Categoria: Inteligência do adversário

Indústria: Governo

Motivação:Reputação

País: Índia

Fonte*:

C: Bastante confiável;

3: Possivelmente verdadeiro

‍

Sumário executivo

AMEAÇA

• Código-fonte do site do governo indiano compartilhado gratuitamente.
• Em uma postagem de acompanhamento, a injeção de SQL foi usada para obter 10 mil registros de um endpoint de API vulnerável e compartilhada gratuitamente pelo TA.

IMPACTO

• Um conjunto de dados de amostra pode levar à aquisição total da conta.
• O código-fonte pode permitir que os invasores entendam a lógica do site para ataques cibernéticos bem elaborados.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para extrair dados e manter a persistência.

MITIGAÇÃO

• Corrija endpoints vulneráveis e exploráveis.
• Monitore fóruns de crimes cibernéticos para ver as táticas mais recentes empregadas pelos agentes de ameaças.

‍

Análise e atribuição

Informações do Post

Em 02 de agosto de 2023, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças (TA) compartilhando o código-fonte do iRAD (Banco de Dados Integrado de Acidentes Rodoviários) - https://irad.parivahan.gov.in/- que é uma iniciativa do Ministério do Transporte Rodoviário e Rodovias (MoRTH), do Governo da Índia e é financiada pelo Banco Mundial, com o objetivo de melhorar a segurança rodoviária no país - em um fórum clandestino de crimes cibernéticos.

Análise do código-fonte

Nossa fonte conseguiu obter o código-fonte, totalizando 165 MB de tamanho. A maior parte do código é escrita em PHP.

‍

Encontramos vários ativos confidenciais incorporados ao código. O código continha nomes de host, nomes de bancos de dados e senhas. Os nomes de usuário e senhas usados no código-fonte eram bastante simples e podiam estar sujeitos a ataques de força bruta com acesso local ao servidor.

‍

‍

Observamos que o código-fonte inclui referências ao sms.gov.in, um gateway de SMS da NIC que permite que os departamentos governamentais integrem e enviem SMS centrados no cidadão para cidadãos indianos. Além disso, o URL incorporado no código-fonte inclui campos para nome de usuário e senha que, se usados indevidamente, podem inadvertidamente conceder a indivíduos não autorizados a capacidade de enviar mensagens aos destinatários.

‍

‍

Postagem de acompanhamento do Threat Actor

Em 07 de agosto de 2023, o mesmo agente de ameaças fez outra postagem compartilhando um conjunto de dados de amostra dos 10 mil usuários do site. A postagem também menciona que a injeção de SQL foi usada para obter os dados do endpoint vulnerável da API que, no momento da redação do relatório, ainda estava acessível.

‍

‍

Análise de dados

• De acordo com as afirmações do anúncio, o conjunto de dados de amostra contém uma lista de 10.000 registros de usuários com informações confidenciais do usuário.
• O cabeçalho contém id, office_id, nome, e-mail, regno, active, mobile, ps_code, comentários, senha, nome de usuário, createdby, dept_code, role_code, state_code, designation, created_date, old_password, password_enc, district_code, email_verified, mobile_verified.
• Nossa fonte pôde verificar alguns dos números de celular e os nomes mencionados no conjunto de dados de amostra em relação ao Truecaller e eles corresponderam.
• Os dados de amostra também contêm IDs de e-mail e senhas de texto não criptografado de funcionários do governo.

‍

‍Impacto e mitigação

Qual é o impacto desse vazamento de dados?

• As informações vazadas poderiam ser usadas para obter acesso inicial à infraestrutura do site.
• Se as senhas vazadas não forem criptografadas, isso poderá permitir a aquisição de contas.
• Senhas comumente usadas ou senhas fracas podem levar a ataques de força bruta.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para extrair dados e manter a persistência.

Como você pode mitigar?

• Implemente uma política de senha forte e habilite a MFA (autenticação multifator) em todos os logins.
• Corrija endpoints vulneráveis e exploráveis.
• Monitore anomalias nas contas dos usuários, o que pode indicar possíveis aquisições de contas.
• Escaneie repositórios para identificar credenciais e segredos expostos.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

‍