Centrul de Răspuns la Incidente de Securitate Cibernetică: Peste 2,2 milioane de IP-uri din România implicate în incidente de securitate cibernetică

"În calitate de punct naţional de contact cu privire la incidente de securitate cibernetică, în perioada 01.01.2013 - 31.12.2013, CERT-RO a primit de la diverşi parteneri interni sau internaţionali peste 43 milioane alerte de securitate cibernetică, cu privire la peste 2,2 milioane IP-uri unice din România implicate în diverse tipuri de incidente de securitate cibernetică. În acest sens, pe baza datelor primite, a fost realizată o analiză în scopul obţinerii unei viziuni de ansamblu asupra naturii şi dinamicii acestor tipuri de evenimente relevante pentru evaluarea riscurilor de securitate cibernetică la adresa infrastructurilor IT şi de comunicaţii electronice de pe teritoriul României, aflate în aria de competenţă a CERT-RO", se arată într-un comunicat al CERT-RO.

CERT-RO este o structură independentă de expertiză şi cercetare-dezvoltare în domeniul protecţiei infrastructurilor cibernetice, care dispune de capacitatea necesară pentru prevenirea, analiza, identificarea şi reacţia la incidentele de securitate cibernetică ale sistemelor informatice ce asigură funcţionalităţi de utilitate publică ori asigură servicii ale societăţii informaţionale.

CERT-RO se află în coordonarea Ministerului pentru Societatea Informaţională şi este finanţată integral de la bugetul de stat.

Pe baza datelor colectate, peste 16% din totalul numărului de IP-uri alocat României (aproximativ 13,5 milioane) a fost implicat în cel puţin o alertă de securitate cibernetică raportată la CERT-RO în anul 2013.

De asemenea, aproximativ 78% din alerte au vizat sisteme informatice din România, victime ale unor atacatori care, de regulă, prin exploatarea unor vulnerabilităţi tehnice, au vizat infectarea sistemelor cu diverse tipuri de aplicaţii malware, în scopul constituirii unor reţele de tip botnet (zombie).

"Numărul total de IP-uri unice identificate, în baza acestor alerte, este de 1.945.597, respectiv 14% din numărul total de IP-uri alocate României", se mai spune în comunicat.

Potrivit CERT-RO, peste 16% din alerte au vizat sisteme informatice din România, victime ale unor atacatori care, de regulă, prin exploatarea unor configurări defectuoase sau vulnerabilităţi ale serverelor DNS, au urmărit utilizarea sistemelor informatice vulnerabile pentru lansarea unor atacuri asupra altor ţinte din internet (DNS amplification attacks, DNS cache poisoning etc.).

Totodată, peste 5% din alerte au avut ca subiect entităţi din România ce trimit mesaje email nesolicitate de tip spam, către diverse ţinte din reţeaua internet.

"40% din totalul alertelor au vizat sisteme informatice din România infectate cu viermele Conficker, pentru care există deja patch-uri de securitate sau mecanisme de înlăturare. Conform datelor deţinute aproximativ 12,5% din IP-urile unice din România, au fost raportate în 2013 ca fiind infectate cu Conficker. Troianul, identificat în anul 2008, vizează sisteme informatice ce rulează sisteme de operare din familia Microsoft Windows, ce nu au instalate ultimele patch-uri de securitate", se mai spune în comunicat.

Datele CERT-RO arată că peste 50% din totalul IP-urilor unice raportate rulează sisteme de operare din familia Microsoft Windows, versiunile 98, 2000, XP sau 2003.

De asemenea, mai mult de 39% din totalul alertelor individuale vizează entităţi din România ce găzduiesc pagini web de tip phishing, ce afectează activitatea unor instituţii financiare din România sau străinătate.

Totodată, un număr de 10.239 domenii ".ro" au fost compromise în 2013, reprezentând aproximativ 1,4% din totalul domeniilor ".ro", din care 60% sunt domenii infectate cu diverse variante de malware, ce pot infecta alţi vizitatori.

CERT-RO spune că ameninţările de natură informatică asupra spaţiului cibernetic naţional s-au diversificat, fiind relevate tendinţe evolutive, atât din perspectivă cantitativă, cât şi din punct de vedere al complexităţii tehnice.

"Majoritatea sistemelor informatice compromise din România fac parte din reţele de tip «botnet», fiind folosite cu rol de «proxy» pentru desfăşurarea altor atacuri asupra unor ţinte din afara ţării, reprezentând astfel potenţiale ameninţări la adresa altor sisteme conectate la internet. Pe baza analizei tipurilor de malware specifice spaţiului cibernetic naţional precum şi a tipurilor de sisteme compromise, reiese faptul că, din punct de vedere cantitativ, majoritatea atacurilor sunt îndreptate către sisteme învechite, depăşite moral, fără posibilităţi native de securizare sau care nu sunt actualizate cu ultimele patch-uri/update-uri de securitate", se mai arată în comunicat.

Potrivit CERT-RO, entităţi din România devin din ce în ce mai frecvent ţinta ameninţărilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de către grupuri ce au capacitatea şi motivaţia necesară pentru a ataca în mod persistent o ţintă în scopul obţinerii anumitor beneficii (de obicei acces la informaţii sensibile).

"Având în vedere funcţiile complexe ale unor astfel de aplicaţii malware, prezente într-un număr mai redus în perioada analizata (capabilităţi de interceptare a comunicaţiilor electronice, accesarea neautorizată a datelor aferente tranzacţiilor financiare şi mijloacelor de plată electronice, spionaj cibernetic), precum şi faptul că aceste tipuri de ameninţări prezintă un caracter evolutiv moderat, se poate estima o creştere a numărului şi severităţii unor astfel de atacuri la nivel naţional pe parcursul anului 2014", se mai spune în comunicat.

În opinia CERT-RO, România nu mai poate fi considerată doar o ţară generatoare de incidente de securitate cibernetică, analiza datelor prezentate demonstrând caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reţeaua internet în ţara noastră.