I kjølvannet av en rekke målrettede phishing-angrep på tjenestemenn via kompromitterte myndighetsdomenekontoer, sa NIC at det planlegger å innføre sikkerhetstiltak inkludert multifaktorautentisering for minst 3 lakh tjenestemenn.
I løpet av et nylig phishing-angrep mottok flere ansatte i ulike sentrale departementer mystiske e-poster, inkludert en fra en e-postadresse for et statlig domene (nic.in) som hevdet en “intern hånd” i general Bipin Rawats død. Dette er en del av phishing-forsøk mot sentrale myndighetspersoner gjennom noen kompromitterte e-post-ID-er for statlige domene (gov.in og nic.in), som blir stadig mer målrettede og sofistikerte, har The Indian Express fått vite.
National Informatics Center (NIC) driver den offisielle e-posttjenesten, og deler ut e-postkontoer til avdelinger, departementer og offentlige enheter i sentral- og delstatsmyndighetene.
Denne siste runden med cyberforsøk ble lansert tidligere denne måneden etter dødsfallet til sjefen for forsvarsstaben general Bipin Rawat, hans kone Madhulika Rawat og 11 andre i krasjet av et indisk flyvåpenhelikopter nær Coonoor i Tamil Nadu 8. desember. Gruppekaptein Varun Singh, som også var ombord i helikopteret, ga etter for skadene sine 15. desember.
https://images.indianexpress.com/2020/08/1×1.png
Phishing-e-posten med emnet “Intern rapport : Gen Bipin Rawats jobb på innsiden av hendelsen”, vurdert av Expressen, ble sendt til ansatte i en departementsavdeling via en ondsinnet e-post-ID med domenenavnet nic.in. Den ber mottakerne om å klikke på en phishing-kobling som hevdes å være en intern rapport.
Toppnyheter akkurat nå
Klikk her for mer
Et annet bud på cyberangrep ble gitt gjennom en kompromittert gov.in-e-post-ID rettet mot sentralregjeringsansatte i oktober like etter statsminister Narendra Modis besøk i USA i september. Denne e-posten, også gjennomgått av Express, ble sendt med emnet “Viral Video PM Narendra Modi slo in USA Visit”, i et forsøk på å lokke mottakerne til å klikke på en lenke for å se den såkalte videoen. Like etterpå utstedte NIC-enheten i det berørte departementet et sikkerhetsvarsel som ba brukerne ikke åpne og klikke på phishing-e-postene fra minst fem slike kompromitterte e-post-ID-er.
Kilder innen NIC og Union Ministry of Electronics and Information Technology (MeitY) bekreftet at bruddene på serverne ble “oppdaget” i fjor, men insisterte på at det nå var “fikset”, og at “situasjonen nå var under kontroll ”.
“Kontrollen av en server og e-postkapasitet gikk utenfor vår kontroll en gang i fjor for en kort periode, men ble brakt tilbake umiddelbart. Det er umulig å måle om det er helt fikset. For å kontrollere alle slike kompromitterte e-poster, må vi gjøre en rettsmedisinsk revisjon som krever at serveren startes på nytt. En ren tavle vil ikke ta noen aktiviteter på en uke, noe som ikke er mulig, sa en høytstående tjenestemann i departementet.
Nettforsøkene ble først rapportert tidligere i år i februar da flere høytstående myndighetspersoner, inkludert fra utenriks- og forsvarsdepartementene, ble målrettet i en phishing-kampanje med angriperne som brukte kompromitterte e-post-ID-er for regjeringsdomene (@gov.in og nic.in ) for å starte sine hackingforsøk. De to ovennevnte departementene sendte deretter ut varsler til sine ansatte, og advarte om bruken av to spesifikke e-postadresser som tilhører de offisielle nic.in- og gov.in-domenene som drives av NIC.
< p>Et slikt angrep via en kompromittert @gov.in-e-postadresse var rettet mot en gruppe på 43 tidligere offiserer fra hæren, marinen og luftvåpenet, som var en del av det 56. kurset til National Defense Academy (NDA), i februar. Betydelig nok er dette den samme NDA-gruppen som alle de nåværende tjenestesjefene tilhører. Avsenderen av denne phishing-e-posten forsøkte å lokke de målrettede offiserene til å klikke på en påstått invitasjon til en middag, noe som ville føre til et sett med skadelig programvare.
I et annet slikt cyberangrep som virket mer sofistikert, var en e-post som brukte kompromitterte myndighetskontoer målrettet mot grupper av tjenestemenn, som forsøkte å lokke dem til å dele passordene sine på en side som speilet regjeringens offisielle e-postserver-påloggingsnettsted – et angrep som kunne la angripere får tilgang til sensitiv legitimasjon og filer. Angrepet fikk IT-avdelingen til å sende ut et nytt varsel dagen etter til store grupper av tjenestemenn.
I kjølvannet av en rekke målrettede phishing-angrep på tjenestemenn via kompromitterte domenekontoer fra myndighetene, sa NIC at det var planlegger å innføre sikkerhetstiltak, inkludert multifaktorautentisering for minst 3 lakh tjenestemenn.
Kilder i NIC sa at de mistenkte at flere slike offentlige e-postadresser ble solgt på “Dark Web”.
En høytstående tjenestemann i IT-departementet utelukket ikke muligheten for at “nasjonsstater” er involvert i slike målrettede forsøk. Ifølge tjenestemannen oppdaget en første intern etterforskning etter bruddet rollen til «spesifikke land» med kapasitet til å utføre slike angrep.
«Når slike forsøk skjer, kan det ikke gjøres av en individuell aktør, siden det tar mye tid og krefter. Våre undersøkelser på dette tidspunktet er ikke fullførte ennå,” sa tjenestemannen og ba om anonymitet.
Detaljerte spørreskjemaer sendt til NIC og MeitY for å søke detaljer om disse phishing-angrepene på sentrale tjenestemenn gjennom kompromitterte myndighetsdomene-IDer, deres omfang og skader forårsaket av dem har ikke gitt noen respons så langt. NIC og MeitY svarte heller ikke på spesifikke forespørsler om hvorvidt de var klar over slike phishing-forsøk.
“I vanlige phishing-e-poster sendes vanligvis e-poster uten agenda, mens i ‘Spear Phishing’, som kan være tilfelle her, er e-postene mer kontekstuelle der brukeren er interessert og nysgjerrig på å klikke. Enten e-postene sendes gjennom spoofing-servere for å gjenspeile domenenavnet til statlige IDer eller ikke, er det faktisk veldig lite en organisasjon eller mottakerparten kan gjøre hvis det skjer fra utenfor serverne. Det finnes teknologier og programvare som f.eks. antispam etc, som kan bidra til å dempe angrepet, men det beste du kan gjøre er å sørge for at brukerne er fullstendig klar over og unngå å åpne e-postene,” sa Pankit Desai, administrerende direktør og medgründer av cybersikkerhetsfirmaet Sequretek.
Som en del av planen for å spore og kontrollere disse phishing-forsøkene, sa IT-departementets tjenestemann, at NIC hadde tatt tilbake sine administrative kontroller fra nesten alle teamene engasjerte seg i forskjellige departementer. Eventuelle godkjenninger for opprettelse av nye e-post-IDer eller endringer på serveren gjøres derfor nå kun ved “hovedkvarteret”, sa tjenestemannen.
Tidligere denne måneden hadde statsminister for IT Rajeev Chandrasekhar, i et skriftlig svar på et spørsmål i Rajya Sabha, sagt at Indian Computer Emergency Response Team (Cert-In) observerte og rapporterte totalt 11,5 lakh og 12,1 lakh cybersikkerhet hendelser i løpet av henholdsvis 2020 og 2021 (frem til oktober). Av disse involverte henholdsvis 54 314 og 32 736 hendelser ulike offentlige organisasjoner i løpet av disse to årene.
For å motvirke det har senteret også formulert en “Cyber Crisis Management Plan”, sa ministeren da til Overhuset, og la til at i tilfelle en cybersikkerhetsrelatert hendelse, blir planen brukt til å “bekjempe cyberangrep og cyberterrorisme for implementering av alle departementer/avdelinger for sentralregjeringen, statlige myndigheter og deres organisasjoner og kritiske sektorer.”
Tidligere denne måneden ble statsminister Modis Twitter-konto også “kompromittert” kort. Mens det sosiale mediefirmaet sa i henhold til etterforskningen, var kontoen ikke kompromittert på grunn av brudd på Twitters systemer, men Cert-In, det nasjonale nodalbyrået for overvåking av cybersikkerhetshendelser og trusler, sa at det vil kontakte Twitter og Google som en del av sin “fullskala etterforskning” av hackingen av statsministerens Twitter-konto.
- Indian Express-nettstedet har blitt vurdert GREEN for sin troverdighet og pålitelighet av Newsguard, en global tjeneste som vurderer nyhetskilder for deres journalistiske standarder.
