🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria: Inteligência do adversário
Indústria: Governo
Motivação: Reputação
País: Índia
Sumário executivo
- CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando um bot do Telegram que oferecia dados de informações de identificação pessoal (PII) de cidadãos indianos que supostamente haviam registrado vacinas no Portal Cowin.
- Nota: A análise do CloudSEK conclui que os agentes de ameaças não têm acesso a todo o portal Cowin nem ao banco de dados de back-end. Com base na correspondência de campos dos dados do Telegram e incidentes relatados anteriormente que afetam profissionais de saúde de uma região, presumimos que as informações foram coletadas por meio dessas credenciais comprometidas. As reivindicações precisam ser verificadas individualmente.
- Em 13 de março de 2022, um agente de ameaças em um fórum russo de crimes cibernéticos anunciou o acesso comprometido no Portal Cowin da região de Tamil Nadu e alegou ter comprometido o banco de dados Cowin. Após a análise, descobrimos que a violação era de um profissional de saúde e não estava realmente na infraestrutura. O conteúdo exibido na captura de tela coincide com o bot do Telegram mencionado na mídia da seguinte forma:
- Nome do indivíduo
- Número de celular
- Prova de identidade
- Número de identificação
- Número de doses concluídas.
Além disso, existem várias credenciais de profissionais de saúde acessíveis na dark web para o portal Cowin. No entanto, esse problema decorre principalmente das medidas inadequadas de segurança de terminais implementadas para profissionais de saúde, em vez de quaisquer fraquezas inerentes à segurança da infraestrutura da Cowin.
A análise exclusiva da Humint revelou os dados pertencentes à região de Tamil Nadu e o ator reivindicou acesso ao centro dessa única região naquele momento.
Análise e atribuição
Informações do Canal Telegram
- O bot de dados da Covid foi oferecido por um canal chamado hak4learn, que frequentemente compartilhava tutoriais, recursos e bots de hacking para que indivíduos acessassem e comprassem. Inicialmente, o bot estava disponível para todos usarem, mas depois foi atualizado para ser exclusivo para assinantes.
- A versão atualizada do bot forneceu dados de PII, incluindo números do cartão Aadhar, cartão Pan, carteira de eleitor, sexo e o nome do centro de vacinação, com base no número de telefone inserido.
- A verdadeira fonte do bot do Telegram é desconhecida, é importante observar que o bot tinha a versão 1 oferecida que exibia apenas informações pessoais com base no número de telefone. Enquanto a versão 2 alegou ser um bot Truecaller que também continha informações pessoais dos indivíduos.
- O bot está inativo no momento e pode aparecer mais tarde, conforme mencionado pelo administrador do canal.
- O canal, estabelecido em 11 de dezembro de 2021, fornece uma variedade de bots do Telegram, como um bot Truecaller para recuperar informações de localização com base em números de telefone, um bot OTP, um bot UPI Recon, um bot de página de phishing e muitos outros.
- A postagem anunciada contém capturas de tela do portal administrativo revelando as PII de pessoas que se inscreveram nas campanhas de vacinação contra a COVID-19.
Atividade e classificação do ator de ameaças
Com base em uma postagem no Instagram feita em 2022, uma conta provavelmente associada ao ator da ameaça ofereceu vários scripts explorando os gateways de pagamento da UPI, como SBI, PayTM, Google Pay etc.
