Pandemia de COVID-19 și-a lăsat amprenta la nivel global asupra tuturor domeniilor de activitate ale vieții cotidiene. Această criză a testat limitele unor sisteme precum cel medical sau economic și a accentuat rolul pe care îl joacă tehnologia în anul 2020. Digitalizarea forțată a activităților profesionale a dus la creșterea riscurilor de securitate cibernetică, atât în sectorul public, cât și în cel privat. Ținând cont că factorul uman reprezintă cea mai slabă verigă din lanțul securității unui sistem digital, utilizarea zilnică a unui computer personal pentru realizarea activităților poate reprezenta o vulnerabilitate de care atacatorii cibernetici pot profita pentru a infecta o rețea sau un sistem informatic. Scopurile pentru care realizează astfel de acțiuni pot varia, însă, în general, vizează obținerea de beneficii financiare, informaționale sau promovarea unor idei.
Tehnici de inginerie socială
Tehnicile utilizate de atacatori pentru distribuirea aplicațiilor malware se bazează în general pe inginerie socială, care presupune manipularea utilizatorilor, în scopul derulării de atacuri cibernetice. Profitând de contextul pandemiei, grupările cibernetice au folosit de situaţie pentru a determina utilizatorii să acceseze link-uri, documente sau alte fișiere corupte pe care le primeau prin e-mail, SMS sau prin intermediul altor aplicații. Aceste abordări sunt cunoscute sub denumirile de phishing, spear-phishing sau smishnig, în funcție de cât de elaborată este metoda utilizată sau în funcție de canalul pe care se realizează ingineria socială. Diferența dintre phishing și spear-phishing este că cel din urmă se evidențiază prin complexitate, acesta fiind creat special pentru o anumită victimă. Smishing-ul se diferențiază prin modul de distribuire al mesajului, primele fiind prin intermediul mail-urilor, iar acesta prin SMS.
Atacuri cibernetice tip ransomware
Un alt tip de atac cibernetic desfășurat în această perioadă, atât la nivel individual, cât și la nivelul unor organizații din domenii esențiale, precum cel sanitar, a fost cel de tip ransomware. Acesta presupune introducerea în sistemul țintă a unei aplicații nelegitime, ce are capacitatea de a restricționa accesul utilizatorului la anumite date existente în sistemul informatic infectat, până efectuarea de către victimă a unei plăți către atacatori (de obicei în Bitcoin pentru anonimizarea tranzacției). Astfel de atacuri au loc constant, însă într-o perioadă în care spitalele sunt supraaglomerate, iar medicii depun eforturi considerabile pentru tratarea pacienților și combaterea virusului SARS-CoV-2, acestea pot influența în mod negativ capacitatea unităților medicale. Atacurile de acest tip reprezintă amenințări la adresa securității naționale, iar măsurile adoptate trebuie să vizeze prevenirea afectării spitalelor, dar și opțiuni de back-up în cazul infectării. Unele grupări de hackeri, precum Maze Team, au declarat că nu vor ataca spitalele în această perioadă, însă cu toate acestea la nivel global a fost observată o creștere a numărului de atacuri de tip ransomware. Dintre acestea, cele mai relevante în contextul pandemiei au fost COVIDLOCK, deoarece se propaga prin intermediul aplicației mobile COVID Tracker și NEMTY, care a vizat în mod direct domeniul sănătății.
Atacuri cibernetice prin distribuția de aplicații de tip troian bancar
Pe de altă parte, atacatorii cibernetici au încercat să obțină beneficii financiare în mod ilegal nu doar de la instituții publice sau companii, ci și de la simplii utilizatori. Aceștia au vizat aplicațiile bancare de pe terminalele mobile, dar și cele de Internet Banking utilizate direct în browser. Pentru realizarea acestor atacuri au fost folosite aplicații malware de tip troian. Astfel, au fost vizate terminalele ce rulează sistemul de operare Android prin troianul Cerberus Android Banker. Atacatorii s-au folosit de contextul pandemiei pentru a trimite un SMS, ce conținea mesajul „Detalii secrete! (COVID-19)” și un link. Odată accesat link-ul, troianul era descărcat automat sub forma unui fișier „.apk” și oferea acces la date din aplicațiile bancare, posibilitatea de a extrage date din aplicațiile de comunicare, dar și înregistrarea tastelor apăsate de utilizator.
În același timp, facilitățile de tip Internet Banking au fost vizate de o campanie ce utiliza troianul Qbot. Acesta este un malware ce a suferit modificări de-a lungul timpului la nivelul codului sursă, astfel încât în urma ultimelor actualizări este nedetectabil de către majoritatea soluțiilor antivirus. Este distribuit prin intermediul e-mail-urilor de tip spear-phising, și are capabilități de tip „worm” care facilitează propagarea sa într-o rețea în cadrul căreia un dispozitiv a fost deja infectat. Atacul este coordonat și controlat prin intermediul unor servere C&C (comandă și control) care sunt actualizate constant de către actorii cibernetici. Troianul are capacitatea de a sustrage credențialele de autentificare și datele din platformele bancare.
Work from home
În contextul pandemiei de COVID-19 foarte mulți angajați, studenți sau elevi au fost nevoiți să își mute activitatea la domiciliu și să lucreze sau să studieze de la distanță. Acest aspect a reprezentat o provocare pentru angajatori, manageri sau responsabili IT&C, deoarece a existat o necesitate pentru asigurarea securității cibernetice a soluțiilor utilizate. În același timp, pentru grupările cibernetice a reprezentat o oportunitate de a ataca serverele companiilor și de a avea acces la datele acestora. Conexiunile de tipul Remote-Desktop au fost utilizate mai mult decât în mod obișnuit, ceea ce a dus la creșterea atacurilor de tip brute-force asupra lor.
Deși sesiunile de tipul RDP (Remote Desktop Protocol) se desfășoară pe un canal criptat, versiunile mai vechi au o vulnerabilitate, Bluekeep, pe care atacatorii o pot exploata prin interpunerea lor între utilizator și server. Acest tip de atac se numește man-in-the-middle și oferă atacatorului posibilitatea de a se deplasa de-a lungul unei rețele, de a avea acces la datele transmise de utilizatori sau alterarea acestora.
Conștientizare și prevenire la nivel național, în contextul COVID-19
Din punct de vedere al măsurilor adoptate, la nivel național, autoritățile cu responsabilități în domeniul securității cibernetice din România au acționat în timpul pandemiei pentru conștientizarea ameninţărilor și prevenirea derulării de atacuri cibernetice. Serviciul Român de Informații și Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) au desfășurat campanii de awareness pentru a atrage atenția asupra amenințărilor prezente în mediul online și au luat măsuri de prevenire și protecție împotriva atacurilor derulate de entități cibernetice. În același timp, cooperarea interinstituțională între Serviciul Român de Informații și DIICOT a dus la destructurarea grupării de hackeri autohtoni Pentaguard. Aceasta era cunoscută pentru atacurile de tip defacement asupra site-urilor instituțiilor publice, dar și pentru intenția de a derula atacuri de tip ransomware asupra instituțiilor medicale din România.
În concluzie, criza provocată de răspândirea virusului SARS-CoV-2 a scos în evidență dependența societății de tehnologie, vulnerabilitățile pe care aceasta le are, dar și necesitatea impelementării unor măsuri de securitate cibernetică. În contextul COVID-19, afectarea entităților cu responsabilități directe în gestionarea crizei poate greva activitatea derulată de acestea și implicit poate scădea eficiența eforturilor de dimunare a efectelor virusului, atât la nivel național, cât și la nivel global.
Abstract
COVID-19 pandemic affected every field of activity and every aspect of our lives, globally. This crisis tested the limits of many critical domains, such as healthcare and economics, and emphasised the role of technology nowadays. Forced digitalisation of personal and professional activities amplified cyber security risks both in public and private sector. Given the fact that human factor is the weakest link in the cyber security chain, the daily usage of IT&C devices it’s a vulnerability that cyber actors can take advantage of. Hostile cyber actors have many purposes, some of the most popular being those that imply fraud, stealing information or money, and promoting personal ideas.
Autori: Cristian Condruţ şi Sebastian Suciu
