Oι χάκερ διατήρησαν πρόσβαση στο δίκτυο του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας και Ερευνας για πέντε ημέρες. Σύμφωνα με Ελληνα αξιωματούχο, ο οποίος είχε εμπλακεί στην υπόθεση, οι επιθέσεις έγιναν διαδοχικά σε κάθε έναν από τους τέσσερις ελληνικούς στόχους.

Το Μέγαρο Μαξίμου, το υπουργείο Εξωτερικών, η ΕΥΠ και η Ελληνική Αστυνομία ήταν οι στόχοι της διεθνούς εκστρατείας κυβερνοκατασκοπείας με την κωδική ονομασία «Θαλάσσια χελώνα» (Sea Turtle) τον Απρίλιο του 2019. Σύμφωνα με διασταυρωμένες πληροφορίες της «Κ», οι άγνωστοι δράστες κατάφεραν να αποκτήσουν πρόσβαση στα εσωτερικά δίκτυα των κρατικών υπηρεσιών που περιέχουν την ηλεκτρονική τους αλληλογραφία.

Η επίθεση έγινε αντιληπτή αρχικά από στελέχη της ομάδας κυβερνοασφάλειας του πρωθυπουργικού γραφείου, τα οποία διαπίστωσαν ασυνήθιστη δυσλειτουργία στη χρήση των emails. Ειδοποίησαν άμεσα την Εθνική Αρχή Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (CERT) της ΕΥΠ και τη Δίωξη Ηλεκτρονικού Εγκλήματος. Κλιμάκιο των δύο υπηρεσιών και τεχνικοί του Μαξίμου μετέβησαν αυθημερόν από την Αθήνα στο Ηράκλειο, όπου βρίσκονται οι εγκαταστάσεις του Ινστιτούτου Πληροφορικής του Ιδρύματος Τεχνολογίας και Ερευνας (ΙΤΕ-ΙΠ). Αξιωματούχος με γνώση των γεγονότων της εποχής εκείνης, ο οποίος μίλησε στην «Κ» υπό τον όρο της ανωνυμίας, λέει ότι από την πρώτη στιγμή οι υποψίες τους στράφηκαν προς την Κρήτη. Εκτιμούσαν ότι η δυσλειτουργία οφειλόταν σε κυβερνοεπίθεση κατά του μητρώου ονομάτων Ιντερνετ με κατάληξη .gr και .ελ, την τεχνική υποστήριξη του οποίου έχει το ΙΤΕ.

Από την αυτοψία που πραγματοποίησαν, επιβεβαιώθηκαν οι φόβοι τους ότι βρισκόταν σε εξέλιξη ηλεκτρονική επίθεση τύπου «DNS hijacking». Δεύτερος αξιωματούχος με άμεση εμπλοκή στα γεγονότα, ο οποίος επίσης ζήτησε να μη δημοσιοποιηθούν τα στοιχεία του, είπε στην «Κ» ότι μέσω του ΙΤΕ οι δράστες μπήκαν στους servers των τεσσάρων κρίσιμων κρατικών φορέων και υπηρεσιών. Οπως εξήγησε ο ίδιος, οι επιτιθέμενοι, στέλνοντας ένα παραπλανητικό μήνυμα, απέκτησαν αρχικά πρόσβαση στον υπολογιστή ενός υπαλλήλου του ΙΤΕ και ακολούθως στο μητρώο ονομάτων Ιντερνετ. Επειτα κατάφεραν να εισέλθουν σε servers που διαχειρίζονταν την ηλεκτρονική αλληλογραφία με καταλήξεις @primeminister.gr, @mfa.gr, @nis.gr, @astynomia.gr. Υπάρχουν φόβοι ότι μέσω αυτής της διείσδυσης οι δράστες διάβασαν ή αντέγραψαν τα μηνύματα που είχαν ανταλλάξει οι υπάλληλοι των τεσσάρων κρατικών φορέων. Ελληνες διπλωμάτες και αξιωματικοί της αστυνομίας, που ρωτήθηκαν σχετικά, διευκρίνισαν στην «Κ» ότι μέσω των συγκεκριμένων emails δεν διακινούνται απόρρητες πληροφορίες.

Εσβησαν τα ίχνη τους

Συνήθως, σε άλλα περιστατικά ηλεκτρονικών επιθέσεων, είτε υπάρχει ανάληψη ευθύνης είτε οι δράστες γνωστοποιούν την παρουσία τους. Σε αυτή την περίπτωση, όμως, όσοι βρίσκονταν πίσω από τις ενέργειες κατά των ελληνικών στόχων επιχείρησαν να σβήσουν τα ίχνη τους. Αυτός είναι και ο λόγος που όσοι ενεπλάκησαν στη σχετική έρευνα αποδίδουν το περιστατικό σε δράση κυβερνοκατασκόπων.

Το ΙΤΕ είχε επιβεβαιώσει σε παλαιότερο δημοσίευμα της «Κ» («Η άγνωστη επίθεση χάκερ τον Απρίλιο του 2019», 29/1/2020) ότι είχε δεχθεί ηλεκτρονική επίθεση. Σε ανακοίνωση που είχε στείλει το 2019 σε διαχειριστές ιστοσελίδων με τις καταλήξεις .gr και .ελ, ανέφερε: «Η επίθεση αυτή είναι τμήμα μιας γενικότερης προσπάθειας, σε διεθνές επίπεδο, να επηρεαστεί αρνητικά η λειτουργία των μητρώων ονομάτων του Διαδικτύου. Από τη διερεύνηση του περιστατικού δεν προέκυψαν στοιχεία για διαρροή δεδομένων προσωπικού χαρακτήρα». Σε νεότερη επικοινωνία, στελέχη του ΙΤΕ δεν έδωσαν περισσότερες διευκρινίσεις για το θέμα χαρακτηρίζοντάς το ευαίσθητο και εμπιστευτικό.

Στο πλαίσιο της έρευνας, λήφθηκαν τα αρχεία καταγραφής ενεργειών (log files) των πληροφοριακών συστημάτων του ΙΤΕ και έγιναν προσπάθειες για τον εντοπισμό των δραστών. Κάποια ίχνη παρέπεμπαν σε Ολλανδία και Ιράν, χωρίς ωστόσο αυτό να σημαίνει ότι εκεί είχαν τη βάση τους οι επιτιθέμενοι. Μέχρι και σήμερα η ταυτότητά τους δεν είναι γνωστή. Σύμφωνα με πληροφορίες της «Κ», σχηματίστηκε δικογραφία κατ’ αγνώστων από την αστυνομία για παραβίαση υπολογιστικών συστημάτων, η οποία υπεβλήθη στην Εισαγγελία.

Οι επιθέσεις κατά των ελληνικών κρατικών ιστοσελίδων εντάχθηκαν από τους ειδικούς ασφαλείας δικτύων της αμερικανικής εταιρείας Cisco Talos στο δεύτερο κύμα της διεθνούς εκστρατείας κυβερνοκατασκοπείας με την ονομασία «Θαλάσσια χελώνα». Το πρώτο κύμα αυτών των επιθέσεων είχε καταγραφεί στα τέλη του 2018 και στις αρχές του 2019 με στόχους κυρίως στη Μέση Ανατολή και στη Βόρεια Αφρική. Οι επιτιθέμενοι στρέφονταν αρχικά εναντίον κρατικών μυστικών υπηρεσιών, υπουργείων Εξωτερικών και εταιρειών από τον κλάδο της ενέργειας. Τα πρώτα κρούσματα εντοπίστηκαν μεταξύ άλλων σε Συρία, Ιράκ, Ιορδανία, Λιβύη, Τουρκία και Αίγυπτο.

Η «Θαλάσσια χελώνα» και οι προειδοποιήσεις

Σε έκθεσή τους για την εκστρατεία «Θαλάσσια χελώνα», ειδικοί ασφαλείας της αμερικανικής εταιρείας Cisco αναφέρουν ότι τρεις ελληνικές κυβερνητικές ιστοσελίδες με την κατάληξη .gr (τις οποίες δεν κατονομάζουν) δέχθηκαν επιθέσεις τον Απρίλιο του 2019. Οπως διαπίστωσαν οι ίδιοι, οι δράστες κατοχύρωσαν στις 5/4/2019 το domain rootdnserves.com, το οποίο χρησιμοποίησαν αργότερα για τις κακόβουλες ενέργειές τους.

Το ΙΤΕ ενημέρωσε με την ανακοίνωσή του τους διαχειριστές ιστοσελίδων για την ηλεκτρονική επίθεση στο ελληνικό μητρώο ονομάτων στις 19/4. Ωστόσο οι ερευνητές της Cisco εντόπισαν ότι οι χάκερ διατήρησαν πρόσβαση στο δίκτυο του ΙΤΕ-ΙΠ για πέντε ημέρες, τουλάχιστον μέχρι τις 24/4/2019. Σύμφωνα με Ελληνα αξιωματούχο, ο οποίος είχε εμπλακεί στην υπόθεση, οι επιθέσεις έγιναν διαδοχικά σε κάθε έναν από τους τέσσερις ελληνικούς στόχους.

Η ομάδα της Cisco διαπίστωσε ότι στον δεύτερο γύρο των ενεργειών τους οι άγνωστοι δράστες χρησιμοποίησαν μια νέα τεχνική «DNS hijacking». Τουλάχιστον 40 διαφορετικοί οργανισμοί σε 13 χώρες είχαν πληγεί από παρόμοιες κυβερνοεπιθέσεις στο πρώτο κύμα της «Θαλάσσιας χελώνας», όπως ανέφεραν στην έκθεσή τους οι ειδικοί της Cisco.

Συναγερμός

Το μέγεθος της απειλής είχε προβληματίσει τις αρχές ασφαλείας διεθνώς. Στις 22 Ιανουαρίου 2019 το υπουργείο Εσωτερικών των ΗΠΑ εξέδωσε σχετική προειδοποίηση για τον κίνδυνο αυτών των επιθέσεων. Αντίστοιχη ανακοίνωση έβγαλε τρεις ημέρες αργότερα το Εθνικό Κέντρο Κυβερνοασφάλειας της Βρετανίας.