Atacul cibernetic înregistrat de Directoratul Național de Securitate Cibernetică pe 30 martie s-a produs prin e-mail. Atacatorii au reușit să intre în câteva dintre calculatoarele instituțiilor publice sau ale unor firme private care lucrează cu publicul.
Au folosit apoi adresele de email existente în calculatoarele atacate pentru a transmite și propaga mesaje ce conțineau linkuri infectate.
Prin accesarea link-ului respectiv este descărcat în calculator un fișier Excel Macro (de tip Trojan Stealer).
Apoi, prin activarea funcției Macro, este instalat în computer un program malițios (program care ataca sistemul cu ajutorul căruia sunt extrase date din sistemul informatic). Atacatorii caută date personale, date de autentificare, date de card, în general date care pot fi monetizate sau care pot fi utilizate în lansarea de noi atacuri.
Îți mai recomandăm Anonymous România: printre hackerii care au atacat site-urile instituțiilor rusești se află și româniO altă fraudă descoperită folosea tematică situația Ucrainei. Ea s-a propagat tot pe e-mail și viza obținerea de fonduri pentru refugiații care fug din calea războiului din Ucraina prin Ukraine Crisis Relief Fund. Metoda propusă de transmitere a banilor era un portofel de Bitcoin.
E-mail-ul era semnat de un anume Amin Awad, Secretar General Adjunct al Organizației Națiunilor Unite (ONU). Persoana există în realitate și fusese numită, pe 25 februarie în funcția de coordonator al crizelor pentru Ucraina. Nu avea însă nicio legătură cu inițiativa Ukraine Crisis Relief Fund.
„Infractorii cibernetici simulează inițiative de strângere de fonduri cu reputație și se folosesc de persoane aflate în funcții importante la nivel internațional, pentru a oferi o doză de încredere informației prezentate potențialelor victime”, precizează Mihai Rotariu, purtător de cuvânt al Directoratului Național de Securitate Cibernetică.
Pe lângă numele unui oficial, și strângerea de fonduri era reală. Exista o inițiativă online cu această titulatură pe platforma GlobalGiving, dar nu avea ca metodă de plată criptomoneda și nici nu specifica drept dată de contact domeniul utilizat în transmiterea unor astfel de e-mail-uri.
„La un moment dat, la doar patru zile după ce trupele rusești au pătruns în Ucraina am observat o creștere de până la 100 de ori a atacurilor față de perioada precedentă. Este o consecință pe care o așteptam, deoarece riscul asupra țărilor din regiune este ridicat în contextul actual”, a declarat Mihai Rotariu.
Ulterior, creșterea atenției, dar și diminuarea interesului au făcut ca atacurile să revină la un nivel de dinainte de începerea războiului. În prima lună creșterea medie a fost cu 10%, spun reprezentanții DNSC. Vorbim însă doar de incidentele raportate instituției de stat. Unele dintre entitățile de stat sau private au preferat să rezolve singure problemele apărute.
Cele mai periculoase atacuri
Tiberiu Anghel este expert în securitate cibernetică. El a analizat de-a lungul numeroase tipuri de atacuri la care au fost supuse firmele și instituțiile publice românești. Consideră că cele mai grave atacuri sunt cele care criptează datele și șterg copiile de rezervă.
„Noi le cunoaștem mai mult sub numele de ransomware pentru că atacatorii 'comerciali' vor bani pentru criptarea informației”, precizează Tiberiu Anghel. Practic, ca în cazul unei răpiri, pentru restituirea eliberarea datelor este plătită o răscumpărare.
Nu același lucru se întâmplă în cazul în care atacatorii au alt interes decât cel comercial.
„Pot pur și simplu să șteargă, să modifice sau cripteze absolut tot din rețea fără șanse de recuperare.”
Pe măsură ce conflictul militar continuă și escaladează, orice organizație ar trebui să ia în considerare această posibilitate de a deveni o țintă directă sau o victimă colaterală a unui atac cibernetic, spune Mihai Rotariu.
„În domeniul securității cibernetice trebuie să pornești mereu de la premisa că poți fi atacat, deoarece, de regulă, infractorii cibernetici se ghidează în principal după rațiuni financiare, nu au ceva personal cu cei atacați, ci vor să monetizeze de pe urma atacurilor”.
Cele mai periculoase sunt atacurile făcute de grupări de atacatori din zona spionajului cibernetic, susținute la nivel statal, care sunt care sunt mai greu de contracarat, pentru că dețin capabilități tehnice mult mai avansate și resurse nelimitate pentru a-și atinge scopurile.
Un element important care favorizează atacurile este tendința de a utiliza la nivel organizațional software fără licență.
„Economia făcută cu un cost aferent licenței poate duce însă la o pierdere financiară exponențială, pentru că astfel utilizatorii nu pot beneficia de ultimele versiuni și actualizări (în special cele de securitate) ale aplicațiilor software folosite, ceea ce îi face extrem de vulnerabili”, precizează Mihai Rotariu.
Ce ar putea face instituțiile
Principalele probleme pe care Directoratul de Securitate Cibernetică le-a descoperit în ultima lună au demonstrat o cultură de securitate precară din partea instituțiilor vizate de atacuri.
„Majoritatea incidentelor raportate aveau drept cauză exploatarea unor vulnerabilități ale software-ului folosit în gestionarea activității site-urilor web. Lipsa actualizărilor aplicate la timp te poate transforma imediat într-o țintă pentru atacatori”, precizează Mihai Rotariu.
DNSC nu are o analiză centralizată la nivel național care să arate care este nivelul de securitate al site-urilor sau serverelor din instituțiile publice. Acestea nu au obligativitatea de a raporta incidentele de securitate cibernetică, conform legii.
Problema nu este doar în România, ci la nivel european. Uniunea Europeană a început deja procedurile pentru modificarea legislației în domeniul cibernetic, care să fie aplicabilă tuturor statelor membre. Prin noua directivă, instituțiile publice ar urma să fie nevoite să implementeze măsuri minime de securitate, să raporteze eventualele incidente către autoritatea națională de securitate cibernetică și să efectueze frecvent un audit de securitate.
Tiberiu Anghel spune că statul ar putea face multe lucruri pentru a contracara aceste atacuri.
„Majoritate acțiunilor țin mai degrabă de prevenție, pentru a preîntâmpina un atac, indiferent de ce zona de IT este în discuție. Nu contează dacă este un server, laptop sau aplicație mobilă, principiul securității se aplică asupra mediului integrat de IT al organizației. Aș spune ca prevenția e 70% din efort, detecția si remedierea 30%.”
Îți mai recomandăm Șeful spionajului britanic: țările care au ajutat Ucraina ar putea fi atacate cibernetic de RusiaExpertul spune că, în acest moment, este târziu pentru contracararea tuturor atacurilor lansate după declanșarea războiului din Ucraina.
DNSC nu are atribuții și nici instrumentele necesare pentru o ‘supraveghere permanentă’ a site-urilor instituțiilor publice din România.
România nu este pregătită pentru un atac cibernetic serios. O operațiune (#Op) Anonymous împotriva României ar avea un impact dezastruos asupra sistemelor informatice Românești.Anonymous România
Experții emit constant alerte și recomandări cu privire la vulnerabilități care pot afecta website-urile.
De când a început războiul din Ucraina a emis alerte punctuale către instituții vizate și șase alerte generale cu avertizări pentru întreaga populație, după ce au constata atacuri repetate.
Într-un răspuns pentru Europa Liberă, și gruparea Anonymous a susținut vulnerabilitatea sistemelor românești folosite în instituții.