0
Հաշվիպատվական ծառայության DMARC գրառումներ
7 տարե
Միլիտարական Zimbra անպաշտպանված
80%
Հնարավորություն նախագահական սփյուռքի համար
3
Հայտնաբերված RCE CVE-ներ mil.am-ում
Armenia's Tax Service has zero email authentication -- anyone can send emails as @taxservice.am. The military runs 7-year-old unpatched Zimbra with known remote code execution vulnerabilities. The Central Bank's anti-money-laundering unit employee names are exposed online. This is the state of government email in 2026. · IPFS mirror
Հաստատված -- DNS հարցում
Հայաստանի Փոխադրամատյան Կոմիտե -- taxservice.am -- այդ աշխատանքային հանրագիտարանը, որը պատասխանատու է ողջ երկրում գումարած հարկերի հավաքումը, ունի ոչ մի DMARC տուփ։
DMARC (Դոմենային հաղորդագրության ավտենտիկացում, Ռեկորդավորում և Համընկալում) ստանդարտ է, որը արգելում է հակասներին ուղարկել էլեկտրոնային նամակներ, որոնք թվում են գալիս ձեր դոմենից։ Չունելով այն, ինտերնետում ցանկացած մեկը կարող է ուղարկել նամակ, որը ասում է, որ այն գալիս է @taxservice.am -- և իմ փոստային համակարգերը այն ընդունեն առանց որևէր հարցումներ։
Միայնակ DMARC-ի առկայության ձեռն taxservice.am, հակաս կարող է ուղարկել նամակ ցանկացած հայ քաղաքացի կամ բիզնեսին, որը ասում է. «Դուք պարտադիր եք արժել 500,000 AMD անվերջացված հարկերով. Ամենատարածված արժեքով դարձնել, որպեսզի ձախողանք ընդունելը սափել եք։» Նամակը ցույց կտա from: notifications@taxservice.am և կա ոչ մի տեխնիկական մեխանիզմ այն ստուգել որպես կեղծ։
Այս թեորետիկ ռիսկ չէ։ Վերապատումային ինստիտուտների նմանատիպումը ամենամեծ և արժեքավոր հարցնետումներից է աշխարհում։ Հայաստանի Վերապատումային ծառայությունը պարզապես թողել է առաջին դռնակը բաց կա։
Հարցը գերազանցում է հարցնետումները։ Վերապատումային տարի, կեղծ էլեկտրոնային նամակներ կարող են ուղարկել բիզնեսներին կեղծ վճարումային պորտալներին։ Վերապատումների ժամանակ, նախագիծված "հանրային" հասցեներ կարող են մարտնել վճարողներին։ Ընտրությունների ժամանակ, կեղծ վերապատումային տեղեկատվություններ կարող են օգտագործվել քաղաքական նվիրատերերի մարհամարման կամ սարսափելիության համար։
Հաստատված -- DNS Որոնում
Հայաստանի Նախագահի Պարտավորությունը -- president.am -- տեխնիկապես ունի DMARC տուփ: pct=20, ինչը նշանակում է, որ միայն 20% երկխոսության նամակները իրականում ստուգվում են քաղաքականությունը դեմ:
pct պարամետրը նախատեսված է մասնակի ստուգման համար -- որգանիզացիաներ այն սահմանում են 20%-ով ժամանակավորապես փորձելու համար, հետո վերականգնում են այն 100%-ով: Բայց president.am երևում է 20%-ով և երբեք չի ավարտել վերականգնումը: Փաստաթղթը. Չորսից յուրից նախագահական պարոդի նամակները, որոնք պարտադիր են գալիս Հայաստանի Նախագահի գրասենյակից, կանցեն DMARC-ը ամբողջովին:
Հարմարձակալ -- Հայտնի օգտագործումներ
Հայաստանի արտաշերժության նախարարության էլեկտրոնային փոստային համակարգը -- mail.mil.am -- գործում է Zimbra Collaboration Suite-ով, կառուցվածքային նշանով v=190819071639. այդ կառուցվածքը: Փետրվարի 19, 2019-ը.
ֆիզիկայական էլեկտրոնային փոստային սերվերը 7 տարիների ընթացքում չի թարմացվել.
CVE-2022-27925 -- Ֆերային կոդ իրականացում (RCE). Թույլ է տալիս հարցնատակի կողմից սերվերում արտաքին կոդ իրականացնել դիրեկտորիայի անցման միջոցով mboximport ֆունկցիոնալության մեջ. CVSS: 7.2.
CVE-2022-37042 -- Նույնականացման բացասխատում. Կարող է լինել կապակցված CVE-2022-27925-ի հետ, որպեսզի հասնել նույնականացված RCE-ին. Այս կապակցությունը ակտիվորեն է օգտագործվել է աշխարհում կառավարության տարգետների ներկայում. CVSS: 9.8.
CVE-2023-37580 -- Ուղիղված կոդով իրականացում (XSS). Վերահասցված XSS Zimbra Classic Վեբ Կլաենտում, որը օգտագործվել է նպատակով արձակելով կառավարությունների հարցնատակություններում. Google TAG տեղեկացրել է իր ակտիվ օգտագործումը.
Սերվերը հեռապատկերված է դարձնված IP 5.63.161.236 -- ոչ կառավարության ենթակառուցվածքում. Հայաստանի ֆիզիկայական էլեկտրոնային փոստը գործում է 7 տարեկան պլատֆորմայի վրա, առնվազն երեք հայտնի կարևոր թերություններով, որից մեկը թույլ է տալիս լրիվ ֆերային վերահսկողությունը սերվերում, որը հեռապատկերված է նախարարությանը ուղիղորեն վերահսկելով ոչունեցող ենթակառուցվածքում.
CVE-2022-37042-ը համապատասխանաբար CVE-2022-27925-ի հետ տալիս հարցնատակին նույնականացված ֆերային կոդ իրականացում ֆիզիկայական էլեկտրոնային փոստային սերվերում. Սա նշանակում է. բոլոր ֆիզիկայական էլեկտրոն
Հաստատված -- Վայբեյ Մաշին
Հայաստանի կենտրոնական բանկի mail.cba.am տարբերակը աշխատում էր Lotus Notes/Domino-ով -- հերթական էլեկտրոնային փոստային համակարգ, որը IBM տարիներ առաջ դադարեց զարգացնել։ Վայբեյ Մաշինը կեշավորել է դիրեկտորիա ճանապարհեր, որոնց միջոցով տեսնում ենք Ֆինանսական Ինտելեկտային Ունիթետում (FIU) աշխատողների իրական սուրնամերը։
/mail/silanyan_fiu.nsf -- բացակայում է սուրնամե "Silanyan", որը աշխատում է FIU-ում/mail/susmelikyan.nsf -- բացակայում է սուրնամե "Melikyan" (կամ "Susmelikyan")FIU-ն է Հայաստանի դրույթային գումարումը կրկնելու միավորը -- այդ ընկերությունը հետաքննում է ֆինանսական հանցագործությունները, թերորդային ֆինանսավորումը և սանկցիաների խափանումը։ Այս աշխատողների անունները ինտերնետում բացատրելը ստեղծում է նպատակահարմար հարցեր։ Այժմ ո՞վ էլեկտրոնային ֆինանսական հարցեր հետաքննում է, հայտնի է, թե որոնց հետ է պետք կատարել փշշաձևում, սոցիալական ինժեներինգով կամ ավելի վատ կերպով։
Ֆինանսական Ինտելեկտային Ունիթետի աշխատողները տվյալներ են տանում գաղտնի տեղակայված գումարումը կրկնելու հետաքննությունների մասին։ Նրանց ինքնությունը պետք է պաշտպանվի։ Նրանց անունները Վայբեյ Մաշինում ինդեքսավորելը արտաքին էր, որովհետև այն ներառում է էկ սպասարկում տարրերը, որոնք բացակայում են Lotus Notes տվյալների բազաներից, սպասարկում է ներդրում փշշաձևում տարրերով, սոցիալական ինժեներինգով, որտեղ իմանալու ենք նրանց դերերը, ֆիզիկական հսկողություն կամ սարսափելիքը նրանց, ովքեր ֆինանսական հանցագործություններ հետաքննում են, և արտաքին հետախուզությունների ծառայությունները ձևավորում են Հայաստանի դրույթային գումարումը կրկնելու աշխատողների քարտեզը։
Հաստատված -- Wayback Պահոց
Կենտրոնական Բանկի Jira նախագահական կարգաբերում համակարգը -- jira.cba.am -- գտնվել է IP 5.39.205.116, OVH սերվերում, որը տեղակայված է Ֆրանսիայում։ Դա գործում է Jira տարբերակը 9.4.9, կառուցվածք 940009, ստեղծման ամսաթիվով սեպտեմբերի 2023:
Պահված մետադատարկումները ցույց տալիս են ընդհարմար նշանակում:
com.atlassian.jira.leaked.all.anonymous.access: true
Այս նշանակումը ցույց է տալիս, որ անանուն օգտատերերը -- ինտերնետում ոչ ոք առանց քննարկությամբ -- կարող էին դիտել Կենտրոնական Բանկի նախագահական կարգաբերման համակարգը: Նաև ներսնեhalbankային IP հասցեը թողնվել է պատասխանատեր գլխագրերում: 192.168.93.214, որը գաղափարվում է Citrix NetScaler գատեից:
Այս հայտարարությունը մանրամասն է ընդհատված OWL-ի առանձին հետաքննությանում: Հաստատված է Հայաստանի Կենտրոնական Բանկը: Ներսնեhalbankային ցանց, նախագահական հետևորդական տեղեկատու և անանուն հայտարարություն.
OWL-ը հարցրեց Օւմբրեյ արմենական կառավարության ամենաքարտերձական դոմենների DMARC, SPF և DKIM տուեյնները։ Փաստաթղթերը հստակ պատկեր է նկարում ինստիտուցիոնալ հոգևորությանը․
| Դոմեն | DMARC | Հրաման | Նշումներ | Դասը |
|---|---|---|---|---|
| cba.am | Այո | reject, pct=100 | Լրիվ իրականացում, լավագույն կառավարության մեջ | A- |
| mfa.am | Այո | reject | sp=none ենթադոմենների համար -- լարում է սպոֆինգի համար sub.mfa.am | B |
| gov.am | Այո | quarantine | Չը արձակվում -- սպոֆինգով ստեղծված փոստը սպամում է հասնում, չարձակվում | B- |
| president.am | Այո | reject, pct=20 | 80% սպոֆինգով ստեղծված էլփոստը լրիվ անտեսելի է ստուգումներից | C |
| taxservice.am | Ոչ | -- | Գրանցում չկա -- սպոֆինգը հնարավոր է լրիվ արագ | F |
| court.am | Սխալված SPF | -- | SPF-ը սխալ արտահանված է, DMARC չկա, անցկացված է ընկերային ISP (Ucom) սերվերի վրա | F |
Միայն մեկ արմենական կառավարության դոմենը -- Կենտրոնական Բանկ -- ունի ճիշտ էլեկտրոնային փոստի գրանցում։ Տարածաշրջանի հարկային աուտորիտետը և փաստաթղթերը դրան չունեն։ ՀԿ-ի գրասենյակը ունի միայն 20% արտոնագիրությամբ։ Խարաբերությունների նախարարությունը թողնում է ենթադոմենները անպաշտպանված։
Պատկերացում վերլուծում
OWL-ը անակտիվ հայցումը հայտնաբերեց հետևյալ ցանցատարածքերը, որոնց մեջ հոստավորված է հայ կառավարության անթակառուցվածքը:
| Ցանցատարածք | Օգտագործում | Նշումներ |
|---|---|---|
91.221.228-229.x |
Հիմնական gov.am անթակառուցվածք | Հիմնական կառավարության ցանցատարածքը |
212.73.73-76.x |
Երկրորդական կառավարական ծառայություններ | Տարբեր պետական ընկերություններ |
83.139.22.x |
ԱԱԾ + ՆԱԿ | Ազգային անվտանգության ծառայություն և արտաքին նախարարություն |
5.63.161.236 |
Վարչական էլփոստ (mail.mil.am) | Արտաքին հոսպիտալիზაցիա -- չի վերահսկվում կառավարության կողմից |
5.39.205.116 |
Կենտրոնական բանկի Jira | OVH Ֆրանսիա -- չի վերահսկվում կառավարության կողմից |
Այս էլեկտրոնային փոստի և ենթակառուցվածքի ձախողումները չկան առանձին արված: OWL-ը նախկինում փաստաթղթավորել է Հայաստանի կիբեր կատաստրոֆայի լրիվ տեսակավորությունը: 351+ ներքին հաշվի տակ գալուստը բոլոր պետական ընկերություններում, 100% թույլատրելի գաղտնի կոդերը ԱԱԾ և Ազգային ժողովում, ռուսական պետական գործակալները ընտրությունների նպատակով, Predator լրտեսածրագիրը պարլամենտային համակարգերում և 8 միլիոն պետական տեղեկամատյան 2,500 դոլարով:
Ստուգեք, թե ինչ ունի ինձնակալը գործելու համար: 351+ գողատված ստուգերից ստացված քաղաքական տվյալներ: տերարանային էլեկտրոնային փոստային սերվերը, որը հայտնի է անավտորացված RCE-ով: հարկային ծառայություն, որը կարող է սարսափել առանց երկուշաբթի աշխատանքներից: նախագահի գրասենյակ, որտեղ 80% արձակված էլեկտրոնային փոստերն են անցնում: FIU-ի նախագահական սերնդիկներ նպատակային սարսափելի սարսափելի ֆիշինգի համար: Կենտրոնական Բանկի Jira անանուն աշխատանքային IP-ն տեղակայված:
Այս խմբերը չեն առանձին խնդիրներ: դրանք նույն համակարգային ձախողման տարրեր են: ինձնակալը չպետք է ընտրել մեկ տարրը — նա կարող է դրանք կապել: ուղարկեք արձակված @taxservice.am էլեկտրոնային փոստը, որը պարունակում է հղումը: հղումը արտացոլում է չհամապատասխանող Zimbra-ն mil.am-ում: ձախողված տերարանային էլեկտրոնային փոստը հետո օգտագործվում է գործողությամբ ներկայացված հաղորդագրություններ ուղարկելու համար CBA աշխատակիցներին, ովքերը գտնվել են դուրս գտելով տեղակայված Lotus Notes ուղեր:
Այս հետաքննության յուրաքանչյուր գտնումը կարող է անկախ արտահանել ժողովային գործիքներով։ Հաքումը չի պետք։ Սպասարկման հատկանիշներ չեն պարտադիր։
Հարկային Ձևափոխադրանքի DMARC (գորտված):
dig TXT _dmarc.taxservice.am -- չի վերադարձնում ոչինչ։ DMARC տարրը գոյություն չունի։
Հարցակալ DMARC (pct=20):
dig TXT _dmarc.president.am -- ցույց է տալիս v=DMARC1; p=reject; pct=20
Մilitia Zimbra տարբերակը:
Համարեք web.archive.org տարածված էջերը mail.mil.am համար -- Zimbra մուտք գործելու էջը պարունակում է v=190819071639 իրենց հիմնական կոդում։
CBA FIU աշխատակիցների անունները:
Համարեք web.archive.org տարածված ուղերը mail.cba.am համար -- Lotus Notes .nsf տվյալների բազմաթղթերի ուղերը պարունակում են աշխատակիցների անունները։
CBA Jira անանուն աշխատում:
Համարեք web.archive.org տարածված էջերը jira.cba.am համար -- էջի մետաատոմով պարունակում է անանուն աշխատման դրոշակը։
Court.am հոսպիտալիզացիան:
dig A court.am -- լուծում է Ucom IP տարրերին, ոչ ձևավորական ենթակառուցվածք։
OWL կատարում է միայն փասիվ OSINT Փորձը։ Մենք չենք կատարում ակտիվ սկանավորումը, մտադիր հարցումը կամ չթույլատրելի աշխատում։ Այս հոդվածում բոլոր տվյալները գալիս են հետևյալից. ժողովային DNS հարցումներ, Wayback Machine-ում տարածված էջերը, սերտիկատուրանքային գրանցումների տեղեկատուներ (crt.sh), և հրապարակված CVE բազաները։ Մենք չենք մուտք գործել որևէ Օսկերտային ձևավորական համակարգերին։
Հայաստանի Ֆետևում համար:
p=reject; pct=100. Սա ամենաազդեցիկ ճարտարաչն է -- դա ոչինչ չարժե և կանխարգելում է հարկային իրադարձությունների էլեկտրոնային նամակների ստեղնումը:p=reject; pct=100 բոլոր .am ֆետևական դոմեյներում: Ստեղծել կենտրոնացված թողնումների կարգավիճակով առավելագույն 30-ական թողնումային ժամանակահատվածով կարևոր CVE-ների համար:| Ամսաթիվ | Իրադարձություն |
|---|---|
| 2019 թ. օգոստոս | Հնարավոր արդեն վերջին թարմացում է mail.mil.am Zimbra (build v=190819071639) |
| 2023 թ. սեպտեմբեր | CBA Jira ինստանցիան ստեղծված է jira.cba.am ՕՎՇ Ֆրանսիա |
| 2022-2023 | Հարյուր հարմար արտակարգված Zimbra CVEs հրապարակված են -- mil.am մնում է չարտակարգված |
| Բազմաթիվ | Wayback Machine կեշերը mail.cba.am Lotus Notes ուղերձերով իրականացնում են FIU աշխատողների անուններ |
| 2026 թ. ապրիլի 11 | OWL հրապարակում է այս հետաքննությունը |
OWL is investigating systemic cybersecurity failures across Armenian state institutions. If you have evidence of unpatched systems, exposed databases, compromised credentials, or other vulnerabilities -- contact us securely.
owlorganization@proton.me (ProtonMail)
Use Tor Browser for maximum security. All sources are protected.
Our work is funded entirely by reader donations. No sponsors. No advertisers. Click any address to copy, or scan the QR.
Bitcoin (BTC)
Ethereum (ETH) / ERC-20
Breaking investigations, delivered to your pocket. Trilingual (Armenian / English / Russian).
@owl_organization →