Un hacker a accesat sistemul de colaborare Confluence al Serviciului de Telecomunicații Speciale (STS) din România și a colectat informații despre utilizatori.
În atribuțiile STS intră administrarea, exploatarea, și dezvoltarea de rețele de telecomunicații speciale, scopul agenției fiind asigurarea de servicii securizate de comunicații și tehnologia informației pentru autoritățile române.
Produsul Confluence de la compania australiană Atlassian este un instrument de colaborare și organizare în echipa ce oferă un spațiu comun pentru împărtășirea cunoștințelor și a documentației în cadrul unui proiect.
Hackerul responsabil de breșa de la STS este același care a compromis și sistemele Orange Group, de unde a sustras date a sute de mii de clienți persoane fizice și juridice, angajați, și parterneri ai diviziei din România.
Breșă cauzată de credențiale compromise
Rey, membru al grupării de hackeri HellCat, a discutat cu Hackuritate.ro despre incidentul de la STS și a spus că a reușit să acceseze sistemul Confluence al STS pentru că protecția de autentificare în doi pași (2FA – two-factor authentication) era inactivă.
Accesul neautorizat s-a produs sâmbătă, folosindu-se credențiale provenite din loguri de la un infostealer – un tip de malware conceput pentru colectarea informației sensibile, în general parole, de pe sisteme compromise.
Dovedind transparență în ceea ce privește incidentul, STS a confirmat atacul pentru Hackuritate.ro, menționând că hackerul a folosit datele de acces ale unui utilizator legitim dar care avea drepturi limitate.
În conversația cu Hackuritate.ro, Rey a recunoscut că nu a găsit prea multe date pentru exfiltrare dar că a reușit să extragă toate numele de utilizator pentru platforma colaborativă Confluence folosită de STS.
Hackerul ne-a spus că a găsit puțin peste 2000 de nume de utilizatori constând în adrese de email, multe aparținând unor angajați ai Guvernului României (diferite ministere și autorități).
Pentru a demonstra breșă, Rey a furnizat o mostră cu 28 de adrese de email care indică apartenența utilizatorilor la organe centrale ale administrației de stat, companii private, sau direcții publice.
Hackerul pare că a mai avut o tentativă de acces a rețelei STS, în trecut vizând serverul Jira al agenției, dar încercarea a eșuat datorită protecției 2FA.
Același set de credențiale, însă, au facilitat ultimul atac, oferind acces pe aplicația Confluence folosită de STS.
Nu au fost compromise date clasificate
Într-un comunicat către Hackuritate.ro, STS a confirmat că aplicația nu conținea informații clasificate și că incidentul este sub investigație.
“Au fost luate măsuri pentru a restricționa orice accesare din mediul Internet, până la clarificarea tuturor detaliilor cu privire la eveniment. Aplicația nu conținea informații clasificate” – Serviciul de Telecomunicații Speciale
Începând de aseară, aplicația Confluence de pe infrastructura STS nu mai poate fi accesată din rețeaua publică de internet.
Logurile de infostealer au devenit foarte comune în ultima perioadă, tot mai mulți hackeri folosindu-le în atacuri simple dar cu efecte semnificative asupra organizației victimă.
În funcție de cât de “proaspete” sunt, aceste date pot fi cumpărate pe diverse forumuri de hackeri, dar cele mai vechi sunt distribuite liber.
O căutare în spațiul public a arătat că există credențiale de logare pentru cel puțin doi utilizatori ai aplicației Confluence din rețeaua STS care ar fi putut fi folosite în atacuri, mai ales în lipsa protecției 2FA.
