Κυβερνοεπίθεση στον Δήμο Θεσσαλονίκης. Οι εξελίξεις!

by tamppant
388 views

Κυβερνοεπίθεση δέχθηκε τα ξημερώματα της Πέμπτης ο δήμος Θεσσαλονίκης. Σύμφωνα με δημοσιεύματα η κυβερνοεπίθεση έγινε μέσω απατηλού (phishing) email με αποτέλεσμα την είσοδο στα συστήματα του Δήμου, την κρυπτογράφηση δεδομένων και στη συνέχεια την απαίτηση καταβολής λύτρων για την αποκατάσταση τους. Δεν έχει γίνει ακόμη γνωστό εάν οι κυβερνοεγκληματίες έχουν αποσπάσει τα δεδομένα αυτά για περαιτέρω εκβιασμό (double extortion ransomware).

Ένα μήνυμα στα αγγλικά, που λέει «Θεσσαλονίκη, την έχετε πατήσει», βλέπει, όποιος επιχειρήσει να μπει σε ένα από τα χακαρισμένα αρχεία του Δήμου Θεσσαλονίκης. Παράλληλα, παρατίθεται και ένας υπερσύνδεσμος που οδηγεί, όπως γράφουν, στον αριθμό των χρημάτων που ζητούν για να ξεμπλοκάρουν το σύστημα.

Όπως είπε ο αντιδήμαρχος Επιχειρησιακού Σχεδιασμού, Ηλεκτρονικής Διακυβέρνησης και Μεταναστευτικής Πολιτικής, Γιώργος Αβαρλής, στον ραδιοφωνικό σταθμό του ΑΠΕ – ΜΠΕ, “Πρακτορείο 104,9 FΜ”, μετά από σύσταση των κρατικών αρχών ο δήμος Θεσσαλονίκης “κλείδωσε” όλες τις υπηρεσίες και όλες τις διαδικτυακές εφαρμογές, “ώστε να γίνει σωστή έρευνα και να μη κινδυνέψουμε να δεχτούμε νέα επίθεση”.

Σύμφωνα με τον κ.Αβαρλή, όλα ξεκίνησαν όταν διαπιστώθηκε πως εγκαταστάθηκε κακόβουλο λογισμικό, ένας ιός τύπου “ransomware”, με τους χάκερς να ζητάνε “λύτρα” για να “ξεκλειδώσουν” τα αρχεία. Τόσο το δημοτολόγιο, όσο και το ληξιαρχείο του δήμου λειτουργούσαν κανονικά μέχρι χθες το μεσημέρι, ωστόσο αποφασίστηκε πως έπρεπε να διακοπεί κάθε ηλεκτρονική επικοινωνία, ακόμη και το ηλεκτρονικό ταχυδρομείο.

Ο Δήμος Θεσσαλονίκης έχει καταθέσει μήνυση, ενώ ο δήμαρχος έχει ενημερώσει τον υπουργό Εσωτερικών Μ. Βορίδη, τον υπουργό Ψηφιακής Διακυβέρνησης Κ. Πιερρακάκη και την Υπηρεσία Δίωξης Ηλεκτρονικού Εγκλήματος. «Πρέπει να δούμε εάν θα εκδηλωθεί και δεύτερο κύμα επίθεσης, εάν υπάρχει κρυμμένο κακόβουλο λογισμικό το οποίο πρέπει να απομακρύνουμε», συμπλήρωσε ο κ. Ζέρβας.

Σκληρή κριτική με ανάρτησή του στο facebook κάνει στη διοίκηση του δήμου Θεσσαλονίκης ο πρώην πρόεδρος του δημοτικού συμβουλίου Δρόσος Τσαβλής για τη διαχείριση της κυβερνοεπίθεσης στις δημοτικές υπηρεσίες.

Σε σταδιακή επαναλειτουργία τίθενται οι υπηρεσίες του Δήμου Θεσσαλονίκης, καθώς συνεχίζονται με εντατικούς ρυθμούς οι εργασίες αποκατάστασης των πληροφοριακών συστημάτων, έπειτα από κυβερνοεπίθεση που δέχθηκαν με κακόβουλο λογισμικό την Πέμπτη 22 Ιουλίου. Από την πρώτη στιγμή υπηρεσιακά στελέχη του Δήμου με τη συνδρομή συνεργαζόμενων εταιρειών εργάζονται αδιάλειπτα με στόχο την αποκατάσταση κατά ασφαλή τρόπο. Ήδη σε λειτουργία βρίσκονται βασικές υπηρεσίες του Δήμου και καταβάλλονται προσπάθειες για την πλήρη αποκατάσταση.

Ο αντιδήμαρχος Ψηφιακής Πολιτικής και Ηλεκτρονικής Γιώργος Αβαρλής δήλωσε στο ΑΠΕ – ΜΠΕ πως το μόνο που παραβιάστηκε είναι το Σύστημα Ηλεκτρονικής Διακίνησης Εγγράφων, «όμως αυτά είναι δημόσια έγγραφα και το 90% είναι αναρτημένα στη Διαύγεια και επομένως μπορούν να ανακτηθούν». Επανέλαβε πως δεν υπάρχει πρόθεση να καταβληθούν λύτρα στους χάκερ και πως η Δίωξη Ηλεκτρονικού Εγκλήματος συνεχίζει τις έρευνες. Σύμφωνα με τον κ. Αβαρλή, στο νέο ηλεκτρονικό περιβάλλον του δήμου Θεσσαλονίκης συνδέθηκαν αρχικά 50 σταθεροί και φορητοί υπολογιστές που δεν μολύνθηκαν από το κακόβουλο λογισμικό. Το επόμενο διάστημα θα γίνει προσπάθεια να αποκατασταθούν 800 υπολογιστές του δήμου, ενώ θα αντικατασταθούν άλλοι 700 παλαιότερης τεχνολογίας και πιο ευάλωτοι σε επιθέσεις.

Τελικά το θρίλερ με τον Δήμο Θεσσαλονίκης καλά κρατεί. Όπως αναφέρουν δημοσιεύματα, οι επιτιθέμενοι έχουν αφαιρέσει άγνωστο αριθμό αρχείων, μέρος των οποίων διαθέτουν στο dark web. Τα αρχεία περιλαμβάνουν εκθέσεις οικονομικών ελέγχων στον δήμο, διαγωνισμοί, κάποιες κατόψεις ακινήτων, δικαστικές αποφάσεις κυρίως για θέματα εκλογών, αλληλογραφία με διάφορους φορείς, μηνιαία έντυπα δήλωσης παρουσιών εργαζομένων. Επίσης, υπάρχει φωτοτυπία του διαβατηρίου και αντίγραφο μισθοδοσίας του τέως δημάρχου Γιάννη Μπουτάρη. Εκτός των άλλων επίθεση δέχτηκε και το χαρτογραφικό portal του δήμου (GIS), τα δεδομένα του οποίου δεν είναι προσβάσιμα μέχρι στιγμής, διότι έχουν και αυτά κρυπτογραφηθεί. Η διαδικασία αποκατάστασης των ζημιών συνεχίζεται, ενώ τα προβλήματα σε πολλές υπηρεσίες παραμένουν.

Από την πλευρά του, ο αρμόδιος αντιδήμαρχος Γιώργος Αβαρλής ανέφερε ότι μέχρι στιγμής, φαίνεται ότι έχουν υποκλαπεί παλιά αρχεία, μέχρι το 2016, μερός των οποίων δεν είναι προσωπικά δεδομένα ειδικής κατηγορίας (Ευαίσθητα), όσο για το GIS portal του Δήμου θα επανέλθει μετά την αποκατάσταση των συστημάτων με την επαναφορά των τελευταίων αντιγράφων ασφαλείας.

Ανεξάρτητη ανάλυση για το κακόβουλο λογισμικό της κυβερνοεπίθεσης διεξάγει εταιρεία ανάκτησης δεδομένων με έδρα τη Θεσσαλονίκη. Σύμφωνα με την εταιρεία ο δήμος Θεσσαλονίκης, δέχθηκε επίθεση από τον ιό τύπου ransomware «Grief», ένα σχετικά νέο στέλεχος του παλαιότερου «DopelPaymer». Ο ιός αυτός διασπείρεται μέσω phishing, γεγονός που για την ενεργοποίηση του προϋποθέτει ότι κάποιος υπάλληλος του Δήμου έπεσε θύμα εξαπάτησης, πιθανώς από κάποιο email που καλούσε να ανοίξει κάποιο μολυσμένο επισυναπτόμενο αρχείο, δίνοντας έτσι πρόσβαση στο δίκτυο του Δήμου. Η εταιρεία εκτίμησε ότι η κυβερνοεπίθεση έγινε πολλές ώρες νωρίτερα, με αποτέλεσμα οι επιτιθέμενοι να υποκλέψουν τα αρχεία, πριν τα κρυπτογραφήσουν, όπως το cyberzine.gr είχε αναφέρει σχετικά στην αρχή του άρθρου, με την εκδήλωση της επίθεσης.

You may also like