România bate China la atacuri cibernetice. Cum ajung românii să aibă calculatoare „zombie” fără să știe
România se află pe locul 7 în lume ca țară-sursă de atacuri cibernetice, devansând China. Doar în ultima lună, din România au fost lansate peste 350.000 de atacuri pe internet, iar acestea sunt doar cele înregistrate în rețelele deținute de Deutsche Telekom și partenerii săi. Experții români în securitate cibernetică susțin însă că, de cele mai multe ori, atacurile românești sunt de fapt paravane pentru hackeri din alte state, care infectează calculatoare din România, apoi le folosesc pe post de „zombie” – mașini controlate de la distanță.
Compania germană de telecomunicații a dezvoltat o rețea de 97 de senzori, care raportează în timp real atacuri cibernetice. Rusia este statul care conduce detașat topul țărilor-sursă de atacuri, cu peste 2,4 milioane de atacuri în luna februarie. Înaintea României, în top se mai află Taiwan (peste 900.000), Germania (peste 780.000), Ucraina (peste 565.000), Ungaria (peste 365.000) și SUA (peste 355.000).
Deși computere din România apar ca sursă a peste 350.000 de atacuri doar în luna februarie, este puțin probabil ca acestea să își fi avut originea propriu-zis din țara noastră, explică reprezentanții CERT-RO (Centrul Național de Răspuns la Incidente de Securitate Cibernetică), autoritate care lucrează cu serviciile secrete și cu ministerele care țin de siguranță națională (Apărare, Interne, Comunicații) pentru a preveni și a contracara atacurile cibernetice.
„Sunt foarte rare cazurile în care atacatorul folosește adresa IP personală în desfășurarea operațiilor semnalate. În majoritatea cazurilor, atacatorul se folosește de rețele botnet prin care își desfășoară atacul și prin care își ascunde identitatea. Am observat (în România) un număr foarte mare de IP-uri de tip „residential user” – utilizatori privați, infectate cu diverse tipuri de aplicații malware, ce fac parte din diferite rețele botnet„, a explicat pentru gândul Daniel Ioniță, șeful Departamentului de Analize, Politici și Afaceri Legale din CERT-RO.
Rețelele botnet sunt o colecție de roboți software, cunoscuți pe scurt drept „boți”. Sunt practic computere virtuale, care rulează însă de pe mașini reale – denumite calculatoare „zombie”, care sunt controlate de la distanță, fără ca proprietarul să știe. De cele mai multe ori, acesta este și cazul calculatoarelor din România, care sunt implicate în atacuri cibernetice.
„Grupurile de calculatoare „zombie”, controlate de la distanță, rulează diferite programe de obicei instalate prin exploatarea unor vulnerabilități de securitate care se manifestă la nivelul sistemelor informatice compromise, exploatate prin intermediul unor aplicații malware de tip troian. Deținătorul rețelei de boți poate controla calculatoarele compromise de la distanță și poate implica resursele acestora în diverse acțiuni ilegale derulate în mediul online”, explică expertul de la CERT-RO.
Cu alte cuvinte, proprietarul computerului „zombie” – infectat cu un virus de tip „troian” (program în aparență curat și legitim, dar care conține virus informatic) sau cu un program „malware” (care conține alte tipuri de viruși sau amenințări cibernetice), nu știe că devine platformă de atac, controlată de la distanță.
Expert: „Cultura de securitate din România nu este corespunzătoare”
Românii ajung deseori victime ale hackerilor și, mai departe, joacă rolul de lansatori de atacuri cibernetice fără să știe și din ignoranță față de ce înseamnă internetul.
„Din păcate, cultura de securitate a utilizatorilor rețelei Internet din România nu este corespunzătoare nivelului riscurilor la care sunt expuse sistemele informatice conectate la acest mediu virtual. Cel mai probabil, din cauza unui nivel scăzut al culturii de securitate, precum și a nerespectării măsurilor minime de securitate în cele mai multe cazuri, aceștia devin victime, transformând spațiul cibernetic românesc într-un spațiu de tranzit pentru diferite activități infracționale ale unor hackeri din alte state (practic se execută atacuri prin intermediul unor IP-uri din România)”, spune Daniel Ioniță, pentru gândul.
Cele mai frecvente tipuri de atac
Conform datelor publicate de Deutsche Telekom, cele mai frecvente tipuri de atac cibernetic din luna februarie au fost cele asupra protocolului SMB (peste 27,3 milioane), protocolului Netbios, asupra portului 33434, asupra protocolului SSH și a portului 5353.
„Prin scanarea SMB și NetBios atacatorul, probabil, încearcă să afle detalii suplimentare despre ținta sa, dat fiind că aceste două protocoale sunt vulnerabile și pot furniza detalii despre tipologia rețelei. Portul 33434 este folosit pentru ‘traceroute” (aflarea nodurilor prin care trece un pachet de date pentru a ajunge la serverul de destinație) și poate fi folosit uneori în atacuri de tip DoS (denial of service, blocarea accesului la un server sau pagină de internet, care se face de cele mai multe ori prin „inundarea” cu solicitări de acces – flooding)”, explică expertul CERT-RO.
Prin portul 5353 se pot lansa în unele cazuri atacuri de tip DoS. SSH este un protocol de securizare a comunicației dintre două calculatoare și se folosește foarte des pentru conectarea de la distanță la un sistem informatic. Prin atacurile de tip „brute force SSH”, atacatorii încearcă aflarea parolelor de conectare de la distanță prin SSH, vizând accesul ulterior la sistemul informatic.
Aceste tipuri de atac nu sunt neapărat foarte periculoase, însă pot servi unor atacuri ulterioare de anvergură.
„Atacurile de mai sus nu trebuie neapărat să reprezinte scopul final al atacatorului, ci pot reprezenta o metodă de colectare de date pentru declanșarea unui nou atac mai periculos. Astfel, atacurile obișnuite de astăzi pregătesc de fapt atacurile periculoase de mâine. Furnizorul german de telecomunicații nu menționează dacă atacurile au avut succes sau nu și nici tipologia țintei atacate”, mai spune Daniel Ioniță.
SRI: Atacurile cibernetice se vor intensifica în 2013
La bilanțul SRI pe anul 2012, directorul George Maior a nominalizat securitatea cibernetică printre cele două domenii care vor fi o provocare pentru SRI în 2013, spunând că atacurile cibernetice vor crește în intensitate. Maior a spus că anul trecut România a fost victima a cel puțin două atacuri informatice majore, care au vizat baze de date și infrastructura informatică a unor instituții de stat.
Operațiunea „Octombrie Roșu”, descoperită de experții de la Kaspersky Lab, a fost calificată de SRI drept cel mai puternic atac informatic asupra României din ultimii 20 de ani. Chiar dacă a vizat doar 4 clase de IP-uri, conform CERT-RO, oficialii SRI au susținut că au fost accesate informații sensibile care țin de geostrategie, resurse naturale în zona Mării Negre sau politică externă. Atacatorii nu ar fi reușit să acceseze informații secrete, a mai susținut SRI.
În spatele acestei operațiuni, există indicii că s-au aflat hackeri chinezi, care au colaborat sau au folosit viruși și malware creat de hackeri ruși. Această operațiune a început prin colectarea de date prin metode care nu anunțatu ceva de anvergură sau extrem de periculos, așa cum sunt și tipurile de atac semnalate de rețeaua Deutsche Telekom. Printre metodele de atac s-au numărat și exploatări comune, din programele des folosite ale Microsoft Office sau Adobe – Word, Acrobat Reader, Excel. Alte metode de acces în sistemele informatice vizate au fost „păcălelile” prin email.
Sfaturile CERT-RO pentru evitarea riscurilor de a deveni un „zombie”
În primul rând, utilizatorii de internet ar trebui să folosească un program antivirus, care să aibă și funcții antispam și antiphishing.
Cel mai frecvent tip de „păcăleală” care duce la instalarea pe calculator a unor troieni sau a altor programe malware este deschiderea prin clic a unor atașamente sau a unor link-uri către pagini de internet venite pe email, de la expeditori necunoscuți. Acestea nu trebuie deschise. De cele mai multe ori, ceea ce intră în căsuța de Spam a email-ului este mai bine să nu fie accesat.
CERT-RO recomandă să nu folosiți calculatoare publice sau rețele de wireless publice sau neparolate, pentru a face cumpărături online, pentru că astfel datele personale și cele financiare devin vulnerabile.
De asemenea, instalarea programelor de pe internet trebuie făcută de pe pagina producătorului sau autorului.
Un alt sfat de la experți este să nu trimiteți pe mail sau în vreun atașament parole sau date privind cardul bancar.
Mesajele care vă anunță că ați câștigat premii sau vă solicită date personale sau bani trebuie tratate cu suspiciune, pentru că de cele mai multe ori sunt încercări de fraudă – phishing. Băncile nu solicită pe e-mail date personale sau parole, de asemenea instituțiile publice nu solicită plăți prin email.