Περίμεναν την κατάλληλη στιγμή για να χτυπήσουν. Ηταν ξημερώματα Κυριακής 20 Μαρτίου 2022, όταν σε διάστημα πέντε ωρών οι κυβερνοεγκληματίες εξαπέλυσαν το τελευταίο κύμα της επίθεσής τους στα υπολογιστικά συστήματα των ΕΛΤΑ. Εθεσαν αρχεία σε ψηφιακή ομηρία και απαίτησαν λύτρα για την αποδέσμευσή τους. Δεν σταμάτησαν όμως εκεί. Πιθανότατα επειδή δεν υπήρξε ανταπόκριση στις απαιτήσεις τους, μέλη της συμμορίας κυβερνοεκβιαστών «Vice Society» ανάρτησαν στη σελίδα τους στο Σκοτεινό Διαδίκτυο αρχεία που είχαν υποκλέψει. Σε αυτά φαίνεται να περιλαμβάνονται τιμολόγια και εταιρικά έγγραφα, αλλά και προσωπικά δεδομένα πολιτών, ονοματεπώνυμα, τηλέφωνα και διευθύνσεις αποστολέων και παραληπτών.
Πέρασαν εννέα μήνες από την αρχική ανακοίνωση των ΕΛΤΑ για την κυβερνοεπίθεση τον περασμένο Μάρτιο, ώσπου στις 23 Δεκεμβρίου 2022 η εταιρεία ανέφερε για πρώτη φορά δημοσίως ότι διαπιστώθηκε «μη εξουσιοδοτημένη πρόσβαση» σε δεδομένα συναλλασσόμενων, φυσικών και νομικών προσώπων, καθώς και εργαζομένων της. Πότε εντοπίστηκε η διαρροή;
Στη σελίδα της συμμορίας «Vice Society» στο Σκοτεινό Διαδίκτυο η «Κ» διαπίστωσε ότι αναγράφονται πλάι στα υποκλαπέντα αρχεία οι ημερομηνίες 4 και 6 Μαΐου 2022. Πιθανότατα αυτό θα μπορούσε να είναι και το διάστημα κατά το οποίο οι δράστες δημοσίευσαν το σχετικό υλικό, ώστε να ασκήσουν επιπλέον πίεση στην εταιρεία ή για λόγους εκδίκησης επειδή δεν εισέπραξαν λύτρα. Από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, πάντως, ανέφεραν στην «Κ» ότι τα ΕΛΤΑ γνωστοποίησαν σε εκείνους την κυβερνοεπίθεση αρχικά στις 22 Μαρτίου και τη διαρροή στοιχείων στις 27 Ιουλίου, ενώ η τελευταία αναφορά τους με την οποία έγινε επικαιροποίηση των πληροφοριών υποβλήθηκε στις 29 Δεκεμβρίου.
Πηγές των ΕΛΤΑ αναφέρουν στην «Κ» ότι τον Μάρτιο η εταιρεία απέκλεισε το δίκτυό της, δεν ήρθε σε επαφή με τους κυβερνοεκβιαστές και απέτρεψε την κρυπτογράφηση συστημάτων που θα ήταν κρίσιμα για την επιχειρησιακή της λειτουργία. Παράλληλα ενημέρωσαν τη Δίωξη Ηλεκτρονικού Εγκλήματος και τις υπόλοιπες αρμόδιες αρχές. Σχετικά με τα νέα ευρήματα της διαρροής στοιχείων, πηγές της εταιρείας σημειώνουν ότι «στις κυβερνοεπιθέσεις οι έρευνες μπορεί να διαρκέσουν ακόμα και πάνω από ένα χρόνο μέχρι την πλήρη διαλεύκανση». Παράλληλα επικαλούνται στοιχεία πρόσφατης έκθεσης της IBM, βάσει των οποίων ο μέσος χρόνος εντοπισμού παραβίασης δεδομένων είναι 277 ημέρες. Οι ίδιες πηγές αναφέρουν ότι έχουν προχωρήσει σε «σημαντικές ενέργειες για την ουσιαστική βελτίωση του επιπέδου πληροφορικής και κυβερνοασφάλειας».
To xρονικό της ομηρίας
Ποιο είναι το προφίλ της ομάδας των κυβερνοεκβιαστών που χτύπησε τα Ελληνικά Ταχυδρομεία, πώς κατάφεραν να εισβάλουν στα πληροφοριακά συστήματα της εταιρείας και σε τι είδους στοιχεία απέκτησαν πρόσβαση; Η «Κ» παρουσιάζει για πρώτη φορά ένα αναλυτικό χρονικό αυτής της ψηφιακής ομηρίας.
Εννέα μήνες μετά την επίθεση, τα Ταχυδρομεία ανακοίνωσαν δημοσίως ότι διέρρευσαν στοιχεία πελατών και εργαζομένων τους.
Σύμφωνα με πληροφορίες της «Κ», οι κυβερνοεγκληματίες κατάφεραν τον περασμένο Μάρτιο να εισβάλουν σε δύο λογαριασμούς χρηστών αξιοποιώντας δύο τεχνικές. Αρχικά δοκιμάζοντας διαφορετικούς πιθανούς συνδυασμούς φέρονται να βρήκαν έναν ευάλωτο κωδικό χρήστη και να απέκτησαν πρόσβαση στο σύστημα. Επειτα φέρονται να ανέσυραν με άλλη μέθοδο κωδικούς που είχαν αποθηκευτεί στη συσκευή και μπορούσαν πλέον να κινηθούν στο εσωτερικό δίκτυο και να διανείμουν τον κακόβουλο κώδικά τους. Οι διευθύνσεις IP που χρησιμοποίησαν οι δράστες παρέπεμπαν σε Ελβετία και Ιράν, και εκτιμάται ότι επιλέχθηκαν για να παραπλανήσουν όσους επιχειρούσαν να αναζητήσουν τα πραγματικά ίχνη τους. Σε σημειώματα που άφησαν οι επιτιθέμενοι υπέγραφαν ως «Vice Society». Τα ΕΛΤΑ εξέτασαν ένα προς ένα περισσότερα από 2.500 τερματικά για λόγους ασφαλείας και στις 7 Απριλίου ανέφεραν ότι είχε αποκατασταθεί το σύνολο των υπηρεσιών τους.
Η συμμορία
Η δράση της συγκεκριμένης συμμορίας κυβερνοεκβιαστών παρατηρήθηκε αρχικά το καλοκαίρι του 2021, ενώ ερευνητές ασφαλείας της Microsoft τους έχουν δώσει την κωδική ονομασία DEV-0832. Δεν έχει εξακριβωθεί η ταυτότητα ή η προέλευση των μελών της, ορισμένοι ειδικοί ασφαλείας πάντως παρουσιάζουν αυτή την ομάδα ως «ρωσόφωνη». Οι ίδιοι στη σελίδα τους στο Dark Web αναφέρουν ότι είναι δραστήριοι από τον Ιανουάριο του 2021.
Η αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών τους περιγράφει ως ομάδα που ακολουθεί την τακτική του διπλού εκβιασμού. Σε περίπτωση που δεν λάβουν λύτρα για τα αρχεία που έχουν κρυπτογραφήσει απειλούν να δημοσιοποιήσουν ευαίσθητα εταιρικά δεδομένα τα οποία έχουν υφαρπάξει. «Δεν μας νοιάζουν οι νόμοι, εάν κάποιος δεν πληρώσει ή δεν επικοινωνήσει μαζί μας, τότε θα δημοσιεύσουμε τα κείμενά τους», γράφουν οι κυβερνοεγκληματίες στη σελίδα τους. Σε μία από τις επιθέσεις τους στο εξωτερικό άλλαξαν τους κωδικούς πρόσβασης δεκάδων χιλιάδων χρηστών κλειδώνοντάς τους εκτός των συσκευών τους. Συνήθως δίνουν προθεσμία επτά ημερών για να επικοινωνήσουν μαζί τους τα θύματα.
Στις περισσότερες περιπτώσεις καταφέρνουν να μπουν σε ένα σύστημα μέσω phishing, δηλαδή με την αποστολή κάποιου παραπλανητικού email. Δεν φαίνεται πάντως να χρησιμοποιούν μόνο ένα κακόβουλο λογισμικό για την επίτευξη των σκοπών τους, αλλά να βασίζονται κυρίως σε εργαλεία άλλων, σε διάφορες παραλλαγές των ransomware με τις ονομασίες Hello Kitty, Five Hands και Zeppelin. Θύματά τους είναι κατά βάση νοσοκομεία στις ΗΠΑ και σχολικές μονάδες στην ίδια χώρα αλλά και στη Βρετανία. Στη σελίδα τους, μεταξύ των στόχων που υποστηρίζουν ότι έχουν πλήξει αναφέρουν τη δημοτική αρχή του Παλέρμο στην Ιταλία και το Ινστιτούτο Επιστήμης και Τεχνολογίας της Αυστρίας. Πέρα από τα ΕΛΤΑ, ο άλλος ελληνικός στόχος, στον οποίο οι ίδιοι αναφέρονται, είναι η Χαλυβουργική. Η «Κ» επιχείρησε να επικοινωνήσει με τους κυβερνοεγκληματίες μέσω email, αλλά δεν έλαβε απάντηση στα ερωτήματά της.
Το υλικό των ΕΛΤΑ που έχει αναρτήσει η «Vice Society» στο Σκοτεινό Διαδίκτυο περιλαμβάνει μεταξύ άλλων εσωτερικά έγγραφα της εταιρείας, αναφορές παρελθόντων ετών σχετικά με το επίπεδο του συστήματος διαχείρισης ασφάλειας πληροφοριών, οργανογράμματα, καθώς και δεδομένα ταυτοποίησης (ονόματα και διευθύνσεις), επικοινωνίας και τιμολόγησης. Δεν κατέστη εφικτό να διαπιστώσει η «Κ» τον ακριβή αριθμό των πολιτών, των οποίων τα στοιχεία βρίσκονται στα σχετικά αρχεία. Μεταξύ των αρχείων που έχουν διαρρεύσει εντόπισε πάντως και φωτογραφίες ενός διπλώματος οδήγησης, το οποίο προφανώς είχε αποθηκευτεί σε υπολογιστή που επλήγη. Σε ανακοίνωσή τους τα ΕΛΤΑ εκτίμησαν ότι η διαρροή, εξαιτίας και του «βαθμού δυσκολίας στην προσβασιμότητα των εν λόγω πληροφοριών», είχε «περιορισμένο αντίκτυπο συνεπειών για τα εμπλεκόμενα μέρη». Ωστόσο, ουδείς γνωρίζει ποιοι έχουν πρόσβαση σε αυτά τα στοιχεία, ούτε ποιοι ή πώς προτίθενται να τα αξιοποιήσουν.
Από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρουν ότι δεν είναι ασυνήθιστο να προκύπτουν περισσότερες πληροφορίες σε δεύτερο χρόνο, έπειτα από ένα περιστατικό παραβίασης δεδομένων. Μετά την αποστολή έγγραφων εξηγήσεων από τα ΕΛΤΑ έχει σταλεί στην εταιρεία κλήση για ακρόαση στην ολομέλεια της Αρχής και η διερεύνηση της υπόθεσης είναι ακόμη σε εξέλιξη.
