Τα ξημερώματα της Δευτέρας 21 Μαρτίου 2022, τα Ελληνικά Ταχυδρομείαζ δέχθηκαν κυβερνοεπίθεση από χάκερ που ζητούσαν λύτρα για να «απελευθερώσουν» τις υπηρεσίες που είχαν ουσιαστικά δεσμεύσει.
Η κυβερνοεπίθεση είχε στόχο τις θυρίδες και το σύστημα μεταφοράς πακέτων των ΕΛΤΑ, ωστόσο η διοίκηση του οργανισμού, δεν μπήκε ποτέ σε διάλογο με τους χάκερ για την καταβολή λύτρων, αλλά οι τεχνικοί της υπηρεσίας προσπάθησαν να ανακτήσουν τις χαμένες λειτουργίες.
Κερκόπορτα για την «εισβολή» των χάκερ στα συστήματα των ΕΛΤΑ αποτέλεσαν τα απαρχαιωμένα συστήματα που τους επέτρεψε να κινηθούν με μεγαλύτερη ευκολία.
Οι Χάκερς Κατά Την Διάρκεια Της Κυβερνοεπίθεσης Στα ΕΛΤΑ Φαίνεται Να Είχαν Πλήρη Πρόσβαση Εντός Του Εσωτερικού Δικτύου Του Οργανισμού (Intranet). Είχαν Την Δυνατότητα Να Αντλήσουν Δεδομένα, Να Διαγράψουν Δεδομένα Ή Να Αλλοιώσουν Κατά Το Δοκούν Ή Ακόμη Και Να Βγάλουν Χρήματα Πουλώντας Πλήθος Πληροφορίων Ελλήνων Πολιτών.
Η κυβερνοεπίθεση έγινε ως εξής! Κακόβουλος κώδικας μόλυνε αρχικά έναν σταθμό εργασίας των ΕΛΤΑ (πιθανόν εργαζομένου) ο οποίος εν συνεχεία συνδέθηκε με έναν server που ελέγχεται από ομάδα κυβερνοεγκληματιών μέσω της τεχνικής https reverse shell. Οι επιτιθέμενοι εν συνεχεία, πραγματοποίησαν pivoting, περιστροφή δηλαδή, εντός του εσωτερικού δικτύου του Οργανισμού με αποτέλεσμα να μολύνουν πρόσθετα συστήματα.
Στην συνέχεια, κακόβουλος κώδικας εκτελέστηκε στα συστήματα που ήταν υπό τον έλεγχο των hackers με αποτέλεσμα την μαζική κρυπτογράφηση, κύριων διακομιστών αλλά και τερματικών των ΕΛΤΑ.
Για λόγους πρόληψης και ασφαλείας αποφασίστηκε η απομόνωση ολόκληρου του Data Center της εταιρίας.
Για την επίλυση του τεχνικά δύσκολου αυτού έργου εξετάστηκαν περισσότερα από 2.500 τερματικά συστήματα και για πολλές ημέρες δεν ήταν δυνατές οι οικονομικές συναλλαγές του οργανισμού. Γι’αυτό και το γεγονός προκάλεσε αναταραχές σε κυβερνητικές υπηρεσίες, εταιρείες και στους πολίτες.
Όπως αναφέρει η ιστοσελίδα secnews.gr, διαπιστώθηκε ότι η πληροφοριακή υποδομή των ΕΛΤΑ ήταν εκτεθειμένη με πλήθος ανοικτών θυρών πρόσβασης εδώ και πολύ καιρό! Συγκεκριμένα απο το 2018 φαίνεται ότι υπήρχαν ανοικτές πύλες εισόδου/πρόσβασης που μπορούσαν να τύχουν εκμετάλλευσης από κακόβουλους χάκερς, όπως φαίνεται στο διάγραμμα που εμφανίζεται αυτήν την ώρα στις οθόνες σας, όπου παρουσιάζονται οι πύλες που ήταν ανοικτές και έκθετες.
Λίγες ημέρες μετά την επίθεση, Έλληνες πολίτες άρχισαν να λαμβάνουν τα ακόλουθα SMS, τα οποία με Phishing URL προσπαθούν να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα. Ο συγκεκριμένος σύνδεσμος πραγματοποιεί σύνδεση σε τούρκικη εταιρεία σχετιζόμενη με εφαρμογές υγείας με έδρα την Κωνσταντινούπολη.
Στις έρευνες συμμετέχει και η ΕΥΠ, η οποία σύμφωνα με πρόσφατα δημοσιεύματα έχει καταλήξει σε συμπεράσματα για την ταυτότητα των δραστών. Αυτό ενισχύει τις υποψίες, ότι οι χάκερς μπορεί και να ήταν Τούρκοι.
Αν αυτό ισχύει, τότε μήπως μιλάμε για μια επίθεση οιωνό μιας μεγαλύτερης κλίμακας απειλής από τη γειτονική χώρα; Αναρωτιέται η ιστοσελίδα secnews. Εξάλλου οι κυβερνοεπιθέσεις είναι από τα κυριότερα χαρακτηριστικά του υβριδικού πολέμου, τον οποίο η Ελλάδα υφίσταται ήδη από την Τουρκία.