🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
استخبارات الخصم

يدعي هاكر أن لديه حق الوصول إلى أنظمة مكاتب الضرائب الحكومية الهندية

يصر مستخدم منتدى القرصنة الروسي على أن لديه حق الوصول الإداري إلى شبكة مكتب الضرائب الحكومي الهندي، مما يمنح الوصول إلى جميع الأجهزة المتصلة ووثائق الدولة.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
April 13, 2020
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

ملخص

في 26 مارس 2020، ادعى مخترق يحمل اسم «Basterlord»، في منتدى قرصنة روسي، أن لديه حق الوصول الإداري إلى شبكة مكتب ضرائب الولاية الهندية. كما هو موضح في الصورة أدناه، يدعي المخترق أن شبكة مكتب الضرائب بها 4 أجهزة، وأنه يوجد على الكمبيوتر نفسه 800 جيجابايت من مستندات الدولة. كان المخترق يقبل الطلبات عبر المنتدى والتلغرام والبريد الإلكتروني.
Bassterlord's announcement on the hacking forum
إعلان Basserlord في منتدى القرصنة
نظرًا لأن المنشور غامض تمامًا، فليس من الواضح ما إذا كان المخترق يبيع البيانات المسربة، أو فقط بيانات اعتماد المسؤول للأنظمة داخل شبكة مكتب الضرائب. ومع ذلك، كدليل على الوصول، نشر البائع 5 لقطات شاشة داعمة. من خلال تحليل لقطات الشاشة، حاولنا التحقق من ادعاءات البائع.

تحليل براهين البائع

لقطة الشاشة 1: يعتزم البائع أن يكون هذا دليلًا على تعرض نظام مكتب الضرائب بالولاية للاختراق
The system's 3 drives
محركات الأقراص الثلاثة الخاصة بالنظام
تظهر الصورة أن النظام يحتوي على 3 محركات:
قم بالقيادة
اسم محرك الأقراص
حجم محرك الأقراص (جيجابايت)
البيانات المخزنة (جيجابايت)
ج القرص المحلي 12080.5D المجلد الجديد 400355.3 التدقيق الإلكتروني 410400 نظرًا لأن البائع يدعي أن لديه 800 غيغابايت من البيانات، فمن المحتمل أن يكون إجمالي البيانات في محركات أقراص New Volume و AUDIT، والتي يبلغ حجمها المجمع 810 غيغابايت وحوالي 755 غيغابايت من البيانات. من الممكن أيضًا أن تكون البيانات المتبقية من القرص المحلي (C). نظرًا لأن تصفية حوالي 800 غيغابايت من البيانات مهمة شاقة وتثير الإنذارات، فإننا نشك في أن المخترق ربما كان يبيع الوصول إلى الخادم فقط، بدلاً من البيانات نفسها.
ملاحظات أخرى:
يحتوي النظام على أنظمة الشبكة المشتركة التالية
  • خادم - كمبيوتر
  • tsclient
أسماء الملفات الحساسة على سطح المكتب:
  • ضريبة التصدير
  • تلفزيون doc.xls
  • دليل الهاتف
  • إيقاف تشغيل رقم الهاتف...
  • مدى الحياة..
  • تمهيدي للجوال
  • Book1.xlsx
  • روما هاشوكBH...
يحتوي الركن العلوي الأيسر من لقطة الشاشة على نص روسي يُترجم إلى «اتصال سطح المكتب البعيد». من المحتمل أن يكون البائع قد حصل على إمكانية الوصول إلى سطح المكتب البعيد (RDP) من خلال استغلال عيب RDP أو باستخدام بيانات اعتماد RDP الافتراضية أو عن طريق الإكراه الغاشم.
Remote Desktop Connection notification
إشعار الاتصال بسطح المكتب البعيد
لقطة الشاشة 2: يعتزم البائع أن يكون هذا دليلًا على حقوق الإدارة
Desktop folder titled “admin”
مجلد سطح المكتب بعنوان «admin»
يشير السهم الموجود في الصورة إلى مجلد سطح مكتب بعنوان «admin»، مما يشير إلى أن المخترق ربما قام بتسجيل الدخول إلى النظام باستخدام بيانات اعتماد المسؤول.
لقطة الشاشة 3: يعتزم البائع أن يكون هذا دليلًا على الوصول إلى المستندات الحساسة
الصورة أدناه هي شهادة التسجيل المؤقت لشركة P N Goradia & Co. ومن الجدير بالذكر أيضًا أن الشهادة قد صدرت عن حكومة ولاية غوجارات، مما يعني أن المخترق يمكنه الوصول إلى مكتب الضرائب في الولاية.
Sample GST form
نموذج نموذج ضريبة السلع والخدمات
تتطابق تفاصيل شركة P N Goradia & Co في الشهادة مع المعلومات الواردة في indiamart.com: بي إن جوراديا وشركاه رقم. العنوان: 302، تاكش كلاسيك مقابل مضخة بنزين IOC، طريق فاسنا، طريق فاسنا، طريق فاسنا، فادودارا-390007، غوجارات، الهند الهاتف المحمول: 09825014860 الاسم: براديب ناندلال غوراديا المصدر: https://www.indiamart.com/pn-goradia/ ومع ذلك، فإن تفاصيل ضريبة السلع والخدمات الخاصة بالموردين متاحة للجمهور، والعديد منها مثل هذه الشهادات يتم الكشف عنها من قبل البائعين، ويمكن العثور عليها على الإنترنت. لذا، فإن لقطة الشاشة هذه ليست دليلًا لا جدال فيه.
لقطة الشاشة 4: يعتزم البائع أن يكون هذا دليلًا على الوصول إلى المستندات الحساسة
صورة بطاقة رقم الحساب الدائم (PAN) لشركة Vishmit Enterprise.
Sample PAN card
عينة بطاقة PAN
عند إجراء مزيد من التحقق، وجدنا أن PAN كان نشطًا، لكنه لم يتطابق مع Vishmit Enterprise في قاعدة بيانات PAN. ومع ذلك، إذا تم تعديل الاسم إلى Vismit Enterprise، بدون الحرف «h»، فإن PAN يطابق الاسم الموجود في قاعدة بيانات PAN. هذا يدل على أن PAN صالح ونشط.
Sample PAN card validation
نموذج التحقق من بطاقة PAN
PAN card is active
بطاقة PAN نشطة
لقطة الشاشة 5: يعتزم البائع أن يكون هذا دليلًا على الوصول إلى المستندات الحساسة
Sample sensitive data عينة من البيانات الحساسة تتميز لقطة الشاشة هذه بأنها تحتوي على معلومات حساسة مثل أرقام الهواتف ورسائل البريد الإلكتروني والتواريخ وغيرها من الحقول التي لا تتوفر عادةً على الإنترنت. لقد تحققنا من أرقام الهواتف عبر Truecaller، ووجدنا أن معظمها ينتمي إلى ولاية غوجارات.

من هو الهاكر؟

مقبض المستخدم
باسترلورد
تاريخ الانضمام إلى المنتدى
13 مايو 2019
نقاط
14
اللغة
روسي
Hacker's profile
الملف الشخصي للهاكر
سمعة المخترق في المنتدى:
يمتلك المخترق 14 نقطة في المنتدى. ويظهر سجل المستخدم أنه لم يقم أي مستخدم آخر للمنتدى برفع شكاوى ضد المخترق. على الرغم من وجوده في المنتدى لمدة تقل عن عام واحد، يشير سجل المستخدم إلى أن المخترق هو عضو موثوق به في المنتدى.
تاريخ المخترق في بيع وصول RDP
لدى المستخدم تاريخ في بيع وصول RDP، إلى أنظمة مهمة أخرى، في نفس المنتدى. على سبيل المثال: في 23 مارس 2020، في موضوع مختلف، كان المستخدم يبيع وصول RDP للشركات. نظرًا لتاريخ المخترق في بيع الوصول إلى RDP، دون أي شكاوى من المستخدمين الآخرين، فمن المحتمل أنه يبيع بيانات اعتماد شرعية.
Selling RDP access to corporations
بيع وصول RDP للشركات
توقف البائع عن بيع الوصول إلى مكتب الضرائب
نظرًا لأن المنشور على المنتدى أصبح عامًا الآن، فقد توقف الممثل عن بيع الوصول إلى شبكة مكتب الضرائب.
response to researcher
التفاعلات مع الهاكر

الإستدلال

وفقًا للتحليل أعلاه، يمكن الاستدلال على أن مستخدم المنتدى حصل على وصول RDP إلى خادم مكتب الضرائب، من خلال استغلال أخطاء RDP الأخيرة، أو عبر بيانات اعتماد سطح المكتب البعيد المكشوفة، أو عن طريق الإكراه الغاشم. يذكر المخترق أنه تم اختراق 4 أجهزة شبكة وأن لقطة شاشة واحدة تعرض محركات أقراص الشبكة المشتركة. لذلك، من الممكن أن يكون المخترق قد أجرى حركة جانبية لاختراق الأنظمة الأخرى في الشبكة.
إجراء تحليل الطب الشرعي للتحقق من ادعاءات البائع
  • تحقق مما إذا كانت لقطات شاشة خادم Windows التي تمت مشاركتها أعلاه تنتمي بالفعل إلى أنظمة مكتب الضرائب بالولاية الهندية.
  • نظرًا لأن الكثير من البيانات مرتبطة بولاية غوجارات، يمكن أن يركز البحث على مكاتب الضرائب الحكومية في الولاية.
  • قم بإجراء فحص التدقيق والتحليل الجنائي على الأنظمة، في تاريخ نشر التفاصيل وقبله - 26 مارس 2020 - للتحقق من عمليات تسجيل دخول RDP المشبوهة ومحاولات الاستغلال عبر السجلات.
  • قم بإجراء فحص التدقيق والتحليل الجنائي على الأنظمة، بعد تاريخ نشر التفاصيل - 26 مارس 2020 - للتحقق من تسرب البيانات.
  • قم بتشديد وصول RDP وتقييد الوصول من الشبكات العامة.
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد