01 aprilie 2020

Impactul pandemiei Covid 19 asupra securităţii cibernetice

Mircea Mocanu

Ca în toate manifestările războiului psihologic / manipulării, actorii ostili din domeniul cibernetic comit atacuri exploatând vulnerabilităţi emoţionale şi conjuncturale ale ţintelor individuale. În cazul pandemiei de Covid 19, atacurile cibernetice, în principal prin malware, exploatează interesul pentru subiectul Coronavirus, generat din teamă şi bazat, în mod legitim, pe instinctul de conservare al fiecăruia. Este de aşteptat ca infracţiunea cibernetică să se extindă, pe măsura evoluţiei pandemiei, deci pe măsura menţinerii interesului pentru informaţii legate de Covid 19. Cum ne putem apăra?

Sursă foto: Profi Media

Antecedente bazate pe alte domenii din spaţiul cibernetic

Exploatarea preferinţelor de accesare ale utilizatorilor de comunicare în reţeaua virtuală a fost semnalată mai demult. Un raport, din anul 2016, al firmei Lookout Cybersecurity arăta că produse / arme malware au fost folosite pentru a crea versiuni false ale unor domenii Internet populare (inclusiv ca aplicaţii Android), cum ar fi Skype, Signal şi site-uri pornografice (renunţăm la exemple). Se pare că tehnica de re-ambalare a armei cibernetice în pachete din domenii de largă utilizare, care nu ridică suspiciuni asupra ţintei, este o tehnică preferată de „troianizare” folosită de producătorii de malware.

Produsul în cauză a fost numit Monokle şi era în măsură, potrivit raportului, să „extragă date din aplicaţiile unui utilizator prin citirea textului afişat pe ecranul unui dispozitiv”, după care acest malware penetra zona de root a memoriei, cel mai protejat nivel de control al dispozitivului.

Firma amintită a ajuns la concluzia că Monokle a fost produs de Russian Special Technology Center (STC), laboratoare din Sankt Petersburg asociate GRU, şi a fost folosit în campanii desfăşurate împotriva comunităţilor musulmane din Caucaz (în contextul combaterii terorismului cecen) şi împotriva grupului islamic militant Ahrar al-Sham, care acţiona în Siria contra regimului Bashar al-Assad.

De altfel, STC a fost sancţionat de guvernul Statelor Unite pentru rolul său în tentativa de viciere a alegerilor prezidenţiale din 2016, din SUA. Dovada a fost faptul că unii dintre specialiştii cunoscuţi ai STC chiar şi-au semnat contribuţia la produsele lor. Comunicatul Casei Albe cu privire la aceste sancţiuni include şi detalii privind alte infracţiuni comise în acest fel, inclusiv în domeniul financiar.

 

Atacuri comise prin exploatarea vulnerabilităţilor generate de Covid 19

În condiţiile pandemiei de Covid 19, bineînţeles, infractorii cibernetici folosesc temerile şi interesul publicului din întreaga lume faţă de informaţii despre virusul mortal SARS CoV 2 şi capitalizează pe seama creşterii traficului pe acest subiect de interes maxim în fluxurile informaţionale din întreaga lume. Mai precis, agresorii cibernetici transmit malware prin Internet în cadrul unor mesaje sau domenii care, aparent, oferă sfaturi şi informaţii despre evoluţia infectării cu noul Coronavirus. În aceste cazuri, nu este vorba despre laboratoarele ruseşti, probabil că există mai multe surse ostile în mediul cibernetic, iar numărul de limbi în care va opera această nouă ameninţare probabil va creşte. Laboratoarele Kaspersky au detectat programe ostile mascate în fişiere pdf, mp4 şi docx referitoare la subiectul Coronavirus, folosit ca momeală în cadrul campaniei cibernetice, întrucât conţineau instrucţiuni scrise sau video privind modul de acţiune a virusului, actualizări ale pandemiei sau procedee de protecţie individuală.

Secvenţele de program ostile conţineau de la „troieni” până la „viermi” care puteau distruge, bloca, modifica sau copia date, fiind în măsură, totodată, să intervină în operarea calculatoarelor sau reţelelor de calculatoare.

Un expert al firmei Ernst & Young a publicat modul de acţiune pe două scenarii de atac cibernetic:

  • campanii de e-mail-uri, în care agresorul creează şi distribuie în masă mail-uri ce conţin programe de phishing ce ademenesc cititorul să descarce fişiere infectate;
  • domenii de Internet nou înfiinţate după izbucnirea epidemiei de Covid 19, care au proliferat la peste 5000 de adrese, multe devenite inactive. Vârful de înfiinţare a noi domenii a fost înregistrat la mijlocul lunii februarie, iar un exemplu de atac mai clar a fost detectat de către firma Check Point Research împotriva sectorului public din Mongolia.

 

Acţiunea gardienilor” spaţiului cibernetic

Autorităţile naţionale nu au rămas indiferente la aceste evoluţii ale ameninţării cibernetice şi au luat diferite măsuri de contracarare. Un exemplu concret este oferit de către Departamentul Homeland Defense din SUA, care a publicat sfaturile Agenţiei de Securitate Cibernetică şi a Infrastructurii (CISA - Cybersecurity and Infrastructure Security Agency):

  • folosiţi surse de încredere. Chiar pentru surse de încredere, prudenţa este recomandabilă, pentru că acele surse cunoscute pot re-transmite fără rea intenţie fişiere ostile;
  • evitaţi să accesaţi link-uri din mail-uri, mesaje Internet sau SMS nesolicitate. CISA recomandă găsirea de greşeli gramaticale sau formulare nefirească în mesajul nesolicitat (indiciu de sursă străină) sau alte elemente dubioase;
  • evitaţi deschiderea de ataşamente ale mail-urilor nesolicitate. Aceste fişiere trebuie scanate cu programele antivirus disponibile;
  • nu dezvăluiţi informaţii personale sau financiare (conturi, parole) în mesajele dumneavoastră. Pentru astfel de transferuri de informaţii, contactul direct este de preferat;
  • verificaţi autenticitatea unor organizaţii de binefacere înainte de a face donaţii, întrucât generozitatea este o vulnerabilitate excelentă pentru infractori.

 

Câteva soluţii tehnice

Similar cu măsurile pe care instituţii, firme, organizaţii sau cetăţeni individuali le iau pentru protecţia sistemelor şi informaţiilor proprii împotriva altor ameninţări cibernetice, situaţia atacurilor ocazionate de pandemia Covid 19 impune contra-acţiuni eficace. Pentru specialişti, soluţiile pot părea banale. Aşa cum este şi spălatul pe mâini contra răspândirii coronavirusului SARS Cov 2.

Faţă de mail-uri, experţii recomandă (în special administratorilor de reţea sau responsabililor cu securitatea reţelei / CISO) măsuri în linie cu sfaturile prezentate mai sus, anume:

  • blocarea mail-urilor care conţin sintagmele „Coronavirus”, „2019-nCoV” sau similare pe linia Subject, primite de la surse necunoscute sau externe reţelei;
  • blocarea mail-urilor constatate a proveni de la surse aflate în investigare;
  • scanarea mail-urilor care conţin astfel de sintagme în corpul mesajului, mai ales în link-uri sau ataşamente.

În privinţa domeniilor Internet, în acelaşi sens, prezintă interes, în primul rând, numele domeniului (vezi exemplele din subsol), mai puţin top level domain (TLD, de exemplu .com) sau calea (URL). Pentru astfel de domenii dubioase, este necesar:

  • să se monitorizeze intenţiile de accesare a acestor domenii suspecte din interiorul reţelei, fie de către utilizatori, fie prin fişiere mascate în mesaje;
  • să se acorde atenţie denumirilor domeniilor care sunt preferate în căutări;
  • după detectarea unei alerte de atac cibernetic, se aprofundează studierea istoricului domeniului respectiv şi a scorului de vulnerabilitate acordat în cadrul Bazei de Date Naţionale (NVD) constituite în Statele Unite de către Institutul Naţional de Standarde şi Tehnologie (NIST). Fără a intra aici în detalii tehnice, în funcţie de cele constatate, CISO poate lua decizia faţă de acel domeniu suspect.

Oricum, dat fiind perfidia atacurilor cibernetice, specialiştii recomandă CISO supravegherea reţelelor nu pe baza indicatorilor de infracţiune, ci pe baza indicatorilor de comportament.

 

Dar avem şi noi, în România, site-uri neconforme regulilor GDPR

Chiar zilele trecute, mulţi dintre noi am primit mesaje care ofereau servicii de completare a documentelor necesare deplasării în condiţiile restricţiilor impuse prin Ordonanţa Militară nr. 3 din 24 martie 2020. Astfel, în urma apariţiei pe site-urile oficiale (în primul rând al MAI) a modelelor de declaraţie şi adeverinţe care sunt necesare în starea de urgenţă pentru motivarea deplasărilor, în spaţiul virtual au apărut site-uri care se oferă voluntar să vă sprijine să completaţi aceste documente. Nu înseamnă neapărat că aceste site-uri comit atacuri cibernetice, dar ele intră în categoria de surse nesigure. De aceea, specialiştii în domeniul protecţiei datelor personale (GDPR) avertizează publicul să manifeste prudenţă în aceste cazuri, pentru că site-urile respective nu au legătură cu nici o instituţie oficială a statului român abilitată în combaterea Covid 19.

De exemplHYPERLINK "https://gdprbite.ro/2020/03/25/completarea-declaratiilor-si-adeverintelor-in-situatia-de-stare-de-urgenta/"u, în România au apărut două site-uri care, în afară de asigurarea generală că datele celor care folosesc site-ul nu vor fi colectate, nu respectă principiile GDPR:

- https://declaratie.egovernment.ro, dezvoltat de o firmă de apartament din Bucureşti;

- https://carantina.me, promovată de anumite site-uri printre care şi https://start-up.ro/covid-19-carantina-me-site-ul-pe-care-generezi-declaratia-pe-proprie-raspundere/.

Există şi recomandări specifice de la instituţii de specialitate ale ţării, cum este site-ul CERT-RO, care arată că, „deşi unele dintre site-urile semnalate au elementele de securitate necesare şi menţionează inclusiv faptul că nu colectează şi nu procesează date cu caracter personal, CERT-RO nu poate garanta că acest lucru se întâmplă cu respectarea Regulamentului pentru Protecţia Datelor cu Caracter Personal sau că respectivele site-uri au autorizarea de a prelucra date cu caracter personal, din partea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)”.

 

Concluzii evidente

Atacurile cibernetice constatate în contextul pandemiei de Covid 19 nu prezintă particularităţi tehnice faţă de alte atacuri din spaţiul virtual. De aceea, învăţămintele şi sfaturile oferă generalitate şi au valoarea de întrebuinţare şi în alte situaţii, multe dintre ele aplicabile chiar de către utilizatori individuali.

Spaţiul cibernetic fiind în continuă extindere, atacurile cibernetice nu se vor opri, doar tactica aplicată şi căile de penetrare se adaptează condiţiilor oferite de realităţile zilei, în acest caz, interesul pentru informaţii referitoare la noul Coronavirus. Dat fiind că infracţionalitatea deţine întotdeauna iniţiativa, atacurile se specializează. În răspuns, eforturile de protecţie urmează dezvoltările actorilor ostili şi se adaptează la soluţiile infractorilor, în acelaşi timp identificând şi reducând vulnerabilităţile.

În plan intern, este foarte clar îndemnul CERT-RO: „recomandăm utilizatorilor să folosească doar surse OFICIALE pentru obţinerea acestui tip de declaraţie, în principal cele disponibile pe site-urile autorităţilor responsabile: Ministerul Afacerilor Interne, RomaniaGuvernul României sau stirioficiale.ro”.