L’unità Intelligence Fusion and Strategic Operations (IFSO) della polizia di Delhi ha scritto al Central Bureau of Investigation (CBI) per ottenere dall’Interpol dettagli sugli indirizzi IP degli ID di posta elettronica provenienti dalla Cina e da Hong Kong in relazione alla sua indagine sul caso dell’attacco al server dell’All India Institute of Medical Sciences di Delhi. Il CBI è l’agenzia nodale dell’India per le questioni relative all’Interpol.
Secondo le fonti, l’indagine sull’attacco informatico ad alcuni server dell’AIIMS (All India Institute of Medical Sciences) nella capitale nazionale ha rilevato che gli indirizzi IP di due e-mail, identificati dalle intestazioni dei file criptati dagli hacker, provenivano da Hong Kong e dalla provincia cinese di Henan. La polizia di Delhi ha chiesto informazioni sull’indirizzo IP utilizzato dagli hacker. “Per contattare l’Interpol dobbiamo scrivere al CBI. Abbiamo bisogno di informazioni dall’Interpol per il caso. Il CBI è l’agenzia nodale per contattarli. Gli hacker hanno inviato le mail utilizzando alcuni indirizzi IP, abbiamo bisogno di dettagli su questi indirizzi IP. Vogliamo sapere se questi indirizzi IP sono stati utilizzati da qualche azienda o individuo”, hanno detto fonti della polizia di Delhi.
Le fonti hanno detto che i mittenti hanno utilizzato il servizio di posta elettronica Protonmail. Il CERT-In, la principale agenzia di sicurezza informatica del Paese, ha scoperto che gli hacker avevano due indirizzi Protonmail: “dog2398” e “mouse63209”. Le fonti hanno detto che durante l’indagine, i file criptati sono stati inviati a questi due ID Protonmail attraverso CERT-In e Interpol. Dopo le indagini, hanno scoperto che “dog2398” e “mouse63209″ sono stati generati nella prima settimana di novembre a Hong Kong. Hanno anche scoperto che un altro file crittografato è stato inviato dalla Cina Henan. Ma per ora sono riusciti a stabilire il primo livello e stanno cercando di scoprire altri livelli”, hanno detto le fonti. Le fonti hanno anche detto che i server presi di mira sono stati infettati da tre ransomware: Wammacry, Mimikatz e Trojan.
Secondo l’analisi dell’organismo di vigilanza sulla sicurezza informatica CERT-In e di altre parti interessate, citata dal ministro dell’Unione Rajeev Chandrasekhar nella sua risposta scritta al Rajya Sabha, cinque server dell’AIIMS sono stati colpiti dall’attacco informatico che ha portato alla crittografia di circa 1,3 terabyte di dati. “Il CERT-In e altri enti interessati hanno consigliato le misure correttive necessarie. In base all’attuale analisi delle parti interessate, sono stati colpiti 5 server dell’AIIMS e sono stati criptati circa 1,3 terabyte di dati”, ha dichiarato il Ministro.
