ROMÂNIA BREAKING NEWS

Home Posts Tagged "atac cibernetic"

atac cibernetic

,

În data de 8 Aprilie 2015, mai multe publicatii din R. Moldova au preluat rapid informatia despre spargerea  Google.MD, informatie interpretata și prezentata în mod eronat de către publicațiile respective însă nu numai  google.md a fost „sparte” ci și GOV.md, bbc.md, msn.md, youtube.md, microsoft.md, yahoo.md.

Timpul.md: Contul google.md a fost spart de hackeri. Solicitat de Radio Chișinău a intreprinderea moldData au evitat să comenteze deocamdată acest atac informațional.

Realitartatea.md:Site-ul cu extensia .md a motorului de căutare Google a fost spart în această dimineață. Potrivit mesajului lăsat de hackeri, aceștia ar fi din Bangladesh.

Radio Chișinău: Contul google.md a fost spart de hackeri. Solicitată de Radio Chișinău intreprinderea MoldData a evitat să comenteze deocamdată acest atac informațional.

Publika.md: Varianta de Moldova a celebrului motor de căutare Google a fost spartă. Utilizatorii nu pot accesa pagina, iar cel care a făcut boacăna a ținut să lase inscripția că ar fi un hacker din Bangladesh.

In realitate nu Google.MD a fost spart ci I.S. MoldData, întreprinderea de Stat ce gestionează domeniul național .md (furnizorul național de servicii acces Internet, înregistrare de domenii .md, gazduire web, proiectare și montare de rețele de calcul după se prezintă pe site-ul lor oficial – molddata.md) care a fost supusa unui atac cibernetic (vedeți mai jos).

Asta luand in consideratie ca pe 8 Aprilie 2015 intre 00:00 si 06:00 ora Chisinau, siteul NIC.MD nu era accessibil. Ar fi prea mult sa fie o simpla coincidenta.

Ce s-a intamplat cu Google.MD in termeni technici se numeste „defacement”, un fel de „schimbare la fata” a unui site web.

Actiunea de „defacement” de obicei se realizeaza prin „DNS hijack”, sau „interceptarea și inlocuirea DNS”.
DNS este sistemul care transforma un nume de domeniu precum „google.md” într-un IP de genul „216.58.210.196″.
De exemplu rulând în linia de comanda „ping google.md”, veți vedea că cererile pleaca catre un IP asemanator „216.58.210.196″.

Cand are loc un „DNS hijack”, inregistrarile .MD sunt inlocuite de atacatori in asa fel incat cererile catre acelasi „google.md” duceau mai nou catre „69.64.59.230”.

IP-ul „69.64.59.230” este un IP controlat de atacatori si deci pagina care apare e una controlata de atacatori.
Atacurile de „DNS hijack” deseori au loc pentru ca adminstratorii principali de domenii, ca in exemplul nostru MoldData pentru TLD .MD, au breșe de securitate în anumite puncte cheie ale infrastructurii de administrare a domeniilor.

Referințe despre acest „defacement” masiv și automat prin „DNS hijack :

Total notifications: 8 of which 1 single ip and 7 mass defacements

Legend:
H – Homepage defacement
M – Mass defacement (click to view all defacements of this IP)
R – Redefacement (click to view all defacements of this site)
L – IP address location
– Special defacement (special defacements are important websites)

Date Notifier H M R L Domain OS View
2015/04/07 TiGER-M@TE H M United States google.md Linux mirror
2015/04/07 TiGER-M@TE H M United States yahoo.md Linux mirror
2015/04/07 TiGER-M@TE H M United States microsoft.md Linux mirror
2015/04/07 TiGER-M@TE H M United States youtube.md Linux mirror
2015/04/07 TiGER-M@TE H M United States msn.md Linux mirror
2015/04/07 TiGER-M@TE H M United States bbc.md Linux mirror
2015/04/07 TiGER-M@TE H M United States gov.md Linux mirror
2015/04/07 test123 H United States nichiha.md Linux mirror
1
DISCLAIMER: all the information contained in Zone-H’s cybercrime archive were either collected online from public sources or directly notified anonymously to us. Zone-H is neither responsible for the reported computer crimes nor it is directly or indirectly involved with them. You might find some offensive contents in the mirrored defacements. Zone-H didn’t produce them so we cannot be responsible for such

Sursa: zone-h.org

Grav este si faptul ca si GOV.MD a fost supus unui astfel de atac.
Spre deosebire de Google.MD, GOV.MD la o privire atenta nu foloseste peste tot protocolul HTTPS.
HTTPS permite criptarea comunicatiilor

Deci problema reala s-ar putea sa fie mult mai grava.
Dupa cum se stie, I.S. MoldData este administratorul principal al domeniilor .MD (TLD .MD) si a zonei DNS .MD.
Adica orice cerere de adresa .md este rezolvata in prima instanta de serverele MoldData.
MoldData opereaza siteurile de inregistrare si administrare domenii prin NIC.MD si REGISTER.MD.
Aceste siteuri, NIC.MD si REGISTER.MD

O bresa foarte asemanatoare pare sa fi existat tocmai din Mai 2007, cand au fost semnalati administratorii si managerii MoldData. Se pare ca bresa nu a fost niciodata rezolvata!!!

—– Original Message —–
From: „Zveriu”
To: ;
Sent: Saturday, May 05, 2007 16:00
Subject: EXPLOITED Moldova TLD(.MD) Authority NIC(register.md/nic.md)

> Buna ziua!
>
> As dori sa va informez in legatura cu o bresa serioasa de securitate
> legata de gestiunea informatiilor (Contact data si NS hosts) si
> autorizarea modificarii acestora prin intermediul nic.md/register.md
>
> Bresa de securitate permite modificarea fara datelor mentionate mai sus
> pentru un domeniu fara autorizarea necesara pentru domeniul respectiv.
>
> Pentru o demonstratie a acestei brese de securitate se poate vedea facand
> un WHOIS query pentru domeniul NIC.MD – tool de whois:
> http://nic.md/whois.php
>
> IMPORTANT: bresa de securitate NU a fost folosita in niciun scop abuziv,
> ilegal sau fraudulos. Modificarea mentionata mai sus a fost folosita DOAR
> in scopuri demonstrative si informative pentru autoritatea NIC.
>
> Va rog sa luati masurile necesare pentru a fixa aceasta bresa intrucat
> pune in pericol buna functionare a TLD .MD / Sursa: forum.md

MoldData fiind companie de stat, ar cam trebuie sa se faca interpelari oficiale, la nivel de organe competente si parlamentare, referitor la un raspuns oficial din partea MoldData daca a fost tinta unui atac cibernetic si care sunt efectele, consecintele si daunele care au fost cauzate de acest atac cibernetic.

De notat este ca NIC.MD nu foloseste HTTPS, deci toate parolele se transmit in clar.
Dat fiind istoricul „nesecurizarii” de mai sus ala MoldData, este foarte posibil ca aceste parole si alte date se pastreaza necriptate, in clar.

Daca au fost sustrase si parole in urma acestui atac, atunci toti clientii MoldData ar putea fi supusi riscurilor aditionale, daca foloesesc aceeasi parola sau parole asemanatoare/derivate (ca si cea de pe NIC.MD) si pentru alte servicii digitale (email, etc.).

Surse: cetatenie.ro/blog,  realitatea.mdtimpul.mdradiochisinau.mdtorrentsmd.comzone-h.orgforum.md

Publicat pe romaniabreakingnews.ro

,

Directorul Serviciului Român de Informații, George Maior, a relatata într-un interviu acordat agenției Mediafax despre „amenințarea cibernetică la adresa statelor” și a dezvăluit faptul că SRI va coordona sistemul de apărare cibernetică realizat de NATO pentru Ucraina.

Potrivit lui Maior, serviciul pe care îl conduce a anticipat „evoluția extraordinară” a acestei noi amenințări, dincolo de cea teroristă: amenințarea cibernetică la adresa statelor.

Urmarea: „Am decis să înființăm un Centru Național de Securitate Cibernetică, coordonat de noi, care a făcut progrese, a putut detecta adesea atacuri punctuale sau generalizate la adresa unor infrastructuri critice de acest tip, importante în stat, din diverse ministere semnificative și să avem o cunoaștere bună pe acest palier„.

Datorită acestui lucru, afirmă directorul SRI, „un aport al României la întărirea capacităților statului ucreainean de a răspunde acestor provocări este cel din domeniul cibernetic, coordonat de Serviciu, practic, în urma deciziilor Summitului NATO din Țara Galilor”.

SRI va coordona de fapt Alianța în dezvoltarea unui sistem de apărare cibernetică pentru Ucraina, în aceste momente complicate și din acest punct de vedere pentru acest stat”, a precizat George Maior.(Surse: Cotidianul, Mediafax)

,

07 august (Reuters) – Cercetatorii din domeniul securității cibernetice ai Kaspersky Lab, au declarat că au descoperit o operațiune de spionaj cibernetic care a penetrat cu succes două agenții de spionaj și sute de ținte guvernamentale și militare din Europa și Orientul Mijlociu, de la începutul acestui an.

Campania de spionaj, potrivit Kaspersky, a fost probabil susținută de către un stat-națiune cu tehnici și instrumente similare cu cele utilizate în alte două campanii similare de operațiuni de spionaj, pe care, surse de informații occidentale le cataloghează ca având legătură cu cele folosite de guvernul rus.

Dar… Kaspersky Lab, este de fapt un producator din Moscova de software de securitate care vinde de asemenea rapoarte de informații cibernetice și care a refuzat să spună dacă Rusia a fost în spatele campaniei de spionaj.

Am putea totuși, vorba românului, spune ca seamă cu situația „lupul paznic la oi”, iar dacă situația este întocmai, atunci putem spune că aceasta se datorează gravei erori a occidentului și a lumii întregi care nu au înțeles că au de aface în toate domeniile în care este implicată o mână rusească, cu un potențial cal troian și „o unealtă de război” de care Rusia la un moment dat în momentele cheie și la nevoie se va folosi pentru a lovi sau conform viziunii lor …„pentru a se apăra”.

Kaspersky Lab este ocompanie care s-a dezvoltat la nivel internațional, devenind o comapanie multinațională cu mii de angajați, pe mai multe continente, prezentă în aproximativ 200 de țari și care protejeaza peste 300 de milioane de utilizatori din întreaga lume. Kaspersky Lab a ajuns cel mai mare producator privat de soluții de securitate endpoint din lume, fiind inclus în topul primilor patru producatori de soluții pentru protecție endpoint la nivel mondial. Pe parcursul celor 17 ani de existența, Kaspersky Lab a ramas o companie apreciată ca inovatoare în domeniul securitații informatice și ofera suite de protecție IT pentru utilizatori individuali, SMB și companii mari.

Trebuie sa recunoastem ca nu exista date certe pentru a asocia Kaspersky lab cu o astfel de unealtă a razboiului informational al Rusiei, dar nici nu putem trece cu vederea și să luăm de bune declarațiile și anunțurile Companiei Kaspersky, care se ferește sau nu vrea să indice sursa atacului, clar și fără echivoc. Să nu uitam în definitiv, un aspect cheie, avem de aface cu o companie rusească, iar Rusia de sub guvernarea Putin, nu o spunem noi, ci atâția și atâția analiști, consideră si privesc prin prisma războiului geopolitic fiecare aspect* care îi poate aduce avantaje  în războiul informațional și de „inteligence” și chiar mai departe. (Putem enumera companiile de petrol si gaze, companiile de IT, ONG-uri cultuale, religioase, etc.)

Să vedem datele furnizate de Kaspersky Lab:

Numele operațiunii: Epic Turla

„Epic Turla”, a furat cantități mari de date, inclusiv documentele de procesare text, foi de calcul și email-uri, a declarat Kaspersky, adaugand ca malware-ul a cautat documente care cuprind cuvinte cheie ca „NATO”, „dialog energetic  UE” și „Budapesta. „

„Am vazut că le fura destul de multe materiale, fiecare document ar putea ajunge pe mâinile lor”- a declart Costin Raiu, șeful echipei de cercetare care se ocupă de cazul „Epic Turla” din cadrul Kaspersky Lab. Declarația a fost dată pentru Reuters înainte de lansarea unui raportului privind „Epic Turla”,  în cadrul conferinței care a avut loc  joi  în Las Vegas.

Kaspersky a declarat că operațiunea în curs de desfășurare este prima campanie de spionaj cibernetic descoperit până în prezent, campanie care a reușit să pătrundă în agențiile de informații. Acesta a refuzat să numească aceste agenții, dar a spus că unul a fost situat în Orientul Mijlociu și celălalt în Uniunea Europeană.

Alte victime includ ministere și ambasade, ministere de interne, birouri comerciale, contractorii militari si companiile farmaceutice de afaceri externe, în conformitate cu Kaspersky. Cel mai mare număr de victime au fost localizate în Franța, Statele Unite, Rusia, Belarus, Germania, România și Polonia.

Kaspersky a declarat că hackerii au folosit un set de instrumente de software cunoscute sub numele de „carbon” sau „Cobra”, care au fost desfășurate în cel puțin două atacuri de profil înalt. Primul a fost un atac împotriva Comandamentului Central al Armatei Americane, care a fost descoperit în 2008. Al doi-lea atac a fost împotriva Ucrainei și a altor țări, atac descoperit la inceputul acestui an și care a avut la bază software-ul rău intenționat numit „Snake” sau „Uroburos.

Aici trebuie punctate niște mici aspecte, în lumea „inteligence”, cănd ai de aface cu o operațiune care lovește, provoacă pagube serioase la nivel de securitate indiferent de natura s-au domeniul pe care se desfășoară operațiunea și nu ști s-au nu ai indicii certe în ce parte să privești după „făptași”, aplici principiul „qui prodest ?”.  Vă lăsăm pe domniile voastre să găsiți răspunsul.

Surse de informații occidentale au declarat pentru Reuters în luna martie a.c.:„există convingerea că guvernul rus a fost în spatele celor două atacuri”. Biroul Federal de Securitate din Rusia a refuzat sa comenteze la momentul respectiv.

Symantec Corp, cel mai mare producator american de software de securitate, a declarat de asemenea, că un raport detaliat privind „Epic Turla” și campaniile legate de ziua de joi 7 august a.c. este în curs de elaborare pe baza cercetărilor propri. Symantec a refuzat să spună dacă hackerii au legătură cu  Rusia și daca nu cumva poate și Rusia  s-ar număra printre victimele specifice.

Mulți cercetători în domeniul cibernetic se abțin de la comentarii referitor la cei pe care îi cred că se află în spatele atacurilor cibernetice, spunând că lipsesc datele necesare în acest moment pentru a trage astfel de concluzii.

Raportul Kaspersky dezvăluie faptul că hackeri sunt vorbitori de limba rusă,  cu toate că vorbitori de limba rusă ar putea fi oameni din diverse țări nu neaparat din Rusia. Reprezentanții Kaspersky au mai declarat că panourile de control ale software-ului pentru a rula campania de culegere de date „Epic Turla” au fost stabilite pentru a folosi caractere chirilice ruse și codul său include cuvântul rusesc „Zagruzchick,” care înseamnă „boot loader„.

Cercetător din cadrul Compniei Symantec, (Comapanie IT din SUA) Vikram Thakur a declarat că primele calculatoare „infectate” de hackerii  sunt de fapt calculatoare care au accesat site-uri compromițătoare și că victimele sunt probabil utilizatori cu user si parola a unor site-uri ce aparțin unor agenții guvernamentale. Software-ul a fost proiectat pentru a scana un calculator și a determina dacă acesta este utilizat frecvent de parsoane care intră în sfera de interese a campaniei de spionaj cibernetic, cum ar fi un angajat al guvernului sau al unei agenții de informații, etc., a spus Thakur.

Odată ce un PC este compromis, „Epic Turla” analizează calculatorul pentru a vedea dacă are date de interes pentru hackeri, distribuind apoi mai multe componente tip „carbon” pentru a studia în continuare mașina dacă ar avea astfel de informații, în conformitate cu Kaspersky.

Kaspersky informeaza, intr-un comunicat de presa ca „operatiunea de spionaj cibernetic Epic Turla a atacat institutii guvernamentale din Romania” si ca țara noastra se afla pe primul loc in lume la numarul de site-uri infectate care sustin atacul Epic Turla in acest moment. Pe teritoriul Romaniei au fost identificate 15 victime, printre acestea numarandu-se doua ministere, doua alte institutii guvernamentale, companii private, precum si utilizatori de internet rezidential sau mobil. Experții Kasperski precizeaza ca Romania se afla pe locul sapte la numarul de victime, cu 15 adrese IP afectate, pe primul loc situandu-se Franta. Printre cele 15 victime identificate pe teritoriul Romaniei, se numara doua ministere, doua alte institutii guvernamentale, companii private, precum si utilizatori de internet rezidential sau mobil, se arata in comunicat.

Sorin Sava, purtător de cuvânt la Serviciului Român de Informații:

 „Da, pot sa confirm faptul ca vorbim despre un atac cibernetic si SRI, in calitate de autoritate nationala in domeniul cyber inteligence, deruleaza in prezent investigatii ce vizeaza anumite institutii din Romania. Doar unele din aceste atacuri sunt de natura sa afecteze securitatea nationala a Romaniei. In momentul de fata nu pot sa fac foarte multe declaratii, dar pot sa spun ca aceste atacuri au ca sursa grupari de criminalitate informatica, chiar actori statali, au ca sursa grupari extremiste-teroriste. Tinand cont ca aceste actiuni sunt inca in derulare, nu pot intra in detalii” (Declarația a fost dată la postul de televiziune România TV)

 

Cezar Teodoreanu

Redactor R.B.N. Press

 

PASSWORD RESET

LOG IN