Κυβερνοεπίθεση – Δήμος Θεσ/νίκης: Στοιχεία του Γ. Μπουτάρη, μεταξύ των δεδομένων που διέρρευσαν (ΦΩΤΟ)

Κυβερνοεπίθεση – Δήμος Θεσ/νίκης: Στοιχεία του Γ. Μπουτάρη, μεταξύ των δεδομένων που διέρρευσαν (ΦΩΤΟ)

Ρεπορτάζ: Αλέξανδρος Αλεξιάδης

Συνολικά 50 αρχεία, ανάμεσα τους φωτοτυπία διαβατηρίου του πρώην δημάρχου Γιάννη Μπουτάρη και αντίγραφο της μισθοδοσίας του, είναι μεταξύ των δεδομένων που δημοσιοποίησαν ήδη οι δράστες της κυβερνοεπίθεσης στον δήμο Θεσσαλονίκης – Και το GIS, «θύμα» των χάκερ – Τι αναφέρει στο GRTimes.gr, ο αντιδήμαρχος Επιχειρησιακού Σχεδιασμού, Ηλεκτρονικής Διακυβέρνησης και Μεταναστευτικής Πολιτικής, Γιώργος Αβαρλής, αλλά και ένας ειδικός στις επιθέσεις τύπου ransomware, η εταιρεία στην οποία εργάζεται ανακοίνωσε ότι θα βοηθήσει τον δήμο σε περίπτωση που «σπάσει» το κακόβουλο λογισμικό.

Έναν φάκελο με συνολικά 50 αρχεία Pdf, μεγέθους 91,9mb διέρρευσαν στο dark web, το λεγόμενο «σκοτεινό διαδίκτυο» οι δράστες της κυβερνοεπίθεσης που σημειώθηκε τα ξημερώματα της Πέμπτης 22 Ιουλίου στους servers του δήμου Θεσσαλονίκης.

Μεταξύ των αρχείων αυτών, τα οποία έχει στη διάθεση του το GRTimes, βρίσκονται εκθέσεις οικονομικών ελέγχων στον δήμο, διαγωνισμοί, κάποιες κατόψεις ακινήτων, δικαστικές αποφάσεις κυρίως για θέματα εκλογών, αλληλογραφία με διάφορους φορείς, μηνιαία έντυπα δήλωσης παρουσιών εργαζομένων, αλλά και κάποια δεδομένα που αφορούν στον πρώην δήμαρχο Θεσσαλονίκης, Γιάννη Μπουτάρη και συγκεκριμένα φωτοτυπία του διαβατηρίου του και αντίγραφο μισθοδοσίας του.

Τα δεδομένα αυτά αφορούν παλαιότερες χρονιές φτάνοντας κυρίως έως το 2016, αλλά κανείς δεν είναι σε θέση να γνωρίζει έως σήμερα, αν είναι τα μοναδικά που έχουν στην κατοχή τους οι επιτήδειοι ή αν είναι ένα μικρό μέρος από όσα υπέκλεψαν, εκβιάζοντας με αυτόν τον τρόπο το δήμο Θεσσαλονίκης, ώστε να πάρουν χρήματα για να μην τα διαρρεύσουν στο σύνολο τους, όπως είναι σύνηθες στις επιθέσεις τύπου ransomware.

Επίσης, μέχρι στιγμής, οι αρχές δεν μπορούν να γνωρίζουν εάν έχουν υποκλαπεί άλλα προσωπικά δεδομένα, πέρα από αυτά του πρώην δημάρχου και το γιατί οι hackers επέλεξαν να δημοσιοποιήσουν μόνο τα συγκεκριμένα αρχεία ή αν αυτό ήταν ένα τυχαίο γεγονός.

«Χτυπήθηκε» και το GIS, το χαρτογραφικό portal του δήμου

Το μόνο σίγουρο είναι πως τα προβλήματα σε πολλές υπηρεσίες του δήμου παραμένουν, ενώ η διαδικασία αποκατάστασης των συστημάτων είναι σε εξέλιξη και πιθανότατα στην πορεία να φανεί και η ζημιά που έγινε και η οποία δεν είναι μικρή.

Ήδη, όπως αποκαλύπτει το GRTimes.gr, «χτυπήθηκε» από την επίθεση το χαρτογραφικό πόρταλ του δήμου (Τμήμα Γεωχωρικών Πληροφοριών) GIS, ένα εργαλείο εξαιρετικά χρήσιμο και σημαντικό, τόσο για τις τεχνικές υπηρεσίες του δήμου, όσο και για τους πολίτες και τους μηχανικούς.

Για την ανάπτυξη του και τον εμπλουτισμό του με δεδομένα, πέρα από συνεργασία με ειδικές εταιρείες από τον χώρο των γεωχωρικών εφαρμογών, εργάστηκαν πολλοί υπάλληλοι επί σειρά ετών (περίπου 10) και ο χρήστης της συγκεκριμένης πλατφόρμας, μπορούσε να βρει διάφορα σημαντικά δεδομένα, όπως πχ, πράξεις τακτοποίησης και εφαρμογής (αποφάσεις, λεκτικά και διαγράμματα) ρυμοτομικά διατάγματα, όρους δόμησης, τιμές ζώνης, πληροφορίες ακόμη και για τα λεωφορεία, λαϊκές και χώρους ειδικού ενδιαφέροντος, όπως θέσεις πάρκινγκ ΑΜΕΑ, σημεία ιστορικού ενδιαφέροντος, νοσοκομεία, φαρμακεία κ.α.

Από τις πληροφορίες που έχει στη διάθεση του το GRTimes.gr, ο server της συγκεκριμένης πλατφόρμας μολύνθηκε από το κακόβουλο λογισμικό, με αποτέλεσμα τα δεδομένα του να έχουν κρυπτογραφηθεί και να μην είναι πλέον προσβάσιμα από κανέναν.

Γ.Μπουτάρης: Πρωτοφανής η επίθεση

Την ύπαρξη στοιχείων που τον αφορούν, ανάμεσα στα αρχεία που διέρρευσαν οι hackers, ενημερώθηκε από το GRTimes.gr, o πρώην δήμαρχος Θεσσαλονίκης, Γιάννης Μπουτάρης. Όπως είπε δεν γνώριζε από κάποιον άλλον για αυτήν την εξέλιξη, ειδικά για το διαβατήριο του το οποίο έληξε τον περασμένο Ιανουάριο, γεγονός που ανακάλυψε και πριν από περίπου δύο μήνες, όταν ταξίδεψε στα Σκόπια και τελικά έκανε χρήση της αστυνομικής του ταυτότητας στα σύνορα.

Σχολιάζοντας την επίθεση, έκανε λόγο για ένα πρωτοφανές για τα ελληνικά δεδομένα γεγονός, λέγοντας πως τέτοιου είδους συμβάντα μέχρι πριν από λίγα χρόνια ήταν γνωστά μόνο σε χώρες του εξωτερικού, όπως πχ την Αμερική ή αλλού.

Γ. Αβαρλής: Παλιά τα αρχεία που διέρρευσαν

«Για την ώρα, αυτά που φαίνεται ότι έχουν υποκλαπεί, είναι παλιά αρχεία, μέχρι περίπου το 2016, τα οποία δεν θεωρούνται ευαίσθητα δεδομένα, όπως πχ ο μισθός του δημάρχου που ούτως ή άλλως αναρτάται στη Διαύγεια» επισήμανε χαρακτηριστικά με δηλώσεις του στο GRTimes, ο αντιδήμαρχος Επιχειρησιακού Σχεδιασμού, Ηλεκτρονικής Διακυβέρνησης και Μεταναστευτικής Πολιτικής, Γιώργος Αβαρλής.

Σημείωσε ότι αποτελεί απόλυτη προτεραιότητα, η λειτουργία του συνόλου των υπηρεσιών του δήμου, το ταχύτερο δυνατό, χωρίς ωστόσο να μπορεί να πει μέχρι στιγμής πότε αυτό θα καταστεί εφικτό, καθώς ο όγκος των δεδομένων είναι εξαιρετικά μεγάλος.

«Η εντολή προς όλους είναι αυτή. Συνεχίζουν να επικεντρώνονται οι προσπάθειες στην ταχύτερη δυνατή αποκατάσταση» δήλωσε χαρακτηριστικά ενώ πρόσθεσε πως στόχος του είναι, η επαναλειτουργία του δήμου να γίνει πια με τις αυστηρότερες προϋποθέσεις ασφάλειας και από πλευράς προσωπικού και από πλευράς τεχνικής υποστήριξης.

Ο αντιδήμαρχος μάλιστα, είπε πως ετοιμάζει επιστολή προς όλο το προσωπικό του δήμου, με την οποία θα τους καθιστά προσωπικά υπεύθυνους για την ορθή χρήση των ηλεκτρονικών επικοινωνιών. Επίσης διευκρινίζει πως η παρούσα διοίκηση από την πρώτη στιγμή είχε ορίσει Υπεύθυνο Προστασίας Προσωπικών δεδομένων για την ορθή τήρηση του GDPR και την προστασία των προσωπικών δεδομένων των πολιτών που είναι κάτι παραπάνω από σημαντική για το Δήμο.

Αναφορικά με το χαρτογραφικό portal του δήμου, το GIS, ο κ. Αβαρλής επιβεβαίωσε ότι έχει χακαριστεί επίσης και πλέον δεν θα είναι διαθέσιμο, τουλάχιστον με τα δεδομένα που διέθετε μέχρι την επίθεση. Ανέφερε ωστόσο πως ετοιμάζει πρόταση που θα καταθέσει από Σεπτέμβριο στον Κ. Ζέρβα για μια νέα εξελιγμένη αντίστοιχη πλατφόρμα, που θα είναι πολύ πιο χρηστική και σύγχρονη και η οποία θα μπορούσε να προετοιμαστεί μέσα σε λίγους μήνες.

Εταιρεία ανάκτησης δεδομένων από τη Θεσσαλονίκη, αναλύει τον ιό και δεσμεύτηκε να βοηθήσει

Τη δική της ανεξάρτητη ανάλυση στο λογισμικό που χρησιμοποιήθηκε για την κυβερνοεπίθεση στο δήμο Θεσσαλονίκης, διεξάγει η εταιρεία ανάκτησης δεδομένων “Northwind” με έδρα στη Θεσσαλονίκη. Η εταιρεία με ανακοίνωση της ανέφερε πως οι μηχανικοί ανάκτησης δεδομένων που διαθέτει και οι οποίοι έχουν δώσει λύσεις στο παρελθόν σε αντίστοιχα περιστατικά, έχουν στην κατοχή τους δείγματα μολυσμένων αρχείων και εργάζονται για να εντοπίσουν κάποια ευπάθεια στον κώδικα της κρυπτογράφησης ώστε να μπορέσουν να αποκρυπτογραφήσουν το συγκεκριμένο στέλεχος και να σπάσουν την «ομηρία» των αρχείων του δήμου. Η «Northwind» μάλιστα, χωρίς να της έχει ανατεθεί από τον δήμο το συγκεκριμένο έργο, αλλά με πρωτοβουλία του ιδιοκτήτη της, δήλωσε ότι στην περίπτωση που οι προσπάθειές της αποδώσουν καρπούς, θα προσφέρει τη βοήθειά της στο Δήμο Θεσσαλονίκης αφιλοκερδώς.

Ο ειδικός ρίχνει «φως» στον ιό που χτύπησε τον δήμο

Όπως έγινε γνωστό από την παραπάνω εταιρεία, ο Δήμος Θεσσαλονίκης χτυπήθηκε από τον ιό τύπου ransomware “Grief”, ένα σχετικά νέο στέλεχος του παλαιότερου “DopelPaymer”. Ο ιός αυτός διασπείρεται μέσω phishing, γεγονός που για την ενεργοποίηση του προϋποθέτει ότι κάποιος υπάλληλος του Δήμου έπεσε θύμα εξαπάτησης, πιθανώς από κάποιο email που τον/την καλούσε να ανοίξει κάποιο μολυσμένο επισυναπτόμενο αρχείο, δίνοντας έτσι πρόσβαση στους χάκερς στο εσωτερικό του δικτύου.

Αποκαλυπτικός για το τι έγινε και για το τι μπορεί να κάνει ο δήμος από εδώ και πέρα, είναι με δηλώσεις του στο GRTimes.gr, ο Δημήτρης Άντερσον, μηχανικός ανάκτησης δεδομένων και ειδικός στις επιθέσεις τύπου ransomware, της εταιρείας “Northwind”.

Όπως λέει, από την εμπειρία του από επιθέσεις με αντίστοιχα στελέχη – καθώς είναι η πρώτη φορά που αντιμετωπίζει επίθεση με το συγκεκριμένο στέλεχος – διαπιστώθηκε ότι οι χάκερς μπορεί να παίρνουν κατά την επίθεση κάποια δειγματοληπτικά αρχεία από φακέλους, έχει δει όμως και περιπτώσεις που έχουν πάρει το σύνολο των αρχείων από τα θύματα τους, απειλώντας ότι θα τα διαρρεύσουν όλα.

«Δυστυχώς δεν είμαστε σε θέση να ξέρουμε τι έχουν κάνει οι συγκεκριμένοι. Μπορεί να έχουν το σύνολο των αρχείων αποθηκευμένα, μπορεί να έχουν πάρει κάποια αρχεία και να εκβιάζουν ότι θα τα δημοσιεύσουν όπως και το έκαναν» είπε χαρακτηριστικά.

Πολλές ώρες νωρίτερα η κυβερνοεπίθεση – Χτυπήθηκαν και αντίγραφα ασφαλείας

Αναφορικά για το πότε μπορεί να έγινε η επίθεση που φάνηκε στα συστήματα του δήμου τα ξημερώματα της Πέμπτης 22 Ιουλίου, ο κ. Άντερσον εκτίμησε πως η εισβολή έχει γίνει πολλές ώρες νωρίτερα, έτσι ώστε οι χάκερς να έχουν χρόνο να πάρουν αντίγραφα από τα αρχεία, πριν ξεκινήσουν την επίθεση – πριν αρχίσουν δηλαδή την κρυπτογράφηση –  προκειμένου να μπορούν να εκβιάζουν για λύτρα.

Πρόσθεσε πως από ότι γνωρίζει, το πρώτο πράγμα που χτύπησαν οι χάκερς, είναι τα αντίγραφα ασφαλείας, το back up δηλαδή που έχει ο δήμος. «Είμαι επίσης σε θέση να γνωρίζω, ότι με το που μπήκαν στο σύστημα, έψαξαν και βρήκαν ένα NetApp (ένα storage- αποθηκευτικός χώρος δηλαδή) που είχε ο δήμος εγκατεστημένο με back up και χτύπησαν πρώτα εκείνο. Αυτό συνήθως είναι online, απλά εμείς προτείνουμε να είναι πίσω από firewall και να μην είναι εκτεθειμένο στο internet. Για το συγκεκριμένο NetApp, ναι, θα έχει πρόβλημα, αλλά δεν ξέρω αν υπήρχαν και αλλού αντίγραφα τα οποία έμειναν ανέπαφα» είπε χαρακτηριστικά ο ειδικός σε θέματα ransomware.

Λίγες οι πιθανότητες αποκρυπτογράφησης

Ο ίδιος εκτίμησε από την εμπειρία του πως υπάρχουν λίγες πιθανότητες να μπορέσουν να αποκρυπτογραφηθούν τα δεδομένα του δήμου, καθώς όπως λέει, «αυτά τα στελέχη και ιδίως αυτά που κυκλοφόρησαν τα τελευταία 2, 3 χρόνια, δεν έχουν ευπάθειες στον κώδικα τους που να μπορούμε να εκμεταλλευτούμε έτσι ώστε να πάρουμε το κλειδί και να αποκρυπτογραφήσουμε τα δεδομένα».  Λέει ακόμη ότι στο παρελθόν υπήρχαν περιπτώσεις που αυτοί που «έγραφαν» τους ιούς ransomware, μερικές φορές είχαν το κλειδί πάνω στον κώδικα (hardcoded), οπότε για τους τεχνικούς ανάκτησης δεδομένων ήταν πάρα πολύ εύκολο να πάρουν αυτό το κλειδί και να ανακτήσουν τα δεδομένα. Πρόσθεσε ωστόσο πως και οι κακοποιοί εξελίσσονται και πλέον δεν κυκλοφορούν πολλά στελέχη με τέτοιου είδους ευπάθειες.

Σε ερώτηση για το αν ο δήμος πρέπει να πληρώσει τα λύτρα, ο κ. Άντερσον ήταν κατηγορηματικά αντίθετος, επικαλούμενος πάρα πολλούς λόγους και διευκρινίζοντας ότι προφανώς πρόκειται για μια απόφαση που αφορά μόνο τη διοίκηση του δήμου. «Το να δίνει κάποιος λύτρα, διαιωνίζει αυτήν την αλυσίδα που γίνεται με τα ransoware και δεν βλέπουμε να υπάρχει τέλος. Προσωπική μου εκτίμηση είναι ότι για να σταματήσει αυτό το πράγμα πρέπει να μην πληρώνει κανένας» δήλωσε, κάνοντας γνωστό ότι μερικές φορές στις «διαπραγματεύσεις» των χάκερς με τα θύματα τους, για το ύψος των λύτρων, μπαίνουν διάφοροι επιτήδειοι που μεσολαβούν και κάνοντας μια έκπτωση στο θύμα, παίρνουν προμήθεια για τη… βοήθεια τους.

Επίσης, έκανε γνωστό πως σε ανάλογες επιθέσεις, εάν ο όγκος των δεδομένων που έχουν υποκλαπεί είναι μεγάλος, οι επιτήδειοι ενδέχεται να τα βγάλουν στο «σκοτεινό διαδίκτυο» (dark web) προς πώληση, πιέζοντας και εκβιάζοντας και με αυτόν τον τρόπο τα θύματα τους, ενώ όπως είπε, μπορεί να υπάρχουν διάφοροι που είναι διατεθειμένοι να πληρώσουν για να αποκτήσουν πρόσβαση σε όλον αυτόν τον όγκο δεδομένων.

Καταλήγοντας, ο κ. Άντερσον επισήμανε πως γενικότερα, για να αποφεύγονται αντίστοιχες επιθέσεις, πρέπει να τηρούνται κάποιοι βασικοί κανόνες ασφάλειας. «Σαφώς και θεωρώ ότι θα πρέπει να έχουν τις «τρύπες» ασφαλείας καλυμμένες, με κάποια VPN (Virtual Private Network) τα οποία δεν θα πρέπει να είναι εκτεθειμένα στο internet, αλλά και να γίνεται συνεχής εκπαίδευση του προσωπικού, έτσι ώστε να αποφευχθούν ατυχήματα, όπως το άνοιγμα κάποιων email, τα οποία είναι phishing και έχουν παγιδευμένα ενσωματωμένα αρχεία που μπορεί να κρύβουν μακροεντολές και να δημιουργήσουν ζήτημα».

Διαβάστε επίσης: Κυβερνοεπίθεση στα συστήματα του δήμου Θεσσαλονίκης

Λύτρα ζητούν οι χάκερς που “χτύπησαν” τον δήμο Θεσσαλονίκης – “Πεσμένη” η ιστοσελίδα

Κυβερνοεπίθεση στον Δ. Θεσ/νίκης: Παραιτήσεις αντιδημάρχων ζητά ο Δ. Τσαβλής

Κυβερνοεπίθεση στον δήμο Θεσσαλονίκης: Ενημερώθηκαν από Κ. Ζέρβα οι παρατάξεις – Όλες οι εξελίξεις

 

Δείτε τις ειδήσεις από την Ελλάδα και όλο τον κόσμο στο GRTimes.gr

Ακολουθήστε το GRTimes στο Google News και ενημερωθείτε πριν από όλους

ΡΟΗ ΕΙΔΗΣΕΩΝ