Categoria: Inteligência do adversário

Indústria: Saúde e Farmacêutica

Motivação:Reputação

Região: Índia

Fonte*:

B: Geralmente confiável

2: Provavelmente é verdade

‍

Sumário executivo

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma postagem em um fórum de crimes cibernéticos em inglês, compartilhando um banco de dados do PHI-IIIT Delhi para obter créditos no fórum. Um total de 82 bancos de dados foram comprometidos e os dados vazados incluem e-mails, nome, ano e documentos internos relacionados à saúde e ao desenvolvimento de vacinas, incluindo trabalhos de pesquisa e muito mais. Deve-se notar que uma parte do banco de dados oferecido está acessível para consumo público no Portal PHI hospedado na ERNET (Rede de Educação e Pesquisa): A ERNET é uma sociedade científica autônoma do Ministério da Eletrônica e Tecnologia da Informação (MeITy) na Índia.

PHI: Portal for Health Informatics - é o portal web do IIIT Delhi para bioinformática, informática em saúde e genômica, ajudando biólogos no desenvolvimento de vacinas e na criação de medicamentos. Ele fornece servidores, bancos de dados e software para computação científica na área da saúde, apoiando pesquisas em ciências da vida.

‍

Análise e atribuição

Informações do Post

Em 25 de julho de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um ator de ameaças chamado USNSA compartilhando um banco de dados do Portal for Health Informatics - IIIT-Delhi por 8 créditos no fórum. O banco de dados vazado, composto por 82 arquivos com um tamanho total de aproximadamente 1,8 GB, contém informações confidenciais, como nome de usuário, endereços de e-mail e outros documentos internos.

O banco de dados compartilhado, chamado webs.iiitd.edu.in.rar, incluía:

• 10.842 e-mails na coleção com cerca de 6.500 domínios exclusivos e 29.000 URLs exclusivos no banco de dados.
• Arquivos de dados internos relacionados a ovirustdb, leukemiabd, indiabiodb, HIV e muito mais.
• O arquivo de banco de dados vazado contém várias tabelas, incluindo bacvacdb, cancerdp, phpMyAdmin, dengi e Crud. Além disso, inclui nomes de usuário como admin, test, Vikram, mouli, osddadmin, osdduser11 e user31, que foram obtidos da tabela de contatos do dotProject.

Vale ressaltar que os 54 bancos de dados vazados no site já estão disponíveis para consumo público por meio do site, pode ser por meio do site, conforme mencionado abaixo.

‍

Informações do Post (Continuação)

‍

‍

O ator explorou um Injeção de SQL vulnerabilidade no site do Portal PHI para obter acesso não autorizado e exfiltrar o banco de dados, provavelmente empregando o Ferramenta SQLMap.

• O SQLMap é uma poderosa ferramenta de teste de penetração de código aberto que automatiza o processo de detecção e exploração de vulnerabilidades de injeção de SQL em aplicativos da web.
• Os pesquisadores do CloudSEK descobriram parâmetros que afetam a injeção de SQL presentes nos registros SQL.

A tabela de usuários do MySQL vazada chamada “usuários” expôs informações confidenciais, como nomes de usuário, senhas com hash, privilégios de usuário, tipo de SSL e possivelmente outros dados confidenciais. Além disso, o site exibiu vários casos de spam de SEO, conforme evidente nas imagens abaixo, indicando que uma determinada seção do site não é moderada.

‍

‍

Atividade e classificação do ator de ameaças

‍

Impacto e mitigação

Impacto

• As informações vazadas poderiam ser usadas para obter acesso inicial à infraestrutura da empresa.
• Se os dados vazados não forem criptografados, isso poderá permitir a aquisição de contas.
• Senhas comumente usadas ou senhas fracas podem levar a ataques de força bruta.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware, extrair dados e manter a persistência.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

‍