Atacuri informatice direcționate și complexe în România anului 2015

119

În perioada 01.01.2015 – 31.12.2015, CERT-RO a colectat și procesat 68.206.856 de alerte de securitate cibernetică, în scădere cu 13% față de anul 2014 (78.769.993), dintre care alerte colectate și procesate automat (feed-uri) – 68.205.633, alerte colectate și procesate manual (email tiketing) – 1.223, se spune în Raportul cu privire la alertele de securitate cibernetică procesate de CERT în RO în anul 2015.

Prin alertă de securitate cibernetică, se înțelege orice semnalare ce conține o adresă IP sau un domeniu web (URL), referitoare la un posibil incident sau eveniment de securitate cibernetică, ce implică sau poate implica sisteme informatice din spațiul cibernetic național deținute/administrate de persoane fizice sau juridice din România.
Raportul reprezintă analiza alertelor de securitate cibernetică colectate și procesate de CERT-RO în anul 2015, în vederea obținerii unei imagini de ansamblu asupra evenimentelor relevante pentru evaluarea riscurilor de securitate cibernetică la adresa infrastructurilor cibernetice de pe teritoriul României, aflate în aria de competență a CERT-RO.

Un număr de 2.321.931 de adrese IP unice au fost vizate de alertele colectate de CERT-RO în anul 2015.
Numărul total de IP-uri unice alocat organizațiilor din România este de 8.958.4981, în scădere față de anul 2014 (aprox. 10 mil.) și anul 2013 (aprox.13,5 mil.).

În urma analizării alertelor de securitate cibernetică colectate de CERT-RO în 2015, au fost constatate următoarele:
alerte colectate 2015# 26% (2.3 mil.) din totalul IP-urilor unice alocate spațiului cibernetic național au fost implicate în cel puțin o alerta de securitate cibernetica procesată de CERT-RO în anul 2015, față de 24% (2.4 mil.) în anul 2014 și 16% (2.2 mil.) în anul 2013;
# 78% (53 mil.) din alertele colectate și procesate vizează sisteme informatice vulnerabile, în sensul că sunt ne-securizate sau configurate necorespunzător. Unele dintre aceste sisteme informatice vulnerabile sunt utilizate de atacatori pentru lansarea de atacuri cibernetice asupra altor ținte și pentru mascarea identității, de cele mai multe ori ne-fiind necesară compromiterea acestora ci doar simpla utilizare a serviciilor disponibile (spre exemplu: servere DNS de tip „Open Resolver”, servere Proxy fără autentificare, servere NTP configurate ne-corespunzător etc.);
# 20,78% (14 mil.) din alertele colectate și procesate vizează sisteme informatice infectate cu diferite variante de software malițios (malware) de tip botnet, caracterizat prin faptul că dispune de mecanisme ce permit atacatorilor să controleze de la distanță sistemele informatice infectate;
# 64% (3 mil.) din numărul total de incidente rezultate din procesarea alertelor (secțiunea 3.2) reprezintă sisteme informatice ce fac parte din rețele de tip botnet, acestea putând fi utilizate în derularea de atacuri cibernetice asupra unor ținte din România sau externe;
# 17.088 de domenii „.ro” au fost raportate la CERT-RO ca fiind compromise în anul 2015, în creștere cu aproximativ 58% față de anii 2014 (10.759) și 2013 (10.239). Din totalul de 855.9972 domenii înregistrate în România în luna februarie 2015, numărul reprezintă aproximativ 2% din totalul domeniilor ”.ro” și aproximativ 6,5% din totalul domeniilor “.ro” active.

Amenințările și vulnerabilitățile de natură cibernetică la adresa spațiului cibernetic național continuă să se diversifice, aspect evidențiat prin faptul că în anul 2015, CERT-RO a introdus noi tipuri de alerte.
Majoritatea alertelor colectate se referă la sisteme informatice vulnerabile (configurate necorespunzător sau nesecurizate) și la sisteme informatice infectate cu diverse variante de malware de tip botnet.
Oricare dintre cele două tipuri de sisteme informatice menționate mai sus pot fi folosite ca interfață (proxy) pentru desfășurarea unor atacuri asupra unor ținte din afara țării, reprezentând astfel potențiale amenințări la adresa altor sisteme conectate la Internet.
Dispozitivele sau echipamentele de rețea de uz casnic (ex.: routere wireless) sau cele care fac parte din categoria Internet of Things (IoT) (camere web, smart TV, smartphone, imprimante etc.), odată conectate la Internet, devin ținta atacatorilor, iar vulnerabilitățile acestora sunt exploatate de către aceștia pentru a compromite rețeaua din care fac parte, sau pentru lansarea de atacuri asupra altor ținte din Internet.
Entități din România au fost ținta unor atacuri informatice direcționate și complexe, de tip APT (Advanced Persistent Threat), lansate de către grupări ce au capacitatea și motivația necesară pentru a ataca în mod persistent o țintă în scopul obținerii anumitor beneficii (de obicei acces la informații confidențiale).

România este atât o țară generatoare de incidente de securitate cibernetică, cât și cu rol de proxy (de tranzit) pentru atacatori din afara spațiului național prin prisma utilizării unor sisteme informatice vulnerabile sau compromise, ce fac parte din spațiul cibernetic național.
În pofida aspectelor tehnice ce fac imposibilă identificarea numărului exact de dispozitive sau persoane afectate, din spatele celor peste 2,3 milioane de adrese IP sau 68 milioane de alerte raportate la CERT-RO, este important de reținut că acestea acoperă aproximativ 26% din spațiul cibernetic național (raportat la nr. de IP-uri alocate RO) și ca urmare sunt necesare măsuri de remediere a situației, prin implicarea tuturor actorilor cu responsabilități de ordin tehnic sau legislativ.

LĂSAȚI UN MESAJ