Iată comunicatul SRI.

“Atacuri cibernetice de amploare în perioada iunie – august 2018

Serviciul Român de Informații, prin unitatea sa specializată în domeniul cyberintelligence – Centrul Național Cyberint (CNC) – deține date și informații certe, inclusiv de ordin tehnic, că asupra unor instituții financiare din România au avut loc atacuri cibernetice de amploare în perioada iunie – august a acestui an.

Recent, și alte instituții partenere SRI au identificat, în țările din care provin, iminența producerii unor atacuri cibernetice de amploare îndreptate asupra mai multor sisteme financiare din lume.
Conform analizei CNC, hackerii folosesc mai multe unelte de atac, inclusiv unele din arsenalul Cobalt Strike, care sunt asociate cu o grupare de infracționalitate cibernetică de sorginte estică.

Una dintre metodele de lucru folosite de atacatori constă în extragerea unor sume de bani eliminand limitele de retragere aferente unor conturi bancare.

Centrul Național Cyberint monitorizează de mai multă vreme activitățile desfășurate de Gruparea Cobalt. 

Zilnic, mii de atacuri cibernetice vizează instituții, entități și persoane din spațiul virtual, iar atacurile informatice împotriva instituțiilor financiare au cunoscut o creștere în ultimii ani.

Atacatorii folosesc tehnici de tipul APT -Advanced Persistent Threat – în urma cărora obțin acces la sistemele informatice și ulterior găsesc metode să valorifice informațiile accesate.

Pe fondul acestor atacuri cibernetice complexe, SRI a acordat deja sprijin unor instituții financiare pentru evaluarea, atribuirea și contracararea eventualelor efecte ale acestora. 

Serviciul Român de Informații pune la dispoziția instituțiilor financiare expertiza sa în domeniul protejării infrastructurilor cibernetice. 

Eventualele solicitări de sprijin pot fi transmise la adresa de email [email protected]

Un comunicat neașteptat care lasă să se întrevadă o bătălie extrem de dură cu unul din cele mai mari și de succes grupuri de hackeri din lume: COBALT. Un atac îndreptat împotriva băncilor românești, nenominalizate în comunicatul SRI, vizând conturile românilor. Deci ce nu spune SRI?

Cine este acest grup COBALT.

În EvZ scriam în ianuarie 2017 despre acest grup ca urmare a unui atac cibernetic spre Taiwan. Moldovenii implicați în furtul sumei de 2,6 milioane de dolari din bancomatele unei bănci din Taiwan, ar fi comis infracţiuni similare şi în 12 state europene. Cei trei bărbaţi – un leton și doi moldoveni, printre care şi Mihail Colibaba, un apropiat de-ai lui Renato Usatîi – riscă până la 12 ani de detenție, după ce au fost arestaţi în luna iulie 2016, în Taiwan.

Grupul COBALT, potrivit Europol, este format din aproximativ 100 de persoane, aflate pe teritoriul Rusiei, de unde lansează atacuri asupra instiuțiilor financiare, bănci, ATM, potrivit surselor consultate.

Kaspersky Lab consideră că membrii Cobalt provin dintr-un alt grup periculos, Carbanak, care a lansat primele atacuri în 2013. "În 2014-2015, în timp ce furau banii de la bănci, a fost folosit un program tip malware numit Carbanak, care a necesitat o anumită rețea. Ulterior, aceleași adrese au fost utilizate pentru a gestiona malware-ul inclus în software-ul menționat ", a declarat Serghei Golovanov, expertul anti-virus al Kaspersky Lab.

Potrivit acestuia, grupul Carbanak este format din aproximativ o sută de persoane, iar daunele provocate de acțiunile sale au depășit deja 1 miliard de dolari. 

Europol a anunțat în martie 2018 că poliția spaniolă a arestat un bărbat suspect de a fi creierul din spatele grupului de hacking Carbanak, cunoscut pentru unele dintre cei mai mari atacuri cibernetici bancare din ultimii ani.

Europol a mai declarat că grupul Carbanak, cunoscut și sub numele de Cobalt, a efectuat peste 100 de hack-uri în 40 de țări diferite, furând peste 1 miliard de euro, cu o medie de  de 10 milioane de euro (12,4 milioane de dolari) pe lovitură.

În timp ce malware-ul grupului a variat, grupul Carbanak a urmat întotdeauna același mod de operare atunci când a efectuat atacurile, un modus operandi care a fost acum copiat de multe alte grupuri.

Toate atacurile încep cu hackerii care trimit mesaje e-mail cu phishing la obiectivele lor. E-mailurile au folosit domenii ce evidențiau partenerii legali de afaceri sau colaboratori și au avut atașate fișiere cu software ce conținea viruși.

Atacatorii se bazau de obicei pe infectarea unei ținte și apoi pe răspândirea în restul rețelei interne, în căutarea unor computere care aveau acces la software-ul utilizat pentru gestionarea fondurilor țintă. Acestea includ software care controlează ATM-uri, conturi bancare, transferuri de bani și multe altele.

Modul în care acționau poate fi citit aici : https://www.bleepingcomputer.com/news/security/leader-of-carbanak-cobalt-hacker-group-who-stole-over-1bil-arrested-in-spain/

În aceeași perioadă, martie 2018,  a fost arestat în Ucraina, un alt membru important al Cobalt. 

Potrivit presei ucrainiene (identitatea sa nu a fost dezvăluită) acesta “făcea parte din grupul internațional de hacking "Cobalt", al cărui membri sunt implicați în atacuri în masă asupra diferitelor bănci mondiale. În prezent, polițiștii ucrainieni au identificat toți membrii acestui grup. Toți se află pe teritoriul Federației Ruse.” Deci poliția ucraineană i-a identificat pe toți membrii. De ce nu au fost arestați de poliția lui Vladimir Putin?

O posibilă explicație ar fi găsită în declarația lui Vladimir Putin făcută la Sant-Petersburg în fața mass-mediei internaționale în iunie 2017 când a răspuns acuzațiilor legate de faptul că hackeri ruși  au influențat alegerile din SUA.

Pe lângă faptul că a insistat că guvernul rus nu are nicio implicare în astfel de atacuri cibernetice, Putin a spus că unii hackeri individuali, "patrioți" care își iubesc țara, ar putea declanșa astfel de atacuri împotriva celor care "vorbesc negativ" despre țara lor.

"Dacă au un spirit patriotic, ei încep să-și aducă contribuția – și au dreptate, din punctul lor de vedere – de a lupta împotriva celor care spun lucruri rele despre Rusia", a spus Vladimir Putin.

Pare o explicație/declarație destul de clară. Acest atac al hackerilor ruși arată că relatia cu Rusia nu este una ușor de gestionat. România este atacată pentru numeroase motive, începând cu baza de la Deveselu, pentru declarațiile repetate privind programul de înarmare, pentru că se afirmă ca un partener statornic al UE, SUA, NATO. De această dată reacția SRI, prin Centrul Național Cyberint pare să fi prevenit acest atac. Dar războiul hibrid nu se oprește aici. Iar situația devine și mai complicată când trebuie să te bați și cu actori interni, dar și externi. Poate că se va înțelege că războiul româno-român trebuie să înceteze! Asta dacă nu face parte din arsenalul acestui conflict.