Raportul atacurilor cibernetice asupra României: sistemele învechite sunt ţinta. Cel mai popular virus, unul din 2008

Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a publicat raportul ameninţărilor informatice care au lovit România în 2013. 16% din IP-urile României au fost implicate într-o alertă de securitate cibernetică.

Peste 16% din totalul numărului de IP-uri alocat României (aproximativ 13,5 milioane), a fost implicat în cel puţin o alertă de securitate cibernetică raportată la CERT-RO în anul 2013.

Aproximativ 78% din alerte vizează sisteme informatice din România, victime ale unor atacatori care, de regulă prin exploatarea unor vulnerabilităţi tehnice, au vizat infectarea sistemelor cu diverse tipuri de aplicaţii malware, în scopul constituirii unor reţele de tip botnet (zombie). 

Numărul total de IP-uri unice identificate, în baza acestor alerte, este de 1.945.597, respectiv 14% din plaja totală de IP-uri alocate României.

Peste 16% din alerte vizează sisteme informatice din România, victime ale unor atacatori care, de regulă prin exploatarea unor configurări defectuoase sau vulnerabilităţi ale serverelor DNS, au vizat folosirea sistemelor informatice vulnerabile pentru lansarea unor atacuri asupra altor ţinte din Internet (DNS amplification attacks, DNS cache poisoning etc.). Peste 5% din alerte vizează entităţi din România ce trimit mesaje email nesolicitate de tip spam, către diverse ţinte din reţeaua Internet, potrivit, CERT-RO. 

40% din totalul alertelor vizează sisteme informatice din România infectate cu viermele Conficker, pentru care există deja patch-uri de securitate sau mecanisme de dezinfecţie; conform datelor deţinute aprox. 12,5% din IP-urile unice din RO, au fost raportate în 2013 ca fiind infectate cu Conficker. Troianul, identificat în anul 2008, vizează sisteme informatice ce rulează sisteme de operare din familia Microsoft Windows, ce nu au instalate ultimele patch-uri de securitate

Peste 50% din totalul IP-urilor unice raportate rulează sisteme de operare din familia Microsoft Windows, versiunile 98, 2000, XP sau 2003

Peste 39% din totalul alertelor individuale (5.2) vizează entităţi din România ce găzduiesc pagini web de tip phishing, ce afectează activitatea unor instituţii financiare din România sau străinătate.

10.239 domenii .ro au fost compromise în 2013, reprezentând aprox. 1,4% din totalul domeniilor .ro; 60% dintre acestea sunt domenii infectate cu diverse variante de malware, ce pot infecta alţi vizitatori

61 de IP-uri au fost semnalate ca fiind infectate cu diverse variante de malware de tip APT.

Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013

Potrivit Centrului, ameninţările, de natură informatică, asupra spaţiului cibernetic naţional s-au diversificat, fiind relevate tendinţe evolutive, atât din perspectivă cantitativă, cât şi din punct de vedere al complexităţii tehnice.

Majoritatea sistemelor informatice compromise din România, fac parte din reţele de tip ”botnet”, fiind folosite cu rol de „proxy” pentru desfăşurarea altor atacuri asupra unor ţinte din afara ţării, reprezentând astfel potentiale ameninţări la adresa altor sisteme conectate la Internet.

Pe baza analizei tipurilor de malware specifice spaţiului cibernetic naţional precum şi a tipurilor de sisteme compromise, reiese faptul că, din punct de vedere cantitativ, majoritatea atacurilor sunt îndreptate către sisteme învechite.

Entităţi din România devin din ce în ce mai frecvent ţinta ameninţărilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de către grupuri ce au capacitatea şi motivaţia necesară pentru a ataca în mod persistent o ţintă în scopul obţinerii anumitor beneficii (de obicei acces la informaţii sensibile).

România nu mai poate fi considerată doar o ţară generatoare de incidente de securitate cibernetică, analiza datelor prezentate demonstrând caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reţeaua internet în România, arată CERT.