Specialiștii în securitate cibernetică ai Serviciului Român de Informații, Serviciul de Transmisiuni Speciale și cei ai Directoratului Național de Securitate Cibernetică se confruntă, începând de vineri, cu atacuri concertate asupra site-urilor unor instituțiilor românești.
„În urma investigațiilor Centrului Național CYBERINT din cadrul Serviciul Român de Informații s-a stabilit că atacurile cibernetice de tip ransomware sunt desfășurate de o grupare din spațiul estic prin utilizarea aplicației PHOBOS. Această aplicație face parte din familia CrySIS și prezintă similitudini cu ransomware-ul Dharma, ambele fiind disponibile în sistem Ransomware-as-a-Service la nivelul forumurilor de criminalitate cibernetică”, precizează SRI într-un răspuns pentru Europa Liberă.
Practic, atacatorii preiau controlul PC-ului, criptează datele de pe acesta și afișează un mesaj cu un termen limită până la care trebuie să plătești o sumă pentru răscumparare. De obicei, suma este în Bitcoin pentru a nu putea fi urmărită prin sistemele bancare. Dacă plătești, ți se decriptează datele și ai din nou acces la ele, dacă nu ai un back-up, le poți pierde definitiv. Uneori, dacă sunt sensibile, ele ajung pe internet.
Îți mai recomandăm Un grup de hackeri ruși revendică atacurile cibernetice asupra site-urilor guvernamentale din România„Unul dintre scopuri este, cu siguranța destabilizarea, nu numai la nivel de sistem, ci și la nivel de opinie publică”, spune Tiberiu Anghel, expert în securitate cibernetică, despre ce urmăresc atacatorii.
Mii de atacuri malițioase au respins și specialiștii Serviciului de Transmisiuni Speciale. STS are în administrare zeci de site-uri sau baze de date ale instituțiilor publice românești. Pentru unele baze de date asigură doar găzduirea.
„Atacurile cibernetice au fost de tip DDoS la nivel de aplicație, cunoscute ca atacuri „Layer 7”, fiind îndreptate asupra site-urilor unora dintre cele mai importante instituții din România, cu scopul de a le indisponibiliza temporar”, a precizat STS într-un răspuns pentru Europa Liberă.
Ce înseamnă un atac DdOS
Un atac Distributed Denial-of-Service(DdOS) apare atunci când un hacker trimite un aflux mare de trafic către o rețea sau server pentru a copleși sistemul și pentru a-i perturba capacitatea de a opera. Aceste atacuri sunt adesea folosite pentru a duce un site web sau o aplicație offline temporar și poate dura zile la rând sau chiar mai mult. Traficul nelegitim provine de la sute, mii sau chiar milioane de alte computere. Când provine dintr-o singură sursă, este cunoscut sub numele de atac DoS.
STS spune că tipurile de dispozitive utilizate în cadrul atacurilor au fost cu precădere echipamente de comunicații compromise folosite de rețele de tip BOTNET.
Specialiștii STS au identificat tipologia acestora, sursele malițioase și au aplicat soluții de protecție la nivelul sistemelor de operare care găzduiesc serviciile informatice atacate.
Ce înseamna Botnet
Botnetul reprezintă o colecție de numeroase computere sau dispozitive cu internet care au fost preluate de la distanță folosind malware pentru a lansa atacul. Acestea sunt numite „zombie”.
25 de site-uri publice sau private au fost compromise în primele trei zile ale atacurilor, a precizat Directoratul de Securitate Cibernetică pentru Europa Liberă, inclusiv ale unor entități de presă precum Digi 24 și Hotnews.ro Utilizatorii lor legitimi nu le-au putut accesa pentru o perioadă determinată de timp.
Primul dintre site-urile vizate a fost cel al Ministerului Apărării care, timp de o oră, a fost indisponibil. „A fost un atac simbolic”, susținea ministrul apărării, Vasile Dîncu. A fost atacat și site-ul Directoratului Național de Securitate Cibernetică.
Îți mai recomandăm Atacurile cibernetice în România au crescut de 100 de ori în primele zile de război în UcrainaPrimele atacuri cibernetice au început în perioada sărbătorilor de Paște și au vizat persoanele fizice. Zeci de mesaje scrise într-o română dubioasă au fost primite prin intermediul mesageriei telefonice.
Linkul care promitea un mesaj video personalizat permitea atacatorilor să pună stăpânire pe dispozitivul utilizatorului - telefon sau computer - și, cu ajutorul lui, să desfășoare noi atacuri.
Precedentele
România s-a confruntat și în trecut cu atacuri derulate cu ransomware-ul PHOBOS care au vizat cu preponderență domeniul sănătății. „În aceste situații, a fost evidențiată capacitatea acestei aplicații de a genera impact negativ asupra rețelelor și sistemelor informatice de interes național”, precizează SRI.
În iulie 2021, hackerii au solicitat Spitalului Witting plata unei răscumpărări pentru decriptarea datelor spitalului după atacul cibernetic. Plată nu a fost realizată după intervenția SRI. Cu toate acestea, activitatea curentă a spitalului nu a fost întreruptă, continuitatea fiind asigurată prin utilizarea registrelor offline. În vara anului 2019, alte 4 spitale din România au fost afectate de PHOBOS, în contextul lipsei unor soluții antivirus la nivelul infrastructurii IT&C utilizate de acestea.
Pentru prevenirea unui astfel de atac, Centrului Național CYBERINT al SRI recomandă instituțiilor să ia un set minim de măsuri.
- Utilizarea unei soluții antivirus actualizate;
- Dezactivarea serviciului RDP de pe toate stațiile și serverele din rețea;
- Actualizarea sistemelor de operare și a tuturor aplicațiilor utilizate;
- Schimbarea frecventă a parolelor tuturor utilizatorilor, respectând recomandările de complexitate;
- Verificarea periodică a tuturor utilizatorilor înregistrați, pentru a identifica utilizatorii noi, adăugați în mod nelegitim;
- Realizarea unor copii de siguranță a datelor critice pe suporți de date offline;
- Păstrarea datelor criptate în eventualitatea în care ar putea apărea o aplicație de decriptare în mediul online.
SRI: Spionaj cibernetic rus prin amenințări persistente avansate
SRI mai spune că, pe lângă atacurile DdOS sau cele prin aplicația PHOBOS, asupra infrastructurilor IT&C aparținând unor instituții publice din România sunt în desfășurarea atacuri cibernetice de tip Advanced Persistent Threat lansate de grupări statale de sorginte rusă, care au ca scop spionajul cibernetic.
Ce înseamnă spionaj cibernetic
Spionajul cibernetic este o formă de atac cibernetic efectuată împotriva unei companii competitive sau a unei entități guvernamentale cu scopul de a oferi atacatorului informații care îi oferă avantaje față de companiile sau guvernele concurente.
Amenințările persistente avansate (APT) sunt lansate de un stat-națiune împotriva altuia în scop politic. Atunci când motivele atacatorului sunt atât financiare, cât și politice, atacul cibernetic este probabil caracterizat ca fiind un exemplu de spionaj economic.
Actorii răi care se angajează în spionaj cibernetic doresc de obicei să rămână nedetectați pentru perioade lungi de timp. Aceasta înseamnă că acest tip de atac este adesea destul de complicat și costisitor de efectuat.
„Niciunul din atacurile de până acum nu au fost cu adevărat distructive, dar au influentat opinia publică”, arată expertul Tiberiu Anghel.
„Atacuri cu adevărat distructive nu mă aștept sa vedem, întrucât spațiul cibernetic este deja o dimensiune documentată a războiului, chiar de către NATO. Așadar, atacuri cibernetice a unei infrastructuri de securitate afiliată NATO, un atac destructive documentation, reprezinta un atac asupra NATO.”
Îți mai recomandăm Misterul SMS-urilor virusate primite de români în zilele de Paște. Expert: „Probabil vin din afara României”Spaţiul cibernetic este cea de-a cincea dimensiune a oricărui război, după atacurile asupra solului, apei, aerului şi spaţiului, spun specialiștii.
Bazele de date ar fi protejate
Nicio bază de date cu informații sensibile despre datele cetățenilor români nu au fost afectate până acum.
De altfel, acestea sunt, în cele mai multe dintre situații pe servere și cu acces separat față de siteuri, tocmai pentru a preveni orice posibilitate de atac. STS administrează sau doar găzduiește o bună parte a acestora și nu a înregistrat până acum atacuri asupra lor.