Studium przypadku // Bezpieczeństwo instytucji rządowych
Trzyfazowa pasywna analiza OSINT skierowana przeciwko cyfrowej infrastrukturze rządu europejskiego wykazała tysiące skompromitowanych poświadczeń, krytyczne ujawnienia systemowe oraz aktywną i trwającą kampanię skierowaną przeciwko organom ścigania i agencjom federalnym.
Comprehensive passive OSINT investigation across 13 domen agencji rządowych w jednym z krajów Europy odnalazła systemowe błędy bezpieczeństwa obejmujące wycieki poświadczeń, nieprawidłowe konfiguracje infrastruktury oraz decyzje dotyczące hostingu, które naruszają najlepsze praktyki bezpieczeństwa. Badanie wykryło 3300+ skompromitowanych kont z poświadczeniami aktywnie handlowanymi w logach dark weba, 69 pracowników rządu z potwierdzonymi infekcjami infostealer oraz 27 znalezisk o krytycznym do wysokiego poziomie skali, w tym wykryte poświadczenia narzędzi forensycznych i punkty końcowe systemów wymiaru sprawiedliwości.
Badania miały na celu ocenę zewnątrz postawy bezpieczeństwa infrastruktury cyfrowej rządowej wykorzystując wyłącznie pasywną rekonwescję. Zakres obejmował federacyjne służby egzekucji prawa, usługi imigracyjne, portale systemu sądowniczego, celnictwo, policję stanową i federalną – wszystkie analizowane bez jakichkolwiek interakcji z systemami docelowymi.
Faza 1: Analiza naruszenia poświadczeń. Skrzyżowanie domen rządowych z publicznie dostępnymi bazami danych o naruszeniach wykryło skalię kompromitacji poświadczeń we wszystkich 13 domenach. Analiza siły haseł odzyskanych poświadczeń wykazała systematyczne słabości — ponad 74% zostało sklasyfikowanych jako słabe, z typowymi wzorcami obejmującymi wyrazy sezonowe połączone z latami. 42% kompromitowanych maszyn pracowników nie miało ochrony antywirusowej.
Faza 2: Rekonwalescencja infrastruktury. Analiza DNS, badanie certyfikatów i odcisków palców usług mapowały pełną infrastrukturę zewnętrzną — ujawniając decyzje o hostingu, które umieściły krytyczne systemy rządowe na komercyjnych platformach hostingowych wspólnych z losowymi klientami prywatnymi bez żadnej izolacji sieciowej.
Faza 3: Głęboka rekonwalescencja. Wyliczanie poddomen odnalazło 336 unikalnych poddomen we wszystkich celach, z 208 rozpoznawanych jako aktywne adresy IP. Wykrywanie WAF ujawniło odwrócony model bezpieczeństwa — publiczne strony marketingowe były chronione, podczas gdy operacyjne systemy krytyczne nie miały żadnego zapory aplikacji internetowych. Zbiór historycznych adresów URL zebrany w archiwach obejmował 104 000+ zapisanych adresów URL, z 8 500+ odpowiadających wrażliwym wzorcem.
| Znalezienie | Poważność | Wpływ |
|---|---|---|
| 3 300+ zaatakowanych kont na 13 domenach rządowych z poświadczeniami w aktywnych dziennikach kradzieży danych | KRZYTYCZNE | Ryzyko przejęcia kont w systemach federalnych |
| Poświadczenia narzędzi do analizy forenzyki (platformy do odblokowania telefonów/ekstrakcji danych) znaleziono w dziennikach kradzieży danych — 50 wystąpień poświadczeń | KRZYTYCZNE | Nieautoryzowany dostęp do narzędzi analizy forenzyki i dowodów w sprawach |
| Platforma inteligencji zagrożeń hostowana na infrastrukturze komercyjnej bez izolacji sieciowej | WYSOKI | Platforma udostępniania inteligencji zagrożeń rządu eksponowana na współdzielonym hostingu |
| System uwierzytelniania podsłuchów przez organy ścigania publicznie rozpoznawalny przez DNS | KRZYTYCZNE | Punkt końcowy infrastruktury legalnego podsłuchu odkrywalny |
| Rekordy więźniów z 6 regionów działające na współdzielonej platformie kontenerów | WYSOKI | Ucieczka z kontenera może ujawnić dane więźniów z wielu regionów |
| Trzy kluczowe usługi policji federalnej (poczta, konfiguracja, poczta sieciowa) na współdzielonym hostingu komercyjnym | WYSOKI | Poczta policji federalnej na tym samym serwerze co losowi klienci prywatni |
| 7 różnych rodzin infostealerów atakujących aktywnie pracowników rządu | WYSOKI | Złożona, wielowektorowa kampania zbierania poświadczeń |
| Odwrócone wdrożenie WAF — strony marketingowe chronione, systemy operacyjne nieschronione | WYSOKI | Krytyczne systemy mają mniej ochrony niż strony publiczne |
Wykrywanie infrastruktury zidentyfikowało 14 różnych środowisk hostingu u 6 różnych dostawców – od oficjalnych centr danych rządowych po komercyjny hosting współdzielony. Kluczowe systemy rządowe znajdowały się na co najmniej 3 komercyjnych dostawcach hostingu, gdzie sąsiednie adresy IP obsługiwały losowe prywatne firmy, tworząc środowiska z zerową izolacją dla operacji wrażliwych.
Analiza DNS ujawniła kompletną strukturę organizacyjną poprzez wzorce nazewnictwa subdomen – nazwy oddziałów, identyfikatory zespołów, kryptonimy projektów oraz topologię środowiska (produkcja, staging, test, szkolenie). Wzorce dostępu międzyagencji wykazały wspólne infrastruktury bezpieczeństwa obejmujące wiele agencji federalnych za pośrednictwem jednej platformy.
Pełne wyniki zostały zebrane w uporządkowany raport wywiadu odpowiedni do odpowiedzialnego ujawnienia dotkniętym agencjom. Raport zawierał konkretne priorytety naprawcze, rekomendacje dotyczące migracji hostingu, ocenę pilności rotacji poświadczeń oraz pełną inwentaryzację dowodów z 155+ plików uporządkowanych według fazy śledztwa.
Wszystkie wyniki zostały uzyskane za pomocą wyłącznie pasywnych technik OSINT: analiza bazy danych wycieków poświadczeń (źródła publiczne), przeglądanie rekordów DNS, analiza logów przejrzystości certyfikatów, odkrywanie subdomen, zbieranie historycznych URL z archiwów internetowych, wskazówka odcisków palców WAF oraz identyfikacja usług. Żadne systemy nie zostały zaakcesowane, żadne wady nie zostały wykorzystane, a skanowanie aktywne nie zostało przeprowadzone na działającej infrastrukturze rządowej.
Agencje rządowe, przedsiębiorstwa oraz organizacje wszelkich rozmiarów korzysztają z zrozumienia swojej zewnętrznej powierzchni ataku zanim przeciwnicy zmapują to.