De la începutul anului 2022, în spațiul cibernetic al ministerului au fost observate multiple agresiuni informatice, acestea menținându-se în continuare la un nivel ridicat. Atacurile au loc asupra 1. instituțiilor statului, 2. companiilor, dar și 3. oamenilor simpli, de rând.
Serviciul secret al MAI atenționează: Agresiunile informatice se mențin, în continuare, la un nivel ridicat. Ce explicații au specialiștii
Concret, de la începutul anului și până acum, au fost colectate și corelate 6.390.496.695 evenimente de sistem, din care au fost extrase și analizate aproximativ 5.682 alerte de securitate, fiind identificate diferite acțiuni cibernetice ofensive, manifestate prin atacuri cibernetice și activități informaționale malițioase în mediul online.
Lista atacurilor cibernetice
Oficialii români din domeniu au reușit chiar să facă și o listă cu atacurile cibernetice care au avut loc de-a lungul timpului și care, mai mult decât atât, nu se opresc aici și continuă, spațiul virtual fiind unul ideal pentru proliferarea lor.
Atacurile au debutat cu acțiuni de recunoaștere a suprafeței de atac, în vederea identificării unor vulnerabilități tehnologice și au continuat cu atacuri de tip scam, phishing, spear-phishing, smishing sau malspam, pentru propagarea unor aplicații malițioase de tip ransomware (WannaCry, Strictor etc.), infostealer (Qbot, Lokibot,Emotet, Agent tesla etc.), remote access trojan – RAT (Remcos, Cryxos, etc.) sau botnet (Andromeda, Mirai etc.) și DDoS (atât volumetrice, cât și la nivel de aplicație).
Subiectul de top al atacatorilor în mediul online
În cadrul campaniilor de agresiuni informatice, care de cele mai multe ori exploatau subiectul agresiunilor militare din Ucraina, atacatorii vizau una dintre cele trei varainte: 1. obținerea unor beneficii pecuniare, 2. compromiterea credențialelor de acces ale utilizatorilor sau 3. indisponibilizarea temporară a unor servicii sau resurse informatice.
Specialiștii au descoperit și ceva nou
Caracter de noutate în această perioadă identificarea unor atacuri cibernetice complexe, care vizau propagarea prin email a unor aplicații malware sofisticate sau exploatarea unor vulnerabilități critice de tip „zero day”, în cadrul cărora specialiștii români au descoperit entități rău intenționate care urmăreau: 1. compromiterea resurselor informatice, 2. realizarea unor canale de comunicații la distanță către serverele de comandă și control și 3. exfiltrarea datelor anumitor utilizatori de la nivelul ministerului.
Care este atacul predominant
Atacul predominant rămâne, în continuare, mesageria electronică, respectiv email-ul. În limbajul de specialitate, pe care unii mai bine pregătiți în IT îl înțeleg, sunt amenințări persistente avansate de tip APT. Specialiștii au ajuns la această concluzie prin suprapunerea de date pe care le-au obținut pas cu pas.
Războiul informațional este o realitate
În prezent se duc două tipuri de război, cel clasic, în teren și celălalt, informațional. Orice informație trebuie găsită în trei surse pertinente și trebuie să treacă prin filtrul logicii fiecăruia dintre noi. Iar o analiză de specialitate, cum este cea de astăzi, va ajuta, în plus, cu siguranță.
Concret: În perioada mai sus menționată au fost observate diverse campanii de dezinformare în mediul online, desfășurate prin promovarea unor narative false în cadrul platformelor/grupurilor specifice cu referire la site-urile Poliției Române, Poliției de Frontieră sau Departamentului pentru Situații de Urgență, având ca scop următoarele aspecte: 1. amplificarea artificială a percepției stării de nesiguranță sau de insecuritate, 2. scăderea încrederii populației în capacitatea autorităților statului român de a se apăra în fața unor astfel de atacuri cibernetice, precum și 3. supradimensionarea activităților malițioase întreprinse de atacatori.
Care sunt ”portițele” atacatorilor mediului online
Culmea ironiei este că nimic nu este complicat, totul este extrem de simplu, banal chiar.
Agresorii apelează la diferite detalii tehnice, de cele mai multe ori fără nicio relevanță, pentru promovarea unor așa-zise atacuri cibernetice desfășurate asupra resurselor web ale instituțiilor publice din România, menite să asigure creșterea reputației acestora și să evidențieze neputința autorităților publice de a se proteja.
Cum acționează specialiștii români
Centrul de răspuns al MAI la incidente de securitate IT (CERT-INT, instituit în cadrul DGPI) a desfășurat în perioada menționată activități de monitorizare a securității infrastructurii cibernetice a MAI, prin intermediul instrumentelor specifice, în vederea identificării și contracarării cu celeritate a oricăror forme de manifestare a amenințărilor informatice. Aici sunt specialiștii care monitorizează atacurile în online și mai mult decât atât caută și chiar găsesc soluții.
Concluzie
DGPI cooperează activ, atât cu structurile ministerului, cât și cu toate celelalte instituții cu capabilități și responsabilități în domeniul securității cibernetice de la nivel național, pentru identificarea și adoptarea celor mai bune măsuri de securitate, bune practici în domeniu și soluții în prevenirea, detectarea și contracararea atacurilor cibernetice.
