Они расследуют предполагаемый взлом армии: какие данные продаются и для чего они нужны?

Аргентинская армия анализирует пост киберпреступника на известном форуме по торговле персональными данными, который, как утверждается, содержит информацию о 50 000 военнослужащих.

Различные правительственные ведомства, от Министерства обороны до Федерального агентства по кибербезопасности , анализируют потенциальный масштаб предполагаемого взлома , который привел к утечке.

Информацию опубликовала компания Birmingham Cyber ​​​​Arms LTD, которая занимается сбором данных об угрозах и отслеживает взломы и утечки как в государственном, так и в частном секторе. «Злоумышленник продает данные о 50 000 военнослужащих в Аргентине в формате PDF: удостоверения личности, дата рождения, место жительства, записи о поездках, дипломы и многое другое », — разместила компания Sheriff в своей системе мониторинга угроз.

Директор компании Мауро Элдрич рассказал Clarín , какая информация предлагается: «Это пакет из 50 000 документов в смешанных форматах, включая PDF-файлы и снимки экрана, которые указывают на уровень доступа злоумышленника к системе, из которой они были извлечены», — пояснил он.

Аналитик объяснил, какая информация предлагается на основе того, что можно вывести из поста: «Похоже, они были извлечены постепенно из системы документов, что указывает на уязвимость, которая позволяет визуализировать данные (в данном случае профили пользователей), которые идентифицируются по возрастающему значению ( например, 1, 2, 3, 4 )», - пояснил он. Это то, что в кибербезопасности называется «IDOR» ( небезопасная прямая ссылка на объект) .

«Этот тип уязвимости позволяет любому злоумышленнику продолжить последовательность и просмотреть сторонние данные, получив возможность очистить базу данных (то есть последовательно посещать ее и автоматически реплицировать ее способом, разрешенным системой)», - продолжил он. Например, если веб-адрес заканчивается на «445», изменение его на «446» позволит вам просмотреть профиль другого пользователя.

«В пакете содержится много конфиденциальной информации, поскольку он носит военный характер : от академических записей и фотографий до информации о поездках и данных о семьях солдат, поэтому это может быть резервная копия системы, содержащей файлы», — добавляет он.

Во вторник армия опубликовала заявление, в котором говорилось, что «это может повлечь за собой доступ к административным данным, который не поставит под угрозу возможности сил». Компания Clarín обратилась в армию за обновленной информацией об инциденте, и там подтвердили, что жалоба, поданная 8 мая в Отдел по борьбе с киберпреступностью Федеральной полиции, в этот четверг была расширена.

Утечка данных (или, как ее называют в сфере кибербезопасности, утечка) — это несанкционированное раскрытие информации. Это может быть ваше полное имя, адрес, адрес электронной почты, номер телефона, пароли или файлы. Они также могут содержать конфиденциальную информацию, как в случае с армией.

«Важнейшей частью того, что якобы продается, являются служебные записи, в которых можно подробно увидеть военную карьеру каждого члена, где они служили («род или служба»), в какой роли и в каком звании в то время. По сути, это военная история каждого человека, которая часто раскрывает конфиденциальную информацию не только о человеке, но и о внутренних перемещениях Destiny (destiny как военной локации)», — объясняет Элдрич.

Эта информация часто распространяется на подпольных форумах и каналах Telegram, а также на других сайтах, которые чаще всего становятся объектом внимания киберпреступников. Такие утечки часто имеют различные цели: от продажи на черном рынке до использования этих данных для проведения фишинговых атак — поддельных писем, которые обманом заставляют пользователей посещать поддельные веб-сайты и сервисы.

Обычно после утечки данные попадают на черные рынки (так называемый даркнет, хотя они также продаются в Telegram, который не регулирует никакую незаконную деятельность), используются для всех видов мошенничества или даже в качестве шлюза для атак с целью получения вымогательства .

За последние годы Аргентина столкнулась с большим количеством нападений на государственные структуры: в 2020 году — на Национальное управление по миграции , в 2022 году — на Сенат страны , в 2023 году — на PAMI и CNV, а в прошлом году — на RENAPER.

Этому СМИ удалось получить доступ к информации, переданной RENAPER в прошлом году, и обнаружить имена, фамилии, даты рождения, даты смерти (если применимо) и номера удостоверений личности миллионов аргентинцев.

И там были даже весьма специфические папки, содержащие базы данных адресов иностранцев, проживающих в Аргентине, и даже информацию о военнослужащих ВМС с полными именами и воинскими званиями , что указывает на то, что это новое дело будет не первым, затрагивающим Вооруженные силы.