Securitate cibernetica
Update articol:
#CybersecurityForum

Anton Rog, Cyberint: Ne-am ocupat de chestiuni extrem de concrete pentru a sprijini sistemul bancar în atacurile cibernetice (VIDEO)

Anton Rog Cyberint SRI Cybersecurity Forum,

  • Anton Rog: “Pandemia a mărit exponențial suprafața de atac”

  • “Centrul Cyberint a avut, anul trecut, de la 3 până la 5 ori mai mult de lucru decât într-un an normal”

  • “Nu dorim să dăm pe unii sau pe alții la o parte, ce vrem este ca toți cei care vin și implementează tehnologia 5G în  România să fie siguri și transparenți”

  • Am coordonat procesul de scriere a noii Strategii de Securitate Cibernetică, document care va fi  discutat la nivelul Administraţiei Prezidenţiale

 

Contextul generat de pandemia COVID-19 a fost exploatat de grupările de criminalitate cibernetică pentru intensificarea derulării de atacuri cibernetice împotriva entităților publice și private, inclusiv asupra instituțiilor cu atribuții în domeniul financiar-bancar, a declarat Anton Rog, Director General, Centrul Național Cyberint SRI, la cea de-a treia ediție a evenimentului CYBERSECURITY ONLINE FORUM organizat de FINANCIAL INTELLIGENCE joi, 25 martie 2021.

Anton Rog a declarat: “Pandemia a mărit exponențial suprafața de atac. Practic zonele în care hackerii se puteau manifesta au crescut semnificativ. În această perioadă, ne-am ocupat de chestiuni extrem de concrete pentru a sprijini sistemul bancar.

În ceea ce priveşte categoriile de actori care s-au manifestat în 2020 nu există o mare creativitate – au rămas cam aceiași: mă refer la actorii statali, criminalitatea cibernetică și cyber-terorismul, cyber-extremismul sau criminalitatea motivată ideologic.

Toți cei trei actori au folosit intensiv contextul pandemic și l-au folosit excepțional, mai ales la începutul pandemiei – mă refer la lunile martie- aprilie atunci când a existat o lipsă de informație totală despre consecințele acestui virus, despre boală etc. În perioada respectivă, la toate categoriile de persoane, dar în special la cele peste 50-60 de ani, s-au reușit infectări într-un număr semnificativ pe criminalitatea cibernetică, pe partea de entități financiare.

Toată lumea a trebuit să utilizeze modelul de «work from home», pentru că a fost acea perioadă de lockdown inițial și, atunci când a fost adoptat acest model, nu toată lumea a fost pregătită.

Anton Rog Prezentare Cybersecurity Online Forum 25 03 2021

De asemenea, foarte mulți dintre noi, din cauza coronavirus, a trebuit să utilizăm din ce în ce mai intens aplicațiile bancare care se instalează pe dispozitive mobile, respectiv aplicații web puse la dispoziție de bănci pentru servicii bancare.

Am observat că atacurile cibernetice s-au intensificat şi mă refer aici la troian bancar, infostealer, ransomware. O să vă dau câteva exemple pe care le- am descoperit: Cerberus Android Banker, Qbot şi EMOTET.

Sunt trei troieni – unul dintre ei este și calea prin care prin care se poate introduce și un ransomware.

Cerberus Android Banker – este primul care a fost utilizat în contextul Covid. Din păcate exact persoanele în vârstă au fost infectate. Am primit pe adresa Centrului capturi de pe telefoanele unor pensionari cu mesaje prin care hackerii le furau părți din pensie până le-au golit conturile total. Au fost mai multe astfel de cazuri.

Cei care ne-au semnalat și au fost foarte activi în ceea ce priveşte acest troian au fost nişte domni din mediul politic. Noi descoperisem această vulnerabilitate și în aceeași zi, la câteva ore, cineva ne-a contactat și ne-a întrebat ce știm despre acest atac. Ştiam că este vorba despre un troian bancar. Deci tinerii politicieni au un apetit pentru această zonă ceea ce este un lucru bun, pozitiv.

Cerberus Android Banker este un troian bancar care infectează dispozitivele mobile cu sisteme de operare Android, versiunile cuprinse între 4.0 și 10, adică o plajă foarte largă. Practic, cei care au fost infectați au primit un mesaj cu textul “Detalii secrete! (COVID-19)”, iar persoanele mai în vârstă, din dorința de a afla cât mai multe despre această boală, pentru a își păstra sănătatea și pentru a se proteja, au accesat acest link în care te punea să instalezi o aplicație care nu era în magazinul specific. Totuşi, multe persoane l-au instalat. Atunci troianul a luat controlul asupra dispozitivului mobil, capta tot ce scrii la tastatură, exfiltra datele din aplicațiile de mesagerie și email, avea funcție de keylogger. Este vorba despre un troian foarte inteligent.

La acea vreme, am ieșit cu o comunicare publică şi am spus ce trebuie să faci – este vorba de reinstalarea telefonului la setările din fabrică, neexistând soluţii care să rezolve integral această chestiune.

EMOTET – a venit mai târziu, în toamnă, dar era prezent mai demult. Aş vrea să mă refer un pic la Security Operating Center-ul nostru, respectiv Ţiţeica 1. Licențele pentru el, conform celor cinci ani de sustenabilitate, au expirat anul trecut – unele în iulie, altele în august sau septembrie. Dintr-odată, ministerele care erau protejate de aceste tehnologii și nu vedeau prezenţa acestor atacuri au spus că este o intensificare a atacurilor din septembrie. În fapt, pentru că departamentele lor juridice au lua decizia să nu prelungească aceste licenţe din anumite motive au avut un fel de reality check  – multe ministere din guvernul României înţelegând rolul Security Operating Center-ului nostru prin care noi ofeream servicii de securitate guvernului. Continuăm acum cu Ţiţeica 2.

EMOTET a fost distribuit prin intermediul email-urilor de tip phishing/spear-phishing. Infecția se realizează prin descărcarea unor fișiere Microsoft Office atașate email-urilor, acestea conținând macro-uri care descarcă malware-ul. Targetează sistemele informatice care utilizează sistemul de operare Microsoft Windows. Vizează atât utilizatori individuali, cât și entități publice sau private.

Scopul acestuia este exfiltrarea datelor financiare, dar și lansarea altor aplicații malware. 

Experții în securitate cibernetică au dezvoltat instrumente de detectare a infecției cu EMOTET, disponibile online.

QBOT a fost distribuit prin intermediul email-urilor de tip spear-phishing, adică mesaje ţinte spre anumiţi clienţi ai băncilor. A targetat clienții instituțiilor financiar-bancare din România, SUA, Canada și Grecia şi a vizat clienții unor platforme de internet banking prin browser și nu prin aplicații dedicate.

QBOT face tranzacţii bancare în numele tău. QBOT exfiltrează datele din cadrul platformelor financiar-bancare, deține capabilități pentru a-și asigura persistența în sistem și pentru a evita detecția şi deține capabilități de mișcare laterală în cadrul unei rețele.

Tot legat de sistemul financiar am observat că grupări de criminalitate cibernetică au personificat paginile unor bănci din România. Au plătit nişte sume de bani pentru servicii de promovare din cadrul Google şi când căutai mai multe bănci din România, în loc să-ţi aducă primul linkul oficial al băncii îţi aducea acest link sponsorizat, în care în loc de O era pus un zero, sau în loc de I era pus un Î.  Dacă nu eşti un utilizator experimentat, pur şi simplu făceai click pe linkul acela crezând că este linkul oficial al băncii, te autentificai la bancă şi după aceea, după ce îţi introduceai credenţialele, acestea erau preluate şi te redirecţiona către site-ul real al băncii unde se făceau tranzacţii în numele tău”.

*NOI AMENINȚĂRI CIBERNETICE:  SUPPLY-CHAIN ATTACK – Atacul cibernetic SolarWinds

Atacatorii au compromis inițial un update al produsului ORION NMS (Network Management System), comercializat de compania SolarWinds. Aproximativ 18.000 de utilizatori privați și guvernamentali au fost afectați la nivel mondial.

Compania de securitate cibernetică FireEye a anunțat public în data de 13.12.2020 că au descoperit un atac cibernetic asupra companiei SolarWinds.

Potrivit lui Anton Rog, în România sunt câteva zeci de companii şi instituţii care folosesc acest produs şi în cele mai relevante cazuri, pentru că nu şi-au plătit suportul, nu au avut acces la această versiune infectată. Deci au scăpat pe modelul românesc – pur şi simplu nu au mai plătit mentenanţa şi nu au mai putut să descarce acest update.

Ulterior, compania SolarWinds a transmis o actualizare a produsului ORION NMS pentru remedierea sistemelor infectate.

 *PROVOCĂRI WORK FROM HOME

Anton Rog a spus că Centrul Cyberint a avut, anul trecut, de la 3 până la 5 ori mai mult de lucru decât într-un an normal.

Accesarea de la distanță a rețelelor instituțiilor a devenit o necesitate, a spus domnul Rog, enumerând provocările lucrului de acasă:  

Administrare necorespunzătoare În unele situații, administrarea rețelelor destinate modelului work from home a fost realizată defectuos.

Echipamente necorespunzătoare – Resursele tehnice puse la dispoziția angajaților nu sunt în totalitate conforme cu necesitățile digitale actuale.

Neglijența utilizatorilor  În foarte multe situații, pregătirea utilizatorilor ce lucrează de la distanță nu a fost realizată corespunzător.

Expunere – Multe entități publice sau private și-au mutat activitatea în spațiul virtual.

Carențe de securitate – Multe entități publice sau private nu au implementat politici de securitate potrivite.

Exploatarea vulnerabilităților  Grupările de criminalitate cibernetică au profitat de condițiile impuse de pandemie pentru a exploata diverse vulnerabilități.

*STRATEGII PENTRU ASIGURAREA SECURITĂȚII CIBERNETICE

Nivelul angajaților  Pregătirea și testarea angajaților pentru prevenirea incidentelor de securitate cibernetică

Nivelul administratorilor IT – Implementarea unor politici de securitate complexe și actualizate

Nivel instituțional – Cooperarea cu alte entități publice sau private specializate în securitate cibernetică.

*TEHNOLOGIA 5G

Noi ne dorim de la tehnologia 5G sa fie sigură şi transparentă, a mai spus domnul Anton Rog, precizând: “Nu avem nicio țintă de niciun fel. Nu dorim să dăm pe unii sau pe alții la o parte, ce vrem este ca toți cei care vin și implementează 5G în România să fie siguri și transparenți. Aceasta este singura problemă. Evident că trebuie să existe niște chestiuni de bun simț legate de securitate de date, la nivel de rețea, la nivel de serviciu, de confidenţialitate. Sper ca legea care reglementează domeniul 5G și în general tehnologiile avansate să își ia avizele și să treacă cât mai repede prin Parlament și să fie pusă în practică pentru această tehnologie”.

*PROIECTELE CENTRULUI NAȚIONAL CYBERINT

Anton Rog a trecut în revistă şi proiectele Cyberint:

  • Sistemul național de protecție a infrastructurilor IT&C de interes național împotriva amenințărilor provenite din spațiul cibernetic (Țițeica)
  • Implicare în dezvoltarea cadrului legislativ național – coordonarea procesului de scriere a noii Strategii de Securitate Cibernetică care va fi discutată la nivelul Administraţiei Prezidenţiale 
  • Exerciții naționale și internaționale de securitate cibernetică
  • Campanii Awareness
  • Dezvoltarea unor programe educaționale în domeniul securității cibernetice – În 14 universităţi există cursuri de tip postuniversitar si master de securitate cibernetică şi îndemnăm tinerii să participe, potrivit lui Anton Rog.
  • Promovarea măsurilor de igienă în spațiul cybernetic.

Citește și: Cîmpean (CERT-RO): Directoratul Naţional de Securitate Cibernetică este în procesul de avizare de către 19 instituţii guvernamentale competente (video)

Iți recomandăm:

Cătălina Dodu, ANIS: “O companie trebuie să considere cybersecurity o investiție, nu un cost”

Bogdan BALAZS, Atos: “Agilitatea în cybersecurity este foarte importantă”

Victor CIUBOTARU: First Bank investeşte atât în produse, dar şi în securitatea acestora

BVB | Știri BVB

CONPET SA (COTE) (26/09/2023)

Achizitie servicii expert independent pentru selectie directori cu mandat

ALTUR S.A. (ALT) (26/09/2023)

Demisie administrator

AROBS TRANSILVANIA SOFTWARE (AROBS) (26/09/2023)

Document de informare - atribuirea cu titlu gratuit a unor actiuni in baza SOP

C.N.T.E.E. TRANSELECTRICA (TEL) (26/09/2023)

Litigiu

TRANSILVANIA INVESTMENTS ALLIANCE S.A. (TRANSI) (26/09/2023)

Reluare tranzactionare ora 17:00 - conform Codului BVB - operator de piata reglementata (Titlu II - art. 115 si Titlu III - art. 6) - Decizia ASF nr. 1006/26.09.2023 - aprobare document oferta publica de cumparare actiuni TRANSI