Tag Archive for: romania

În ultimii ani, importanța securității cibernetice a devenit din ce în ce mai evidentă pentru toți cei care utilizează tehnologia și internetul în activitățile lor. Cu toate acestea, creșterea dependenței noastre de tehnologie ne-a expus la riscuri și amenințări cibernetice fără precedent.

Infractorii cibernetici sunt mereu în căutare de vulnerabilități în infrastructurile critice, cum ar fi sistemele financiare, rețelele de transport sau chiar infrastructura de energie electrică. Odată ce identifică o vulnerabilitate, aceștia pot să acceseze zonele confidențiale ale infrastructurilor și să compromită informațiile sau să cauzeze daune semnificative.

Din fericire, există specialiști în domeniul securității cibernetice care lucrează neobosit pentru a detecta și a remedia vulnerabilitățile în infrastructurile critice. Acești experți fac parte din instituții publice sau sunt parte din echipele structurilor cu competențe în securitate cibernetică. Munca lor este deosebit de importantă pentru a proteja economia și societatea de amenințările cibernetice.

Uneori suntem predispuși la ignorarea unor vulnerabilități din infrastructură(în cazul în care am fost informați despre ele), deoarece acestea nu au impact direct asupra sistemelor componente și considerăm că este un risc acceptabil. De aceea supun atenției dumneavoastră analiza unei astfel de vulnerabilități și impactul probabil asupra unei instituții sau corporații.

Analiză unei vulnerabilități – Banca Națională a României – Document

Securitatea cibernetică este o responsabilitate comună!

Analiza unui atac cibernetic complex și eficient

Angheluș AlexandruProdefence
Oana BuzianuWintech

Societatea digitală actuală are nevoie de o disponibilitate continuă a serviciilor și de o protecție eficientă a datelor sensibile. Activele informaționale și serviciile online sunt foarte importante pentru toate organizațiile și sunt vitale pentru crearea unei economii digitale sigure.

Deși atacurile cibernetice vizează fiecare industrie, sectorul financiar este afectat în mod disproporționat, fiind vulnerabil la foarte multe amenințări din ce în ce mai sofisticate, deoarece infractorii cibernetici știu că au acces la sume mari care le autofinanțează activitățile criminale. Securitatea cibernetică în organizațiile din sectorul bancar a devenit din ce în ce mai critică.

Mizele cresc atunci când vorbim despre confidențialitatea, integritatea și disponibilitatea activelor informaționale, precum și despre implementarea unor servicii și aplicații de ultimă generație(Fintech, Blockchain), care conduc la îmbunătățirea rezistenței împotriva amenințărilor cibernetice. Sectorul financiar recunoaște evoluția amenințărilor și riscurilor cibernetice, precum și ritmul accelerat al tehnologiei în permanentă schimbare.

Ca și în cazul altor infrastructuri informaționale, o parte din deciziile și soluțiile adoptate de conducere nu se pot baza strict pe politici și proceduri, ci au la bază incidente de securitate cibernetică cu impact asupra propriilor instituții, sau analize/ rapoarte ale experților în securitate cibernetică.

Toate acestea subliniază necesitatea de a proteja datele și tranzacțiile cu date sensibile și, prin urmare, de a (re)asigura încrederea în sectorul financiar.

Această analiză are ca subiect un atac cibernetic extrem de complex și cu o activitate infracțională foarte ridicată, deși totul pleacă de la o simplă informație găsită pe una dintre platformele monitorizate de echipa ProWin.

Așa cum am menționat în articole anterioare, infractorii cibernetici au ca scop comun obținerea de câștiguri financiare, direct sau indirect. Am scris infractori, deoarece atacurile cibernetice lansate de aceștia se aseamănă cu infracțiunile cunoscute în viața de zi cu zi.
Atacului cibernetic asupra Ministerului Afacerilor Externe nu îi putem atribui o astfel de descriere, pentru că în acest caz nu mai putem discuta despre infracțiune financiară, scopul atacatorilor fiind foarte definit… și anume accesul în infrastructura Ministerului.

Documentul conține informațiile și analiza atacului cibernetic.

Steganography (/ˌstɛɡəˈnɒɡrəfi/ (listen) STEG-ə- NOG-rə-fee) is the practice of concealing a message within another message or a physical object. In computing/electronic contexts, a computer file, message, image, or video is concealed within another file, message, image, or video. The word steganography comes from Greek steganographia, which combines the words steganós (στεγανός), meaning „covered or concealed”, and -graphia (γραφή) meaning „writing – Wikipedia


What you see is a proof of three government institution
documents hosted on the official servers.
Important aspects:
• Three different people
• Three different years
• The same institution (National Agency…)

If you haven’t noticed anything special in these images
it’s normal. During this analysis you’ll notice some details
that make the difference and will make you wonder
about some things.
These questions appear are covered on this analysis.

I can tell you for sure that I do not know what these documents represent or what their ultimate purpose is. 100% of these government documents have been modified by someone, a threat actor or a system.

However, their existence raises questions from a cyber security perspective.
For now, I can only imagine a few ways in which the documents have reached this state.
• The computer used to edit them is compromised.
• The software used is modified to insert those characters into documents.
• The server of the Government Institution is compromised and someone has made the necessary
changes.

If this seems random or of low severity …
think about what I mentioned earlier (server, computer, software) and the implications of each element’s personal and confidential data that may be compromised and exploited by cyber criminals.

A source code – an opportunity to find out the secrets of malware applications
• Pegasus – Zero Click Spyware
• Pegasus – Remote Administration Tool
• Analysis of what the source code represents

Pegasus Spyware Zero Click – One of the most dangerous applications of cyber espionage. If most applications require the victim to click on something, it seems that in the case of Zero Click Spyware it is enough for the target device to receive an SMS. The device is compromised and under the control of the attacker.

The publication of the source code is an opportunity for cybersecurity specialists to discover the secrets of international cyber espionage. We’re going to explore the files we found to see if we’re really that lucky.

Odată cu extinderea semnificativă a spațiului virtual, utilizatorii din mediul online își împărtășesc din ce în ce mai multe informații personale și drept urmare, o cantitate enormă de date legate de identificare sau tranzacții financiare sunt expuse agresorilor cibernetici. Phishing-ul este unul dintre exemplele de criminalitate prin intermediul căruia infractorii își înșală victimele, cu scopul de a exploata ulterior elementele exfiltrate. De la primul atac raportat în 1990, metoda a evoluat, vectorii de livrare devenind deosebit de sofisticați. Articolul își propune evaluarea acestor acțiunii, identificarea și revizuirea tehnicilor existente.

Sectorul financiar este una dintre principale ținte ale infractorilor cibernetici, care folosesc deseori atacurile de phishing pentru a ocoli protocoalele de securitate ale băncilor, cu scopul de a-și atrage victime și de a le convinge de legitimitatea e-mailului falsificat. Aceștia apelează la diverse trucuri de inginerie socială prin crearea de scenarii (actualizare falsă a contului, upgrade de securitate etc.) și tehnici specifice (imitarea imaginilor, logo-urilor și identității instituțiilor bancare etc.).

Descarcă documentul: https://dnsc.ro/vezi/document/phishing-ul-bancar

Concluzii

Deși educația cibernetică reprezintă una dintre cele mai eficiente bariere de apărare împotriva phishing-ului, această amenințare va fi dificil de eliminat complet datorită complexității în continuă creștere, a rafinamentului atacurilor, a elementelor de inginerie socială și a instrumentelor tehnice în continuă dezvoltare. Se poate observa o repoziționarea a agresorilor care trec de la e-mailurile tradiționale, la phishing-ul bazat pe rețelele sociale, înregistrându-se un permanent decalaj între atacurile de phishing sofisticate și contramăsurile implementate.

Campaniile de conștientizare cu privire la phishing trebuie să fie promovate nu doar clienților și angajaților băncilor, ci și personalului responsabil de aplicarea legii, care este în măsură să investigheze infracțiunile economico – financiare online. Clienții trebuie să cunoască nivelul potențialului impact financiar rezultat în urma unui atac cibernetic reușit. Băncile trebuie să încerce să combată capabilitățile în continuă schimbare ale atacatorilor cibernetici prin crearea de aplicații online adaptate, mai sigure, cu potențial de a recunoaște mai rapid schemele infracționale de tip phishing. Angajații care transferă fonduri în mod regulat, care gestionează date sensibile, sau care participă la activități cu risc operațional ridicat au nevoie de instruire suplimentară despre cum să detecteze și să evite capcanele phishing mai sofisticate. Persoanele cu rol de aplicare a legii trebuie de asemenea să fie familiarizate cu instrumentele utilizate în atacurile de tip phishing și să înțeleagă modul în care acestea funcționează, pentru a atribui corect atacurile făptuitorilor și pentru a propune contramăsuri mai eficiente.

Formarea continuă privind riscurile de securitate cibernetică poate fi cheia pentru a evita pierderile și pentru a reduce impactul. În acest articol s-a dorit evidențierea importanței dezvoltării mai multor tehnici anti-phishing, cu rol de detectare și blocare a atacurilor, precum și o taxonomie clară pentru a înțelege cât mai mult din ciclul de viață al phishing-ului.

Referințe:

Directoratul Național de Securitate Cibernetică – https://dnsc.ro/vezi/document/phishing-ul-bancar
Siguranța Online – https://sigurantaonline.ro/phishing-ul-bancar/
ResearchGate – https://www.researchgate.net/publication/360393165_Phishing-ul_bancar_Propuneri_de_solutii_pentru_diminuarea_numarului_de_victime_ale_atacurilor_cibernetice_de_tip_phishing

Atacul DDOS

Atacul DDOS este o formă de atac cibernetic realizat prin trimiterea excesivă de date către serverul țintă. Pentru realizarea atacului nu este obligatoriu ca atacatorul să fie hacker și să aibă cunoștințe tehnice deosebite, dar impactul asupra țintei va depinde de anumite criterii esențiale.

Este considerat un atac cibernetic deoarece poate produce pagube în toate industriile și mai ales infrasctructurilor serviciilor esențiale.

Atunci când se lansează un astfel de atac trebuie să existe:

  • O țintă clară (nu introduci un IP la nimereală),
  • Un scop clar (faimă, mesaj, daune),
  • Buget(platformă ddos, zombi, echipament, proxy).
  • Sacrificiu (dispozitive/ Ip-uri care devin inutile)

Primele două sunt ușor de înțeles, așa că vom insista doar pe buget și sacrificiu.

Buget.

DDOS-as-a-Service
Realizarea atacurilor DDOS se poate face prin intermediul platformelor care oferă servicii de acest gen. Ca și preț pentru 1 oră de DDOS asupra unui IP vorbim de 10-35$. Un ”atacator” va plăti în funcție de ceea ce dorește ca platforma să facă pentru el (tip, timp, putere). În timpul atacului acesta va accesa o altă platformă de control a funcționalității IP, va copia adresa raportului și se va lăuda cu ”atacul hacking” asupra țintei X.

Servere compromise.
O altă metodă de atac este folosirea serverelor compromise(de aceea se insistă pe securizarea infrastructurilor administrate). Hackerii compromit servere vulnerabile sau prin intermediul verigilor slabe(angajați) și introduc o serie de scripturi pentru persistența accesului, dar și pentru folosirea infrastructurii în desfășurarea unor tipuri de atacuri(ddos, distribuire de malware, campanii phishing etc). De cele mai multe ori aceștia vând accesul la aceste scripturi sau le folosesc pentru platformele mai sus menționate. Dar revenind la subiectul principal, vom sublinia faptul că doritorii de DDOD vor cumpăra accesul la aceste scripturi și le vor folosi după bunul plac.

Zombi
Exact! Ca în filmele cu acei oameni care făceau anumite lucruri fără a exista consimțământ. Așa și în cazul nostru, doar că sunt folosite dispozitivele oamenilor(și aici iar amintesc de necesitatea securizării, dar pentru dispozitivele noastre: pc, telefon, tabletă, router, tv, frigider smart etc). Atacatorii lansează campanii de distribuire a virușilor, iar dispozitivele infectate vor aștepta comenzile hackerului. Aici nu doar timpul de atac este foarte mare, ci și bugetul necesar pentru menținerea accesului.

Echipament/ Proxy
Aplicațiile pentru atacul DDOS nu sunt ceva super complicat și se pot obține ușor, fie fiind cumpărate, fie folosindu-se aplicații piratate/ sparte. Aici factorii importanți sunt lista de IP-uri folosită sau nodurile de redirecționare. De obicei, IP-urile folosite în atacuri cibernetice intră în diferite liste negre și vor fi respinse de mecanismele de apărare dispozitivelor sau infrastructurilor(antivirus, firewall etc), drept urmare, pentru a realiza un atac trebuie ca atacatorul să cumpere liste care să conțină IP-uri bune.

Sacrificiu

Sacrificiul este legat ceea ce am descris la Buget.
Atunci când este efectuat un astfel de atac, Toate IP-urile sunt preluate de mecanismele de apărare și introduse în lista neagră, această listă ajunge să fie folosită de mai multe mecanisme anti hacking și astfel devin inutile.
Sacrificiul vine atunci când se inițiază un astfel de atac.. știind că acele dispozitive sau IP-uri folosite nu vor mai fi bune pentru alte atacuri.

Dar… acest lucru este valabil NUMAI atunci când infrastructurile folosesc mecanisme de apărare împotriva atacurilor cibernetice!!!

Impactul atacurilor DDOS

Trebuie să înțelegem că impactul unui atac DDOS diferă de la infrastructură la infrastructură, depinde de timpul de atac și de mecanismele de apărare.

Impactul asupra unei pagini de prezentare nu se aseamănă cu atacul asupra unui magazin online, deoarece blocarea temporară a accesului la pagina web poate afecta imaginea și corespondența, în schimb magazinul online nu va putea vinde produse în timpul atacului cibernetic.

Infrastructurile cu soluții de apărare implementate vor fi afectate mai puțin sau chiar deloc vizibil, deoarece unele IP-uri vor fi blocate foarte repede, iar unele vor fi direcționate spre ”găurile negre” pregătite pentru astfel de situații.

Ce se poate face pentru evitarea/ stoparea incidentelor.

Exista o serie de măsuri care se pot aplica pentru diminuarea impactului, iar administratorii de rețele pot apela oricând la prietenul Google pentru implementare.

Dar… vom pune în articol câteva idei.

  1. In funcție de buget, se pot achiziționa echipamente anti DDOS sau servicii anti DDOS(traficul va trece prin serverele acestora, iar administratorul doar va fi notificat că a exista un atac, fără a fi afectată infrastructura),
  2. Setarea corectă a permisiunilor și a accesului la infrastructură(white/ black lists),
  3. În funcție de funcționalitatea infrastructurii se pot aplica restricții/ limitări pe timpul nopții,
  4. Dacă activitatea este dedicată utilizatorilor din România, o restricție pe IP este o soluție bună(asta dacă atacatorul nu are IP-uri curate de România),
  5. .. mai completăm dacă ne mai vin idei(încă sunt la jumătatea ceștii de cafea…)

Măsura cea mai interesantă și eficientă este cea ofensivă, dar nu o punem în listă, deoarece x, y, z. Un mecanism de apărare ofensiv ar prelua, în timp real, toate IP-urile folosite în atac și ar trimite către acestea un flux de date care să ducă la blocarea serverelor/ dispozitivelor folosite în atac. În acest caz, atacatorii și dispozitivele acestora vor deveni victime ale propriilor acțiuni, iar țintele acestora nu vor avea de suferit.
Desigur, vor exista victime colaterale, dispozitivele și infrastructurile compromise(folosite de atacatori) fiind afectate pe termen scurt, dar…

Pentru a înțelege mai bine situația, vom folosi un scenariu foarte legat de realitate.

Un magazin online poate funcționa pe un server pe care îl împarte cu alți chiriași sau unul dedicat. Indiferent de situație, acel server face parte dintr-o infrastructură și este echipat cu mecanisme automate de apărare/ protejare.
Pentru face un calcul al impactului și stabilirea unor restricții.. de exemplu pe IP, încât după anumite ore sau pe toată durata acestei perioade doar clienții din România să poată accesa magazinul, trebuie să existe o imagine clară a clienților, pentru a vedea câți clienți sunt din afara țării. În funcție de procentul acestora (5 -10 -15%) și raportat la 30 de zile puteți face o un calcul al sumei pierdute dacă blocați accesul.
Restul de 85%, care provin din România, nu îi vom raporta la 30 de zile, ci la 1-2 zile în care magazinul nu ar mai fi funcțional.
De ce 1-2 zile? Deoarece în cazul unui atac de tip DDOS mecanismele de apărare ale infrastructurii din care face parte serverul magazinului se va proteja și va suspenda întregul server, pentru a nu fi afectate și alte componente ale acestuia.
Mai exact, dimineață veți observa ca magazinul este offline, urmează un schimb de mesaje/ telefoane cu administratorul, acesta discută cu echipa tehnica a infrastructurii și până la urmă magazinul revine la normal, doar că în tot acest timp clienții nu l-au putut accesa și au căutat în altă parte.

Fiind o perioadă dificilă și luând în considerare creșterea numărului de atacuri cibernetice suntem obligați să luăm măsuri mai drastice. Să calculăm posibilele pierderi în cazul unui atac cibernetic și să implementăm măsuri de diminuare a impactului.
Măsuri adaptate la serviciile oferite, posibile pierderi, impact, imagine…buget etc.

Septembrie 2021.

Fortigate VPN leak. Lista a 500.000 de servere a fost făcută publică zilele și toată lumea a început să reacționeze, să încerce remedierea vulnerabilităților care le expuneau datele de acces.

Sursă: CERT-RO – 2021/09/09

Ceea ce trebuie să înțeles, este faptul că vulnerabilitatea a devenit publică cu mult înainte, deci… aceasta a fost exploatată o perioadă bună de timp de câteva grupuri restrânse, iar după publicare a fost exploatată de toți cei interesați și pricepuți la astfel de activități. Acum, la expunerea totală a datelor de acces, serverele vulnerabile sunt exploatate de oricine.

Februarie 2021

Am aflat și căutat informații despre vulnerabilitate, am testat impactul asupra severului de VPN.
Am început analizarea infrastructurii din România, pentru a găsi potențiale servere, asupra cărora ar putea avea impact vulnerabilitatea.
Într-un mod subtil am lansat o avertizare și pe social media, știind că cei interesați vor cere informații despre vulnerabilitate.

Martie 2021.


Am adunat informațiile despre serverele din România care rulează acest serviciu și am trimis avertizarea către Centrul National de Răspuns la Incidente Cibernetice (CERT-RO) , devenit DNSC – Directoratul National de Securitate Cibernetică.

Echipa de răspuns la incidente a preluat informațiile și în regim de urgență s-a trecut la găsirea deținătorilor și implicit avertizarea acestora, cu privire la vulnerabilitatea care afișează datele de logare a utilizatorilor de VPN.

Cei afectați aparțineau sectorului public, dar și privat. Instituții, distribuitori echipamente medicale, agentie turism,  telecomunicații, lanț farmaceutic… plus IP-uri ale căror deținători nu am avut timp să le analizăm, dar echipa CERT-RO s-a ocupat în detaliu.

Un număr impresionant de servere care erau deja exploatate sau urmau să fie, luând în calcul rapiditatea răspândirii informațiilor despre vulnerabilitate și apariția tutorialelor de exploatare.

Revenim la Septembrie 2021.

O listă impresionantă apare public. Lista conține toate serverele care au fost vulnerabile de la apariția publică a CVE-ului, dar și toate datele de logare ale utilizatorilor.

De fapt, știrea apărută pe toate canalele vorbește despre o listă apărută și în mod clar, incă nu o avea toată lumea. Cert este că, mai nou o aveau cei care frecventează anumite platforme hacking, aceștia fiind analiști/ cercetători în securitate cibernetică și desigur, cei care sunt implicați în activități cibernetice ilegale.

„nicxxx:Rad@6464#”,./10443_/RO/136.x.x.x.txt”,”nicxxx:Rad@6464#”, „ip”: „136.x.x.x”

 „uzexxx:12%asdxx”,./10443_/RO/86.x.x.x.txt”,”uzexxx:12%asdxx”, „ip”: „86.x.x.x”

 „delxxx:ote@xx”,./10443_/RO/5.x.x.x.txt”,”delxxx:ote@xx”, „ip”: „5.x.x.x”

 „pexxx:Opxx”,./10443_/RO/86.x.x.x.txt”,”pexxx:Opxx”, „ip”: „86.x.x.x”

 „sixxx:SDxx”,./10443_/RO/86.x.x.x.txt”,”sixxx:SDxx”, „ip”: „86.x.x.x”

 „tdxxx:diPxx”,./10443_/RO/5.x.x.x.txt”,”tdxxx:diPxx”, „ip”: „5.x.x.x”

Acesta a fost moment de panică pentru administratori, IT-iști, centre de Securitate cibernetică etc.
Dar nu și pentru noi… în mod sigur nici pentru DNSC România.

În ceea ce privește România, lista conține serverele trimise de noi catre DNSC..în  Martie 2021, dar și câteva noi.

Iar din auzite, unele entități și-au rezolvat rapid vulnerabilitatea, dar sunt sigur că nu s-au conformat toți!

Din punctul nostru de vedere, situația este următoarea.
Vulnerabilitatea este exploatată de mult timp, deci administratorii nu ar fi putut face ceva, dar, cel puțin din Martie 2021 puteau da curs avertizării inițiate de echipa CERT-RO, pentru a evita compromiterea sau o nouă compromitele, care din acel moment putea veni din partea oricărui doritor de exploatare a serverelor.

Ceea ce nu este foarte discutat, este faptul că toată lumea s-a concentrat pe eliminarea vulnerabilității, dar nimeni nu vorbește despre serverele deja exploatate.
Cu ce au fost infectate? Ce comenzi au fost executate?
Interesant, nu?

În concluzie, atragem atenția asupra importanței comunicării și a conformării, atunci cănd avertizați sau informați despre anumite vulnerabilități. Cei care s-au conformat in Martie, nu au avut motive de panică în Septembrie.

Mulțumesc echipei de răspuns la incidente din cadrul Directoratului Național de Securitate Cibernetică, pentru promptitudinea și seriozitatea de care dau dovadă la fiecare avertizare/ informare trimisă de către echipa Prodefence!!!

Din nou despre atacurile de tip Phishing.
Este cel mai folosit și cel mai eficient atac la nivel individual, dar cu impact extins, în funcție de ținta finală a atacatorilor.

Conduce la extragerea de date personale, fraude financiare, infiltrare spre resurse ale companiilor/ instituțiilor, profilare…etc.
De cele mai multe ori, există indicii ale atacurilor.
Ele sunt vizibile, dar trebuie ca noi să fim atenți și să nu ne lăsăm păcăliți de mesajele amenințătoare sau ademenitoare!Prin educație, putem reuși diminuarea numărului de victime!

CERT-RO
ProDefence
FinCrime
Cyscoe – Cyber Security Cluster of Excellence


#educatiecibernetica #furtdate #phishing #banca #frauda #romania #hacking

După cum am menționat în articolele anterioare, dacă vrem să avem parte de acea schimbare, la nivel de securitate cibernetică, trebuie să colaborăm și să ne implicăm în această activitate zilnică.

Pe social media am anunțat apariția unei pagini ce părea afectată de Ransomware, dar era doar începutul, deoarece hackerul anunțase deja compromiterea a 3 servere de hosting. Au urmat alte 28 de pagini atacate de aceiași persoană, dar și o surpriză din partea unui atacator român care a criptat pagina unei instituții.

Adresele găsite au ajuns la CERT-RO, pentru a putea fi anunțați deținătorii. O parte dintre aceștia au luat măsurile necesare.. sau au făcut ce au putut, dar au avut inițiativă.
În schimb, o parte dintre cele 28 de pagini încă sunt la același stadiu, așa că îi vom anunța prin acest articol draguț!

Listă domenii afectate la momentul realizării articolului:

  • http://raufar.ro/
  • http://raufarwater.ro/
  • http://www.bigprintsolutions.ro/
  • http://militarywatch.ro/
  • http://imfarco.ro/
  • http://forsining.ro/
  • http://www.psihologmures.ro/
  • https://clubaventura.ro/

O altă surpriză vine din partea atacatorilor români. O nouă pagină criptată și semnată de o grupare românească!

http://gestino.ro/
Plus încă una >> http://eurodinamic.ro/

Așadar aici suntem! Lucrurile evoluează în toate direcțiile!
Nimic nu poate fi 100% securizat, dar măcar să încercăm!

Succes în activitățile pe care le aveți!

Cu respect,

Alexandru Angheluș!