🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

مطالبة Cowin بتسريب البيانات وتحليل CloudSek

حدد فريق CloudSek جهة فاعلة ضارة تروج لروبوت Telegram الذي يوفر الوصول إلى المعلومات الشخصية للأفراد الهنود الذين ورد أنهم سجلوا للحصول على اللقاحات من خلال بوابة Cowin. ادعى الروبوت أنه يقدم بيانات معلومات التعريف الشخصية (PII).
Updated on
August 19, 2025
Published on
June 12, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.

الفئة: استخبارات الخصم

الصناعة: الحكومة

التحفيز: السمعة

البلد: الهند

ملخص تنفيذي

  • كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت جهة تهديد تعلن عن روبوت تيليجرام يقدم بيانات معلومات التعريف الشخصية (PII) للمواطنين الهنود الذين يُزعم أنهم سجلوا اللقاحات من بوابة Cowin.
  • ملاحظة: يخلص تحليل CloudSek إلى أن الجهات الفاعلة في مجال التهديد لا يمكنها الوصول إلى بوابة Cowin بأكملها أو قاعدة بيانات الواجهة الخلفية. استنادًا إلى الحقول المطابقة من بيانات Telegram والحوادث التي تم الإبلاغ عنها سابقًا والتي تؤثر على العاملين الصحيين في المنطقة، نفترض أن المعلومات قد تم مسحها من خلال بيانات الاعتماد المخترقة هذه. يجب التحقق من المطالبات بشكل فردي.
  • في 13 مارس 2022، أعلن أحد ممثلي التهديد في منتدى الجرائم الإلكترونية الروسي عن الوصول المخترق على بوابة Cowin في منطقة تاميل نادو وادعى أنه اخترق قاعدة بيانات Cowin. بعد التحليل، اكتشفنا أن الاختراق كان من قبل عامل صحي وليس في الواقع على البنية التحتية. يتطابق المحتوى المعروض على لقطة الشاشة مع روبوت Telegram المذكور في الوسائط على النحو التالي:
  • اسم الفرد
  • رقم الهاتف المحمول
  • إثبات الهوية
  • رقم التعريف
  • عدد الجرعات المكتملة.

علاوة على ذلك، هناك العديد من بيانات اعتماد العاملين في مجال الرعاية الصحية التي يمكن الوصول إليها على الويب المظلم لبوابة Cowin. ومع ذلك، تنبع هذه المشكلة بشكل أساسي من التدابير الأمنية غير الكافية لنقطة النهاية المطبقة للعاملين في مجال الرعاية الصحية، بدلاً من أي نقاط ضعف متأصلة في أمن البنية التحتية لشركة Cowin.


URL

Username

Password

https://admin.cowin.gov.in/login

9444****44

**********

https://admin.cowin.gov.in/login

9444****44

**********



الصورة 1: منشور Threat Actor على قنوات Telegram للإعلان عن قاعدة بيانات CoWin في عام 2022


كشف تحليل Humint الحصري عن البيانات التي تنتمي إلى منطقة تاميل نادو وادعى الممثل الوصول إلى مركز هذه المنطقة الفردية في تلك اللحظة.


التحليل والإسناد

معلومات من قناة تيليجرام

  • تم تقديم روبوت بيانات Covid بواسطة قناة تسمى هاك فور ليرن، والتي كثيرًا ما شاركت البرامج التعليمية والموارد والروبوتات الخاصة بالقرصنة ليتمكن الأفراد من الوصول إليها وشرائها. في البداية، كان الروبوت متاحًا للجميع لاستخدامه، ولكن تمت ترقيته لاحقًا ليكون حصريًا للمشتركين.
  • قدمت النسخة المطورة من الروبوت بيانات تحديد الهوية الشخصية، بما في ذلك أرقام بطاقة Aadhar، وبطاقة Pan، ومعرف الناخب، والجنس، واسم مركز التطعيم، بناءً على رقم الهاتف الذي تم إدخاله.
  • المصدر الحقيقي لبوت Telegram غير معروف، من المهم ملاحظة أن الروبوت قد عرض الإصدار 1 الذي يعرض المعلومات الشخصية فقط بناءً على رقم الهاتف. بينما ادعى الإصدار 2 أنه روبوت Truecaller الذي يحتوي أيضًا على معلومات شخصية للأفراد.
  • الروبوت معطل حاليًا وقد يظهر لاحقًا كما ذكر مسؤول القناة.
لقطة من مجموعة تيليجرام hak4learn


  • توفر القناة، التي تم إنشاؤها في 11 ديسمبر 2021، مجموعة متنوعة من روبوتات Telegram، مثل روبوت Truecaller لاسترداد معلومات الموقع بناءً على أرقام الهواتف، وروبوت OTP، وروبوت UPI Recon، وروبوت صفحة التصيد الاحتيالي، وغيرها الكثير.
  • يحتوي المنشور المعلن عنه على لقطات شاشة لبوابة الإدارة تكشف عن معلومات تحديد الهوية الشخصية للأشخاص الذين سجلوا في حملات التطعيم ضد COVID-19.

نشاط وتصنيف الجهات الفاعلة في مجال التهديد

استنادًا إلى منشور على Instagram تم نشره في عام 2022، عرض حساب مرتبط على الأرجح بممثل التهديد العديد من البرامج النصية التي تستغل بوابات دفع UPI مثل SBI و PayTM و Google Pay وما إلى ذلك.

الشكل - يقوم ممثل التهديد بنشر البرامج النصية للبحث عن أنظمة UPI المختلفة العاملة في الهند


Threat Actor Profiling

Active since

2021

Reputation

Moderate with frequent posts to monetize from methods and data

Current Status

Active, popular

History

The actor has been sharing scripts, database, bot details, and deals in INR, indicating a non-Russian origin. 

Rating 

E4 (E: Unreliable, 4: Doubtfully True)

Impact & Mitigation

Impact

Mitigation

  • The exposed Personally Identifiable Information (PII) could enable threat actors to orchestrate social engineering schemes, phishing attacks, and even identity theft.

  • Include 2FA for Cowin portal.

  • Monitor cybercrime forums for the latest tactics employed by threat actors. 

المراجع

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations