Serviciul Român de Informații (SRI) a decis luarea unor măsuri rapide, fără precedent în ultimii ani, de contracarare a atacurilor cibernetice. Decizia survine după ce, la finalul săptămânii trecute, un atac masiv al hackerilor ruși Fancy Bear , cei care sunt suspectați că au perturbat grav procesul electoral din Statele Unite ale Americii (SUA), a afectat peste 200.000 de victime, mai ales instituţii, din cel puţin 150 de ţări.

Pentru a preîntâmpina efectele nedorite, dar și în încercarea de a stopa infectarea sistemelor naționale, SRI a decis organizarea unui exerciţiu de securitate cibernetică, denumit CyDEx17, începând de luni și până miercuri, pentru a vedea cum răspund instituţiile de stat şi private la un atac de acest gen. Sunt supuse testării 60 de instituţii publice și private. Datele obţinute urmează să fie folosite pentru dezvoltarea unui mecanism eficient de avertizare, alertă şi reacţie.

Atacuri la MAE, Dacia și spitalul din Bacău

Europol a avertizat că atacul de vinerea trecută s-a propagat foarte rapid, iar peste 200.000 de calculatoare din întreaga lume au fost afectate în weekend. Europol a anunțat, ieri, că Guvernele și companiile europene păreau să fi evitat un „haos cybernetic”. Numărul victimelor nu pare să fi crescut, iar situația ar fi, acum, stabilă în Europa. În România, a fost vizat Ministerul Afacerilor Externe, dar au fost afectate serverele uzinelor Dacia, de la Mioveni, odată cu rețeaua fabricii Renault, din mai multe țări. De asemenea, un server al Spitalului Judeţean din Bacău a fost afectat iar datele introduse în ziua de 5 mai au fost compromise, câteva sute de foi de observație fiind criptate.

Atacul a afectat spitale britanice, sistemul bancar rus, grupul american FedEx sau universităţi din Grecia şi Italia. SRI a anunţat că Centrul Naţional Cyberint a reuşit să contracareze tentativa de atac cibernetic derulată, cel mai probabil, de entitatea asociată grupului de criminalitate cibernetică APT28 / Fancy Bear.

Ce atacă hackerii

Agresiunile cibernetice îndreptate împotriva României au vizat, în ultimii ani, interese economice, politice sau militare. În anul 2015, de exemplu, a avut loc un atac masiv îndreptat împotriva structurilor de siguranță națională din sfera Afacerilor Externe, Afacerilor Interne și cele ale Apărării Naționale. Specialiștii Cyberint au reușit să le stopeze, dar au și identificat atacuri ale unor servicii de informații străine, ascunse în spatele unor comunități de hackeri. Spionii pot căpăta diferite forme în spaţiul virtual şi atacă în permanenţă având ca obiectiv compromiterea şi distrugerea infrastructurii, cum este cea energetică.

Cum pot fi infectate calculatoarele

Agresorii cibernetici folosesc, de obicei, un malware sofisticat, aplicaţie din categoria viruşilor, troienilor, viermilor etc., care fură date din sistemul informatic. Odată compromis calculatorul, acesta trimite, către hacker, informaţii o dată la două secunde. Caută după un cuvânt cheie informaţiile de care are nevoie şi intră în fişiere. În acelaşi mod se poate intra şi în smartphone, de pe care poate obţine informaţii personale, numere de telefon etc. Dacă este depistat și urmărit, virusul se autodistruge. Atacurile agresorilor cibernetici vizează şi vulnerabilităţi ale sistemului de operare. Uneori, sunt mici erori din fabricaţie, aparent nedetectabile într-un program, dar pe care un hacker bun le poate „dibui”. Însă, sunt instituţii sau bănci care folosesc programe expirate, luate de pe Internet sau depăşite.

Protecția informatică, la pământ

Lipsa unor minime protecții informatice este o cauză majoră a penetrării sistemelor din diferite instituții românești, susțin specialiștii SRI. Sunt instituţii publice care nu au nici măcar un program performant. Alţii, nu se obosesc să cumpere unul cu licenţă. Unii funcționari nu dau nici măcar un Back-up pentru a putea proteja informațiile. Funcţionarii publici, cei care deţin datele personale ale românilor, sunt printre cei mai vulnerabili în faţa atacurilor cibernetice, deoarece în multe instituţii ale statului găsim calculatoare vechi sau programe expirate.

Breșa exploatată de hackeri, folosită de o agenție americană de spionaj

În ziua atacului cibernetic de vineri, cercetătorii uneia dintre cele mai mari companii de softuri de securitate, Kaspersky Lab, au confirmat că subsistemele de protecție ale companiei au detectat cel puțin 45.000 de tentative de infectare în 74 de țări, majoritatea provenind din Rusia. Specialiștii au precizat că hackerii folosesc EternalBlue, numele de cod pentru un exploit făcut public de grupul misterios, care deține instrumente de atac hacking, despre care se presupune că au fost elaborate de NSA, agenția americană de spionaj cibernetic. Un analist de securitate american, Varun Badhwar, a spus, chiar, că „asistăm la o apocalipsă cibernetică”. Totul ar fi început de la o breșă descoperită de NSA în sistemul informatic Microsoft. În loc să anunțe compania Microsoft de existenta breșei, NSA șiar fi creat unelte pentru a profita de ea în scopuri de spionaj. Informația despre breșă a devenit publică.

Programul ransomware infectează victimele, profitând de vulnerabilitatea Microsoft Windows, descrisă și rezolvată în Microsoft Security Bulletin MS17-010, dar abia în luna aprilie a acestui an. Ajunși în sistem, atacatorii instalează un rootkit, care le permite să descarce programul pentru a cripta datele. Malware-ul criptează fișierele. Ulterior, este afișat un mesaj în care se solicită 600 de dolari în Bitcoin și walletul, iar rascumpărarea crește în timp.