα πρώτα κρούσματα εντοπίστηκαν μεταξύ άλλων σε Συρία, Ιράκ, Ιορδανία, Λιβύη και Αίγυπτο. Η Ελλάδα φαίνεται ότι βρέθηκε στο κάδρο των χάκερ τον Απρίλιο του 2019.
Σύμφωνα με τις διαπιστώσεις της ομάδας ειδικών ασφαλείας της αμερικανικής εταιρείας Cisco, οι χάκερ κατοχύρωσαν στις 5 Απριλίου 2019 το domain rootdnserves.com, το οποίο χρησιμοποιήσαν για επιθέσεις κατά τριών ελληνικών κυβερνητικών ιστοσελίδων με την κατάληξη .gr. Πιθανότατα, σύμφωνα με τους ειδικούς της Cisco, οι χάκερ κατάφεραν να «κλωνοποιήσουν» αυτές τις ιστοσελίδες έχοντας αποκτήσει πρόσβαση στο δίκτυο του ΙΤΕ-ΙΠ.
Στις 19 Απριλίου 2019 στάλθηκε μήνυμα σε διαχειριστές ιστοσελίδων με τις καταλήξεις .gr και .ελ το οποίο τους ενημέρωνε για τις κακόβουλες ενέργειες. «Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεαστεί αρνητικά η λειτουργία των μητρώων ονομάτων του Διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα», ανέφερε το μήνυμα. Οι ερευνητές της Cisco (μέλη της ομάδας με την ονομασία «Talos») διαπίστωσαν ότι οι χάκερ διατήρησαν πρόσβαση για πέντε ημέρες, τουλάχιστον μέχρι τις 24 Απριλίου 2019 στο δίκτυο του ΙΤΕ-ΙΠ. Από τη διοίκηση του Ινστιτούτου Πληροφορικής ανέφεραν στην «Κ» ότι οι επιθέσεις αντιμετωπίστηκαν γρήγορα, επιδιορθώθηκε οποιοδήποτε τρωτό σημείο και αναβαθμίστηκαν τα συστήματα ασφαλείας.
Παρά την αρχική εκτίμηση της εταιρείας FireEye για την ταυτότητα των δραστών, αρμόδιοι Ελληνες αξιωματούχοι, οι οποίοι μίλησαν στην «Κ», δεν θεωρούν πιθανό ότι πίσω από την εκστρατεία «Θαλάσσια Χελώνα» βρίσκεται το Ιράν.
Διαβάστε τη συνέχεια του άρθρου στον ιστότοπο της Καθημερινής.
