Ze onderzoeken een vermeende hack van het leger: welke gegevens zijn te koop en waar zijn ze voor?
Het Argentijnse leger analyseert een bericht van een cybercrimineel op een bekend forum voor de uitwisseling van persoonlijke gegevens. Het bericht zou informatie bevatten over 50.000 leden van de politiemacht.
Verschillende overheidssectoren, van het Ministerie van Defensie tot het Federaal Agentschap voor cyberveiligheid , analyseren de potentiële omvang van de vermeende hack die tot het lek heeft geleid.
De informatie werd vrijgegeven door Birmingham Cyber Arms LTD, een bedrijf dat dreigingsinformatie verzamelt en hacks en lekken in de gaten houdt, zowel in de overheids- als in de particuliere sector. "Een dreigingsactor verkoopt gegevens van 50.000 militairen in Argentinië in PDF-formaat: identiteitsbewijs, geboortedatum, woonplaats, reisgegevens, diploma's en meer ", postte Sheriff op zijn dreigingsmonitoringsysteem.
Mauro Eldritch, de directeur van het bedrijf, vertelde Clarín welke informatie wordt aangeboden: "Het gaat om een batch van 50.000 documenten in verschillende formaten, waaronder PDF's en schermafbeeldingen, die inzicht geven in de mate van toegang die de aanvaller heeft tot het systeem waaruit de documenten zijn gehaald", legde hij uit.
De analist legt uit welke informatie wordt aangeboden op basis van wat kan worden afgeleid uit het bericht: "Het lijkt erop dat de informatie stapsgewijs is opgehaald uit een documentsysteem, wat zou wijzen op een kwetsbaarheid die de visualisatie van gegevens (in dit geval gebruikersprofielen) mogelijk maakt. Deze gegevens worden geïdentificeerd door een oplopende waarde ( zoals 1, 2, 3, 4 )", legt hij uit. Dit is wat in cybersecurity "IDOR" wordt genoemd, Insecure Direct Object Reference .
"Dit type kwetsbaarheid maakt het mogelijk dat een kwaadwillende gebruiker de reeks kan voortzetten en vreemde gegevens kan bekijken, en zo de database kan scrapen (dat wil zeggen, de database sequentieel en automatisch kan bezoeken om deze te repliceren op een manier die door het systeem wordt toegestaan)", vervolgde hij. Als een webadres bijvoorbeeld eindigt op "445", kunt u het wijzigen naar "446" om het profiel van een andere gebruiker te bekijken.
Het bericht op een bekend cybercriminaliteitsforum: Informatie over het Argentijnse leger te koop. Foto: Sheriff Capture
"De batch bevat veel gevoelige informatie omdat deze van militaire aard is . Denk aan academische gegevens en foto's, maar ook aan reisinformatie en familiegegevens van de soldaten. Het zou dus een back-up kunnen zijn van een systeem met bestanden", voegt hij toe.
Het leger gaf afgelopen dinsdag een verklaring uit waarin stond dat "dit toegang zou kunnen inhouden tot administratieve gegevens die de capaciteiten van de strijdkrachten niet in gevaar brengen." Clarín nam contact op met het leger voor een update over het incident. Zij bevestigden dat de klacht die op 8 mei bij de afdeling Cybercriminaliteit van de federale politie werd ingediend, deze donderdag is uitgebreid.
Persoonlijke gegevens van leden van het leger, te koop. Foto: Archief
Een datalek (of datalek, zoals het in de cybersecuritywereld wordt genoemd) is het ongeoorloofd openbaar maken van informatie. Dit kan uw volledige naam, adres, e-mailadres, telefoonnummer, wachtwoorden of bestanden zijn. Het kan ook om gevoelige informatie gaan, zoals bij het leger.
"Het cruciale onderdeel van wat naar verluidt te koop wordt aangeboden, zijn de dienstgegevens. Daar kun je tot in detail de militaire carrière van elk lid zien, waar ze dienden ("arm of service"), in welke rol en met welke rang op dat moment. Het is in feite de militaire geschiedenis van elke persoon, die vaak gevoelige informatie onthult, niet alleen over de persoon zelf, maar ook over de interne bewegingen van Destiny (destiny als militaire locatie)", legt Eldritch uit.
Deze informatie wordt vaak verspreid op ondergrondse fora en Telegram-kanalen, naast andere sites die vaker het doelwit zijn van cybercriminelen. Deze lekken hebben vaak verschillende bestemmingen: ze worden verkocht op de zwarte markt of misbruikt de gegevens voor phishingaanvallen . Dit zijn nep-e-mails waarmee gebruikers worden verleid tot het bezoeken van nepwebsites en -diensten.
Normaal gesproken komen de gelekte gegevens op zwarte markten terecht (het zogenaamde dark web, hoewel ze ook verkocht worden op Telegram, dat geen enkele vorm van regulering van illegale activiteiten kent). Ook worden ze gebruikt voor allerlei vormen van fraude of dienen ze zelfs als toegangspoort voor ransomware- aanvallen.
Patricia Bullrich en Luis Petri ontmoeten leden van het leger in maart. (Foto: Juan José García)
Argentinië heeft de afgelopen jaren te maken gehad met een groot aantal aanvallen op overheidsinstellingen, zoals in 2020 bij het Nationaal Directoraat voor Migratie , in 2022 bij de Senaat van de Natie , in 2023 bij PAMI en CNV . Vorig jaar was er een van de grootste aanvallen, namelijk RENAPER.
Dit medium had toegang tot de informatie die vorig jaar naar RENAPER lekte en ontdekte dat de namen, achternamen, geboortedata, sterfdata (indien van toepassing) en ID-nummers van miljoenen Argentijnen waren gevonden.
En er waren zelfs heel specifieke mappen aanwezig, met daarin databases met adressen van in Argentinië verblijvende buitenlanders en zelfs informatie over marinepersoneel met volledige namen en militaire rangen . Hieruit blijkt dat dit nieuwe geval niet het eerste is dat de strijdkrachten treft.
De verklaring van het leger over de vermeende hack. Bron: Argentijns leger
Clarin
