+ All Categories
Home > Documents > Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013

Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013

Date post: 26-Nov-2015
Category:
Upload: vlad-andriescu
View: 636 times
Download: 6 times
Share this document with a friend
Description:
Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013
30
http://www.cert-ro.eu CENTRUL NAŢIONAL DE RĂSPUNS LA INCIDENTE DE SECURITATE CIBERNETICĂ CERT-RO RAPORT cu privire la alertele de securitate cibernetică primite de CERT-RO în cursul anului 2013
Transcript
  • http://www.cert-ro.eu

    CENTRUL NAIONAL DE RSPUNS LA INCIDENTE DE SECURITATE CIBERNETIC CERT-RO

    RAPORT cu privire la alertele de securitate cibernetic

    primite de CERT-RO n cursul anului 2013

  • 2 / 30

    Pagin alb

  • 3 / 30

    CUPRINS

    1. Rezumatul raportului ................................................................................................................................. 5

    2. Despre CERT-RO? ....................................................................................................................................... 7

    3. Obiectivul prezentului raport ..................................................................................................................... 8

    4. Sursele de date ale CERT-RO ...................................................................................................................... 9

    5. Sistemul de Alert Timpurie (SAT) al CERT-RO ......................................................................................... 10

    6. Statistic pe baza alertelor primite .......................................................................................................... 10

    6.1. Alerte colectate i transmise prin intermediul unor sisteme automate .......................................... 10

    6.1.1. Distribuia alertelor pe tipuri i clase de incidente ...................................................................... 10

    6.1.2. Distribuia alertelor pe luni calendaristice ................................................................................... 12

    6.1.3. Distribuia alertelor pe Autonomous System Number (ASN) ...................................................... 12

    6.1.4. Tipuri de malware caracteristice spaiului cibernetic romnesc ................................................. 15

    6.1.5. Tipuri de sisteme afectate de alerte............................................................................................. 17

    6.2. Alerte individuale ............................................................................................................................. 17

    6.3. Statistic domenii .ro compromise ............................................................................................... 19

    6.4. Ameninri de tip Advanced Persistent Threath (APT) .................................................................... 21

    7. Concluzii i comentarii .............................................................................................................................. 21

    Anexa 1 Recomandri pentru utilizatorii casnici ........................................................................................... 23

    Anexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilor ....................................... 24

    Anexa 3 Clasificarea tipurilor de alerte tratate de CERT-RO ......................................................................... 25

    Anexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional ........................... 28

  • 4 / 30

    Pagin alb

  • 5 / 30

    1. Rezumatul raportului Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO se afl n coordonarea Ministerului pentru Societatea Informaional i este finanat integral de la bugetul de stat. n calitate de punct naional de contact cu privire la incidente de securitate cibernetic, n perioada 01.01 31.12.2013, CERT-RO a fost sesizat de ctre diveri parteneri interni sau internaionali, cu referire la incidente de securitate cibernetic, prin:

    1. Alerte colectate i transmise prin intermediul unor sisteme automate: 43.231.149 o numr total de IP unice compromise, extrase din totalul alertelor: 2.213.426

    2. Alertele colectate manual prin notificri individuale precum i cele constituite pe baza informaiilor colectate de CERT-RO: 450.

    Obiectivul prezentului raport este analiza incidentelor de securitate cibernetic colectate/gestionate la nivelul CERT-RO n anul 2013 n vederea obinerii unei viziuni de ansamblu asupra naturii i dinamicii acestor tipuri de evenimente relevante pentru evaluarea riscurilor de securitate cibernetic la adresa infrastructurilor IT i de comunicaii electronice de pe teritoriul Romniei, aflate n aria de competen a CERT-RO. Pe baza datelor colectate au fost constatate urmtoarele:

    peste 16% din totalul numrului de IP-uri alocat Romniei (aprox. 13,5 mil), a fost implicat n cel puin o alert de securitate cibernetic raportat la CERT-RO n anul 2013;

    aproximativ 78% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor vulnerabiliti tehnice, au vizat infectarea sistemelor cu diverse tipuri de aplicaii malware, n scopul constituirii unor reele de tip botnet (zombie); Numrul total de IP-uri unice identificate, n baza acestor alerte, este de 1.945.597, respectiv 14% din plaja total de IP-uri alocate Romniei.

    peste 16% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor configurri defectuoase sau vulnerabiliti ale serverelor DNS, au vizat folosirea sistemelor informatice vulnerabile pentru lansarea unor atacuri asupra altor inte din Internet (DNS amplification attacks, DNS cache poisoning etc.);

    peste 5% din alerte vizeaz entiti din Romnia ce trimit mesaje email nesolicitate de tip spam, ctre diverse inte din reeaua Internet;

    40% din totalul alertelor vizeaz sisteme informatice din Romnia infectate cu viermele Conficker, pentru care exist deja patch-uri de securitate sau mecanisme de dezinfecie; conform datelor deinute aprox. 12,5% din IP-urile unice din RO, au fost raportate n 2013 ca fiind infectate cu Conficker. Troianul, identificat n anul 2008, vizeaz sisteme informatice ce ruleaz sisteme de operare din familia Microsoft Windows, ce nu au instalate ultimele patch-uri de securitate;

    peste 50% din totalul IP-urilor unice raportate ruleaz sisteme de operare din familia Microsoft Windows, versiunile 98, 2000, XP sau 2003;

    peste 39% din totalul alertelor individuale (5.2) vizeaz entiti din Romnia ce gzduiesc pagini web de tip phishing, ce afecteaz activitatea unor instituii financiare din Romnia sau strintate;

  • 6 / 30

    10.239 domenii .ro au fost compromise n 2013, reprezentnd aprox. 1,4% din totalul domeniilor .ro; 60% dintre acestea sunt domenii infectate cu diverse variante de malware, ce pot infecta ali vizitatori;

    61 de IP-uri au fost semnalate ca fiind infectate cu diverse variante de malware de tip APT. Urmare constatrilor de mai sus , pot fi formulate urmtoarele concluzii:

    ameninrile, de natur informatic, asupra spaiului cibernetic naional s-au diversificat, fiind relevate tendine evolutive, att din perspectiv cantitativ, ct i din punct de vedere al complexitii tehnice;

    majoritatea sistemelor informatice compromise din Romnia, fac parte din reele de tip botnet, fiind folosite cu rol de proxy pentru desfurarea altor atacuri asupra unor inte din afara rii, reprezentnd astfel potentiale ameninri la adresa altor sisteme conectate la Internet;

    pe baza analizei tipurilor de malware specifice spaiului cibernetic naional precum i a tipurilor de sisteme compromise, reiese faptul c, din punct de vedere cantitativ, majoritatea atacurilor sunt ndreptate ctre sisteme nvechite, depite moral, fr posibiliti native de securizare (ex: sisteme afectate de Conficker) sau care nu sunt actualizate cu ultimele patch-uri/update-uri de securitate;

    entiti din Romnia devin din ce n ce mai frecvent inta ameninrilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile); avnd n vedere functiile complexe ale unor astfel de aplicaii malware, prezente ntr-un numr mai redus n perioada analizata (capabiliti de interceptare a comunicatiilor electronice, accesarea neautorizata a datelor aferente tranzactiilor financiare si mijloacelor de plata electronice, spionaj cibernetic etc. Ex: Red October, Miniduke), precum i faptul ca aceste tipuri de ameninri prezint un caracter evolutiv moderat, se poate estima o crestere a numrului i severitii unor astfel de atacuri la nivel national pe parcursul anului 2014;

    Romnia nu mai poate fi considerat doar o ar generatoare de incidente de securitate cibernetic, analiza datelor prezentate demonstrnd caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reeaua Internet n Romnia.

    Recomandri:

    O serie de recomandri, att pentru administratorii de sistem din cadrul organizaiilor ct i pentru utilizatorii casnici, se regsesc n anexele 1 i 2.

  • 7 / 30

    2. Despre CERT-RO? Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO este o instituie public aflat n coordonarea Ministerului pentru Societatea Informaional i finanat integral de la bugetul de stat.1 Printre atribuiile CERT-RO, regsim:

    - organizeaz i ntreine un sistem de baze de date, la nivel naional, privind ameninrile, vulnerabilitile i incidentele de securitate cibernetic identificate sau raportate, tehnici i tehnologii folosite pentru atacuri, precum i bune practici pentru protecia infrastructurilor cibernetice;

    - asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse echipe de tip CERT, utilizatori, autoriti, productori de echipamente i soluii de securitate cibernetic, precum i furnizori de servicii n domeniu;

    - asigur puncte de contact pentru colectarea sesizrilor i a informaiilor despre incidente de securitate cibernetic att automatizat, ct i prin comunicare direct securizat, dup caz;

    - elaboreaz propuneri pe care le nainteaz ctre Ministerul Societii Informaionale (MSINF) sau Consiliului Suprem de Aprare a rii, privind modificarea cadrului legislativ n vederea stimulrii dezvoltrii securitii infrastructurilor cibernetice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale;

    - constituie Sistemul de alert timpurie i informare n timp real privind incidentele cibernetice n scopul avertizrii n timp real i emiterii de rapoarte cu privire la distribuia i natura incidentelor precum i al colaborrii cu autoritile naionale responsabile n asigurarea securitii cibernetice, n vederea prevenirii i nlturrii efectelor incidentelor de securitate cibernetic;

    - ofer servicii publice de tip preventiv (anunuri privind ameninri sau vulnerabiliti nou-identificate pe plan naional i internaional; realizarea, la cerere, de auditri i evaluri de securitate sau teste de penetrare; situaii actualizate asupra incidentelor de securitate cibernetic ce afecteaz sau implic entiti din Romnia), reactiv (alerte i atenionri privind apariia unor activiti premergtoare atacurilor; gestiunea incidentelor de securitate cibernetic la nivel naional) i de consultan n domeniul securitii cibernetice (pregtire echipe de tip CERT, analize de risc aplicate la nivel local i la nivel naional privind infrastructurile cibernetice).

    CERT-RO colecteaz din surse naionale sau internaionale, date referitoare la incidente sau evenimente de securitate cibernetic ce afecteaz sau implic entiti din Romnia. Astfel, odat identificat un incident, n baza unei proceduri interne, CERT-RO declaneaz o serie de aciuni ce asigur activitatea de rspuns. n majoritatea cazurilor, activitatea de rspuns la incidentele de securitate cibernetic urmrete atingerea urmtoarelor obiective:

    1. stoparea imediat sau reducerea la minimum posibil a efectelor incidentului; 2. stabilirea preliminar a impactului incidentului/evenimentului;

    1 Conform H.G. 494/2011, http://www.cert-ro.eu/files/doc/HG_494-2011_CERT-RO.pdf

  • 8 / 30

    3. identificarea si alertarea tuturor prilor afectate sau care pot fi afectate de incidentul/evenimentul de securitate precum i a celor responsabile de remedierea situaiei;

    4. identificarea si alertarea tuturor instituiilor sau autoritilor publice responsabile de gestionarea situaiei;

    5. diseminarea de documente de natur tehnic referitoare la metode de detecie i tratare ale incidentul/evenimentul de securitate, pentru alte entiti ce pot fi vizate de un incident similar.

    Conform atribuiilor legale, CERT-RO asigur cadrul organizatoric i suportul tehnic necesar schimbului de informaii dintre diverse entiti (autoriti, persoane fizice sau juridice, echipe de tip CERT, furnizori de soluii de securitate, furnizori de servicii etc.) implicate n incidente de securitate cibernetic, asigurnd buna cooperare a acestora. De asemenea, CERT-RO nu are atribuii n soluionarea tuturor tipurilor de incidente de securitate cibernetic. De exemplu, soluionarea incidentelor de securitate cibernetic care au rezultat n urma svririi unor infraciuni circumscrise criminalitii informatice, revin n sarcina organelor de aplicare a legii, conform competenelor legale. De asemenea, incidentele de securitate cibernetic care se pot constitui n ameninri la adresa securitii naionale sunt gestionate la nivelul instituiilor cu competene n domeniul de referin, conform legii. n cazul n care CERT-RO primete astfel de notificri, acestea sunt transmise instituiilor competente.

    3. Obiectivul prezentului raport

    Obiectivul raportului este de a analiza incidentele de securitate cibernetic raportate la CERT-RO n perioada 01.01 31.12.2013 n vederea obinerii unei viziuni de ansamblu asupra naturii i dinamicii acestor tipuri de evenimente/incidente, relevante pentru evaluarea riscurilor de securitate cibernetic la adresa infrastructurilor IT i de comunicaii electronice de pe teritoriul naional al Romniei, aflate n aria de competen a CERT-RO. n acest sens, pe baza datelor colectate, respectiv incidentele semnalate la CERT-RO de ctre diferite persoane fizice sau juridice, precum i alte date colectate din Internet de ctre specialitii Centrului, prezentul document cuprinde principalele categorii de incidente ce au afectat spaiul cibernetic romnesc n anul 2013. Pentru evaluarea coninutului prezentului document, prezint relevan faptul c la nivelul CERT-RO nu au ajuns toate datele referitoare la incidente de securitate cibernetic ce au afectat sau au implicat resurse ale spaiului cibernetic romnesc, ns volumul de date analizat poate fi considerat reprezentativ pentru nivelul de dezvoltare al infrastructurilor cibernetice pe teritoriul Romniei n prezent. n principal valorile statistice ale prezentului raport reprezint date referitoare la diferite resurse limitate (URL-uri, adrese IP), detectate n Internet ca efectund trafic suspect sau maliios. Pentru rigurozitate considerm necesare lmuriri asupra termenilor folosii n activitatea CERT-RO. Astfel, pe parcursul documentului ne vom referi la urmtoarele:

    Eveniment de securitate cibernetic - orice fapt sau situaie relevant din punct de vedere al securitii cibernetice, ce poate produce o schimbare a strii de normalitate n cadrul unui sistem informatic, poate indica o posibil nclcare a politicii de securitate sau o eroare a msurilor de protecie i poate fi pus n eviden i documentat corespunztor;

  • 9 / 30

    Incident de securitate cibernetic eveniment survenit n spaiul cibernetic ale crui consecine afecteaz securitatea cibernetic sau orice aciune, contrar oricror reglementri n vigoare, n legtur cu un sistem informatic, a crei consecin poate afecta sau a afectat securitatea cibernetic a acestuia, sau a dus la compromiterea informaiilor procesate de acesta.

    Alert de securitate cibernetic orice semnalare a unui incident sau eveniment de securitate cibernetic ce implic sau poate implica entiti de pe teritoriul Romniei.

    4. Sursele de date ale CERT-RO

    CERT-RO colecteaz date despre incidente, evenimente sau alerte de securitate cibernetic, din mai multe tipuri de surse, respectiv:

    1) Alerte colectate i transmise prin intermediul unor sisteme automate (ex: honeypots). Acest tip de alerte sunt transmise numai de ctre organizaii specializate, precum alte CERT-uri sau companii de securitate, ce dein sisteme de detecie a incidentelor de securitate cibernetic. Numrul acestora este semnificativ mai mare dect al altor tipuri de alerte, putnd ajunge la valori de aprox. 500.000 alerte zilnice.

    2) Alerte individuale, transmise de diverse entiti - persoane fizice sau juridice din ar sau strintate - referitoare la anumite incidente de securitate cibernetic. Numrul acestui tip de alerte se ridic la aproximativ 5-10 alerte zilnice.

    3) Informaii colectate de ctre CERT-RO, din diverse surse. n aceast categorie intr diverse informaii colectate din surse publice sau cu acces reglementat, precum site-uri de profil sau companii de securitate, referitoare la anumite vulnerabiliti, ameninri sau chiar incidente de securitate cibernetic.

    Natura alertelor primite precum i categoriile de date disponibile pentru fiecare din categorii, impun tratarea acestora diferit. Alertele transmise prin sisteme automate impun procesarea automat. n acest caz, datele primite se rezum la liste de IP-uri detectate cu activiti maliioase sau suspecte n Internet, precum i cteva alte detalii referitoare la activitatea suspect (ex: timestamp, tip incident, porturi folosite, inte atacate etc.). Majoritatea acestor alerte sunt procesate automat de ctre CERT-RO i transmise ctre furnizorul de servicii Internet n reeaua cruia funcioneaz sistemul informatic identificat n cadrul alertei. n cazul acestui tip de alerte, de cele mai multe ori CERT-RO nu deine date exacte despre utilizatorul real al adresei IP, identificarea acestuia cznd n sarcina furnizorului de servicii internet (ISP). Tot n sarcina ISP cade i transmiterea mai departe a alertei de securitate. Dei acest tip de alerte nu ofer detalii asupra tipologiei intei, ele ofer o imagine de ansamblu asupra tipului de ameninri ce afecteaz infrastructurile cibernetice din Romnia. Alertele individuale precum i cele constituite pe baza informaiilor colectate de CERT-RO, sunt n numr considerabil mai mic, dar conin informaii mult mai complete i mai relevante despre incident, despre organizaia afectat, precum sursa atacului precum i metoda de atac. n majoritatea cazurilor datele sunt colectate de la entitile afectate, de ctre analitii CERT-RO, odat cu raportarea incidentului. Dat fiind natura lor, respectiv faptul c, de regul, sunt evenimente deja petrecute care au produs poteniale pagube, iar prile implicate sunt clar identificabile, aceste tipuri de alerte reprezint, n majoritatea cazurilor, incidente de securitate cibernetic. Astfel, din punct de vedere statistic, aceste tipuri de alerte sunt mult mai valoroase, reflectnd mult mai bine evoluia strii de securitate cibernetic la nivel naional.

  • 10 / 30

    5. Sistemul de Alert Timpurie (SAT) al CERT-RO

    n cadrul CERT-RO funcioneaz un proiect pilot al Sistemul de Alert Timpurie i Informare n Timp Real (SAT) privind incidentele cibernetice, respectiv un ansamblu proceduri i sisteme informatice ce proceseaz toate alertele primite, n vederea avertizrii n timp real a prilor afectate (ISP, persoane fizice sau juridice direct afectate etc.), a emiterii de rapoarte cu privire la distribuia i natura incidentelor precum i a colaborrii cu autoritile naionale responsabile n asigurarea securitii cibernetice, n vederea prevenirii i nlturrii efectelor incidentelor. Prezentul raport a fost redactat pe baza alertelor procesate pe parcursul anului 2013 de SAT al CERT-RO. n contextul analizei modului de implementare al Strategiei Naionale de Securitate Cibernetic, aa cum s-a prezentat i n ultimul bilan al Consiliului Operativ de Securitate Cibernetic, un pas important n operaionalizarea Sistemului Naional de Securitate Cibernetic l-a constituit dezvoltarea de ctre CERT-RO a sistemului pilot al Sistemului de Alert Timpurie (SAT). n perioada urmtoare, CERT-RO cu sprijinul celorlalte instituii cu responsabiliti n domeniul securitii cibernetice, va dezvolta proiectul pilot de SAT, astfel nct, odat cu identificarea surselor financiare necesare, acesta s fie extins n ct mai multe entiti, n special n mediul privat.

    6. Statistic pe baza alertelor primite

    6.1. Alerte colectate i transmise prin intermediul unor sisteme automate n perioada de referin, respectiv 01.01 31.12.2013, la CERT-RO au fost primite sesizri (alerte), astfel:

    1. numr total de alerte automate primite: 43.231.149 2. numr total de IP unice extrase din totalul alertelor: 2.213.426

    n funcie de coninutul fiecrei alerte, respectiv problema semnalat, acestea au fost mprite pe clase i tipuri de alerte, conform tabelului nr. 1.

    6.1.1. Distribuia alertelor pe tipuri i clase de incidente Tabelul i graficul de mai jos redau distribuia alertelor primite, precum i a IP-urilor unice extrase din acestea, pe clase i tipuri de alerte. O parte din IP-urile unice raportate se regsesc n mai multe categorii de alerte.

  • 11 / 30

    Clasa alerte Tip alert2 Numr alerte Botnet Botnet Drone 33.677.871 Vulnerabilities Open Resolver 6.782.888 Abusive Content Spam 1.986.605 Information Gathering Scanner 603.524 Malware Malicious URL 116.535 Cyber Attacks Bruteforce 30.150 Vulnerabilities Open Proxy 13.809 Fraud Phishing 13.556 Botnet Botnet C&C Server 4.082 Malware Infected IP 1840 APT RedOctober 287 Compromised Resources Compromised Router 2

    TOTAL 43.231.149 Tabel 1 Distribuia alertelor pe tipuri

    Fig. 1 Distribuia alertelor pe tipuri

    Alertele din categoria Botnet Drone, respectiv computere infectate cu diverse tipuri de malware, ce fac parte din diverse reele de tip botnet, predomin, n proporie de 78%, n totalul alertelor automate primite n anul 2013. Numrul total de IP-uri unice identificate n baza acestor alerte este de 1.945.597, respectiv 14% din plaja total de IP-uri alocate Romniei.

    2 Explicaia claselor i a tipurilor de alerte se regsete n anexa nr. 3.

  • 12 / 30

    6.1.2. Distribuia alertelor pe luni calendaristice

    Graficul de mai jos reprezint distribuia alertelor, n funcie de luna calendaristic n care acestea au fost primite de CERT-RO.

    Fig. 2 Distribuia alertelor pe luni calendaristice

    6.1.3. Distribuia alertelor pe Autonomous System Number (ASN) n baza alertelor primite, acestea au fost repartizate pe ASN3-uri, dup IP-ul coninut de fiecare alert. Astfel, alertele primite vizeaz 1148 ASN-uri din Romnia, acest numr acoperind toate ASN-urile din Romnia (http://bgp.he.net/country/RO). n tabelul i graficul urmtor sunt prezentai primii 30 de furnizori de servicii internet (ISP), n reelele crora au fost detectate IP-uri care genereaz trafic maliios, vizibil n internet (sortat dup numrul de IP-uri compromise gzduite). n general, un ISP are alocat unul sau mai multe ASN-uri.

    Nr. AS NUMBER AS NAME Procent (%) 1 8708 RCS & RDS SA 35,96 2 9050 ROMTELECOM 32,27 3 6830 UPC 7,88 4 6910 DIAL TELECOM S.R.L 3,46 5 48161 SC NextGen Communications SRL 2,68 6 12632 RCS & RDS SA 2,27 7 12302 Vodafone Romania S.A. 1,36 8 8953 Orange Romania SA 1,17

    3 Autonomous System Number, http://en.wikipedia.org/wiki/Autonomous_System_Number

  • 13 / 30

    9 2614 RoEduNet 0,45 10 35725 COSMOTE ROMANIAN MOBILE TELECOMMUNICATION SA 0,33 11 34711 DIGINET SA 0,31 12 41496 TV SAT 2002 SRL 0,29 13 39743 Voxility S.R.L. 0,25 14 6663 Euroweb Romania SA 0,24 15 39737 Net Vision Telecom SRL 0,24 16 44563 ENIASAN SRL 0,24 17 15471 S.N. Radiocomunicatii S.A. 0,22 18 50604 SC MEDIA SUD SRL 0,22 19 41273 Electrosim SRL 0,22 20 47148 STARNETRANS SRL 0,22 21 41571 Transilvania Digital Network SA 0,21 22 35002 SC NextGen Communications SRL 0,20 23 51102 IMPATT SRL 0,20 24 39543 TENNET TELECOM SRL 0,18 25 31605 Canal S SRL 0,18 26 40997 TITA & Company SRL 0,17 27 35664 CCC Blue Telecom SA 0,17 28 31102 TV Adler-Trading SRL 0,17 29 39464 Star Design I&E SRL 0,15 30 44605 TeleCablu&Net Srl 0,15 Altii 7,96

    Tabel 2 Top 20 ASN ce gzduiesc IP-uri maliioase

  • 14 / 30

    Fig. 3 Top 30 ASN ce gzduiesc IP-uri maliioase

    Not: Prezena unui IP compromis/infectat n reeaua unui ISP nu nseamn c furnizorul de servicii internet (ISP) se face vinovat de respectivul incident. De cele mai multe ori, IP-ul infectat, care a generat alerta, reprezint un client al respectivului furnizor de servicii internet, iar responsabilitatea asupra traficului generat, (conform art. 13 din Legea 365/2002 precum i a altor acte normative din domeniu). asupra dezinfectrii precum i asupra securizrii corespunztoare a sistemului informatic revine clientului.

    36%

    32%

    8%

    3%

    3%

    2%

    8%

    RCS & RDS SA

    ROMTELECOM

    UPC

    DIAL TELECOM S.R.L

    SC NextGen Communications SRL

    RCS & RDS SA

    Vodafone Romania S.A.

    Orange Romania SA

    ROEDUNET

    COSMOTE

    DIGINET SA

    TV SAT 2002 SRL

    Voxility S.R.L.

    Euroweb Romania SA

    Net Vision Telecom SRL

    ENIASAN SRL

    S.N. Radiocomunicatii S.A.

    SC MEDIA SUD SRL

    Electrosim SRL

    STARNETRANS SRL

    Transilvania Digital Network SA

    SC NextGen Communications SRL

    IMPATT SRL

    TENNET TELECOM SRL

    Canal S SRL

    TITA & Company SRL

    CCC Blue Telecom SA

    TV Adler-Trading SRL

    Star Design I&E SRL

  • 15 / 30

    6.1.4. Tipuri de malware caracteristice spaiului cibernetic romnesc

    n aproximativ 75% din alertele primite, a fost posibil identificarea tipului de malware ce a afectat sistemul compromis. n acest sens, a fost ntocmit un Top 25 al celor mai ntlnite tipuri de malware din spaiul cibernetic romnesc.

    Nr. Crt. Tip Malware Procent (%) 1 Conficker 53,4543 2 Sality 10,9534 3 Citadel 8,2338 4 Pushdo 6,7392 5 Zeroaccess 3,1662 6 Slenfbot.5050 3,0855 7 Virut 1,5755 8 Kelihos 1,3314 9 IRCBot 0,9238 10 Zeus 0,5706 11 Trafficconverter 0,3484 12 Grum 0,1508 13 Torpig 0,0252 14 Ransomware 0,0199 15 Blackenergy 0,0127 16 Tdss 0,0075 17 Trojan.Iframe.BMY 0,0045 18 Neurevt 0,0038 19 Trojan.Script.CEV 0,0031 20 Hermes 0,0025 21 Dorkbot 0,0024 22 DDoS_Khan 0,0023 23 DDoS_DirtJumper 0,0022 24 Gamarue 0,0017 25 Trojan.Iframe.BZW 0,0016

    Tabel 3 Top 25 tipuri de malware Romnia 20134

    Potrivit Wikipedia.org, Conficker (cunoscut i sub numele de Downadup) este un vierme aprut n 2008, ce exploateaz vulnerabiliti ale sistemelor de operare Microsoft. Viermele ataca numai

    sisteme de calcul cu sistem de operare Windows i se folosea de anumite vulnerabiliti ale

    acestuia precum i de atacuri de tip dicionar pentru aflarea parolelor de administrator. Scopul

    este obinerea controlului asupra calculatorului infectat, acesta putnd fi ulterior controlat de la

    distan. Conform datelor deinute 1.693.323 IP-uri unice (76% din totalul IP-urilor raportate sau 12,5% din totalul IP-urilor unice din RO) din RO sunt infectate cu acest vierme.

    4 Explicaii referitoare la cele 25 de tipuri de malware se regsesc n anexa nr. 4

  • 16 / 30

    Fig 4 Top 25 tipuri de malware Romnia 2013

    59%

    12%

    9%

    7%

    Conficker

    Sality

    Citadel

    Pushdo

    Zeroaccess

    Slenfbot.5050

    Virut

    Kelihos

    IRCBot

    Zeus

    Trafficconverter

    Grum

    Torpig

    Ransomware

    Blackenergy

    Tdss

    Trojan.Iframe.BMY

    Neurevt

    Trojan.Script.CEV

    Hermes

    Dorkbot

  • 17 / 30

    6.1.5. Tipuri de sisteme afectate de alerte

    n aproximativ 11% din alertele primite a fost posibil identificarea cu exactitate a tipului de sistem de operare al clientului afectat. n acest sens, tabelul de mai jos, red un clasament al celor mai afectate tipuri de sisteme de operare din RO.

    Nr. Crt.

    Familie sistem operare

    Nr. total alerte

    1 Windows 4.344.677 2 Solaris 55.524 3 Linux 8.532 4 ChacheFlow 698 5 FreeBSD 95 6 OpenBSD 69 7 NetBSD 61 8 Novell 25 9 Cisco 23 10 Checkpoint 9 TOTAL 4.409.713

    Tabel 4 Repartiie nr. de alerte totale per tipuri de sisteme de operare afectate

    Conform datelor raportate la CERT-RO, majoritatea sistemelor de tip Windows infectate ruleaz versiunile 98/XP/2000/2003. O parte dintre aceste versiuni nu mai beneficiaz de suport din partea productorului, fiind declarate ca end of life, iar alte versiuni urmeaz a nu mai beneficia

    de suport n viitorul apropiat. Aceste versiuni de sisteme de operare Windows ruleaz pe aprox.

    50% din totalul IP-urilor unice raportate la CERT-RO.

    6.2. Alerte individuale Alturi de alertele automate, n perioada de referin, analitii CERT-RO au preluat o serie de incidente de securitate cibernetic, raportate direct de ctre persoane sau organizaii din ar sau strintate, astfel:

    Clasa alerte Tip alert Numr alerte Fraud Phishing 173 Malware Infected IP 95 Information Gathering Scanner 43 Cyber Attacks DDoS 42 Malware Malicious URL 31 Abusive Content Spam 11 Botnet Botnet Drone 11 Compromised Resources Compromised Website 7 Cyber Attacks Exploit Attempt 7 Compromised Resources Defacement 6 Compromised Resources Compromised Network/System 4

  • 18 / 30

    Abusive Content Disclosure of Confidential Data 3 Fraud Unlawful eCommerce/Services 3 Other Alte tipuri 3 Abusive Content Disclosure of Personal Data 2 Botnet Botnet C&C Server 2 Compromised Resources Comprimised Application/Service 2 Cyber Attacks APT 2 Abusive Content Child Pornography 1 Cyber Attacks Bruteforce 1 Information Gathering Social Engineering 1

    TOTAL 450 Tabel 5 Distribuie alerte individuale per tipuri

    Fig. 5 Distribuie alerte individuale per tipuri

    n funcie de tipul entitii afectate distribuia incidentelor este cea din graficul de mai jos. De menionat este faptul c entitile afectate nu reprezint neaprat persoane fizice sau juridice din Romnia.

    39%

    21%

    10%

    9%

    7%

    Phishing

    Infected IP

    Scanner

    DDoS

    Malicious URL

    Spam

    Botnet Drone

    Compromised Website

    Exploit Attempt

    Defacement

    Compromised Network/System

    Disclosure of Confidential Data

    Unlawful eCommerce/Services

    Disclosure of Personal Data

    Botnet C&C Server

    Comprimised Application/Service

    APT

    Child Pornography

    Bruteforce

    Social Engineering

  • 19 / 30

    Nr. Crt. Tipul entitii afectate Nr. alerte 1 Instituii bancare 142 2 Organizaii private 80 3 Instituii de nvmnt 29 4 Instituii publice 18 5 Persoane fizice 17 6 ISP 5 7 Agenii de tip law enforcement 1 8 Neprecizat 158 TOTAL 450

    Fig. 6 Repartiie incidente pe entiti afectate De asemenea, n funcie de tipul sistemului afectat, distribuia incidentelor de securitate este urmtoarea:

    Nr. Crt. Tipul sistemelor afectate Nr. alerte 1 Reele 180 2 Servicii de tip banking/payment 132 3 Siteuri web 85 4 Email 18 5 Staii de lucru 15 6 Reele de socializare 3 7 Baze de date 2 8 Neprecizat 15 TOTAL 450 Fig. 7 Repartiie incidente pe tipuri de sisteme afectate

    6.3. Statistic domenii .ro compromise Alertele primite deseori se refer la domenii .ro afectate de diverse tipuri de incidente. Astfel, pentru perioada de referin, CERT-RO deine date referitoare la 10.239 domenii compromise. Din 710.0005 domenii nregistrate n Romnia, n luna decembrie 2013, numrul reprezint aproximativ 1,4% din totalul domeniilor .ro. Distribuia domeniilor afectate, dup tipul de incident, se regsete n tabelul de mai jos.

    5 Conform datelor ICI-ROTLD

  • 20 / 30

    Fig. 6 Domenii .ro compromise

    Fig. 7 Domenii .ro compromise distribuie alerte per luni

    60%

    27%

    13%

    Malicious URL

    Defacement

    Phishing URL

    Botnet drone

    Botnet C&C

    0

    200

    400

    600

    800

    1000

    1200

    1400

    1600

    1800

    2000

  • 21 / 30

    6.4. Ameninri de tip Advanced Persistent Threath (APT)6 n data de 25.02.2013 CERT-RO a primit o notificare asupra unei noi ameninri cibernetice denumit MiniDuke, ce face parte din categoria APT-urilor cu grad ridicat de risc, specializat n extragerea de informaii n format electronic de pe sistemele informatice int, fiind vizate entiti din cadrul structurilor guvernamentale i instituiilor de cercetare7. Virusul asociat ameninrii exploata o vulnerabilitate a aplicaiei Adobe Reader, se propaga prin email, cu ajutorul unor tehnici speciale de inginerie social, copiind fiiere pe care ulterior le transmitea ctre atacator. n Romnia au fost detectate 6 victime infectate, iar pentru remedierea situaiei s-a colaborat cu alte autoriti cu competene legale din Romnia. De asemenea, pe parcursul anului 2013 au fost primite 287 alerte referitoare la ameninarea cibernetic de tip APT intitulat Red October. Aceste alerte au vizat 55 de IP-uri unice din Romnia, ctre acestea fiind transmise alerte de atenionare. Atacuri de acest gen au fost identificate i in cursul anului trecut i au vizat structuri guvernamentale sau ambasade din Romnia.

    7. Concluzii i comentarii Din analiza datelor deinute la nivelul CERT-RO, rezult faptul c ameninrile de natur informatic asupra spaiului cibernetic naional s-au diversificat, fiind relevate tendine evolutive, att din perspectiv cantitativ, ct i din punct de vedere al complexitii tehnice evideniate. Majoritatea incidentelor analizate de CERT-RO, fie c provin din segmentul alertelor automate sau a celor individuale, se refer la entiti din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor vulnerabiliti tehnice, au vizat infectarea unor sisteme informatice cu diverse tipuri de aplicaii malware, n scopul constituirii unor reele de tip botnet (zombie). Aceste sisteme compromise (victime), ce reprezint poteniale ameninri la adresa altor entiti conectate la Internet, sunt apoi folosite cu rol de proxy pentru desfurarea altor atacuri asupra unor inte din afara rii. Avantajele pentru atacator sunt semnificative, respectiv posibilitatea ascunderii identitii sale reale precum i posibilitatea utilizrii unui numr mare de computere (in funcie de numrul sistemelor de calcul infectate) pentru a lansa atacuri. De asemenea, pe baza analizei tipurilor de malware specifice spaiului cibernetic naional precum i al tipurilor de sisteme compromise, reiese faptul c, din punct de vedere cantitativ, majoritatea atacurilor sunt ndreptate ctre sisteme nvechite, depite moral, fr posibiliti native de securizare (ex: sistemele afectate de Conficker) sau care nu sunt actualizate cu ultimele patch-uri / update-uri de securitate. Este de remarcat faptul c entiti din Romnia devin din ce n ce mai frecvent inta ameninrilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile). De asemenea, avnd n vedere funciile complexe ale unor astfel de aplicaii malware, prezente ntr-un numr mai redus n perioada analizata (capabiliti de interceptare a comunicaiilor electronice, accesarea neautorizata a datelor aferente tranzaciilor financiare si mijloacelor de plata electronice, spionaj cibernetic etc. Ex: Red October, Miniduke), precum i faptul ca aceste tipuri de ameninri prezint

    6 Advanced Persistent Threat 7http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Identifies_MiniDuke_a_New_Malicious_Program_Designed_for_Spying_on_Multiple_Government_Entities_and_Institutions_Across_the_World

  • 22 / 30

    un caracter evolutiv moderat, se poate estima o cretere a numrului i severitii unor astfel de atacuri la nivel naional pe parcursul anului 2014; n acest context, se menine concluzia din raportul publicat de CERT-RO pentru primele 6 luni ale anului, respectiv faptul c Romnia nu mai poate fi considerat doar o ar generatoare de incidente de securitate cibernetic, analiza datelor prezentate demonstrnd caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reeaua Internet n Romnia. Printre dificultile ntmpinate n activitatea de rspuns la incidente de securitate cibernetic, putem meniona lipsa prevederilor legale exprese referitoare la responsabilitile legate de notificarea, rspunsul, combaterea i eliminarea efectelor incidentelor de securitate de ctre autoritile statului sau entitile din domeniul privat, ceea ce duce la ngreunarea activitilor de rspuns n timp real la astfel de incidente. n acest context, considerm necesar completarea cadrului normativ naional cu prevederile coninute de unele documentele existente la nivel European.

  • 23 / 30

    Anexa 1 Recomandri pentru utilizatorii casnici Avnd n vedere constatrile precum i concluziile prezentului raport, considerm absolut necesar cunoaterea, de ctre utilizatorii casnici, cel puin a recomandrilor de securitate expuse mai jos:

    1. Folosii numai software cu licen. Sistemele de operare, aplicaiile de securitate, filmele, muzica precum i alte pachete software pirat, descrcate de pe site-uri de tip torrent sau hub-uri de DC, pot conine cod maliios ascuns (rootkits, backdoors etc.) ce poate transforma computerul ntr-un zombie, parte dintr-o reea de tip botnet, controlat de ctre atacator.

    2. Folosii, n msura posibilitilor, pachete software (sisteme operare i aplicaii) ce beneficiaz de suport din partea productorului, pentru care update-uri de securitate sunt publicate periodic. Pachetele software ce nu mai beneficiaz de suport tehnic (actualizri) nu v pot oferi protecie mpotriva ultimelor tipuri de atacuri sau variante de malware. Dac, din diverse motive, este necesar folosirea de pachete software ce nu mai beneficiaz de suport din partea productorului (declarate end of life) asigurai-v de securizarea suplimentar a acestora prin instalarea de aplicaii dezvoltate de teri (antimalware, firewall, aplicaii de control parental etc.), care s acopere breele de securitate neacoperite de productor.

    3. Folosii ntotdeauna, indiferent de sistemul de operare sau tipul de echipament folosit, software de securitate de tip antimalware, care s dispun de multiple module de protecie (ex: antivirus, antispam, antirootkit, antiphishing, firewall, control parental etc.). n prezent, exist variante de malware pentru fiecare tip de sistem de operare, instalat fie pe sisteme convenionale (desktop, laptop), fie pe dispozitive mobile (tablete, smartphone). Indiferent de soluia folosit, aceasta trebuie actualizat permanent.

    4. Securizai-v reeaua local wireless. n cazul n care dispunei de mai multe dispozitive ce necesit acces la Internet i folosii o reea local wireless, router-ul folosit pentru conectarea dispozitivelor i partajarea conexiunii la Internet trebuie securizat corespunztor. Detalii suplimentare despre securizarea reelelor wireless putei gsi n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762.

    5. Protejai corespunztor calculatorul sau dispozitivul folosit n comun de mai muli membri ai familiei. Crearea de conturi de utilizator individuale sau folosirea de software de control parental sunt doar cteva din msurile pe care le putei implementa. Detalii suplimentare despre securizarea reelelor wireless putei gsi n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762.

    6. Folosii parole puternice i nu dezvluii nimnui credenialele de acces la diferite aplicaii, servicii sau sisteme.

    7. Navigai prudent pe Internet i acordai o atenie sporit informaiilor disponibile pe reelele sociale (link-uri, aplicaii etc.), acestea fiind folosite mai nou ca vector pentru distribuirea de malware.

    8. Evitai folosirea calculatoarelor/dispozitivelor publice pentru accesarea diverselor servicii online (reele socializare, aplicaii de mesagerie instant etc.). De asemenea nu realizai tranzacii financiare sau cumprturi online de pe calculatoarelor/dispozitivelor publice.

    O serie de msuri suplimentare pot fi gsite n ghidul Cum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762, sau n ghidul Securitatea utilizatorului final, disponibil la http://www.cert-ro.eu/articol.php?idarticol=770. Pentru documentare suplimentar referitoare la tipuri de malware sau ameninri generice de securitate cibernetic v rugm consultai http://www.cert-ro.eu/articol.php?idarticol=763.

  • 24 / 30

    Anexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilor Sistemele informatice din cadrul organizaiilor necesit msuri suplimentare de securitate fa de utilizatorii casnici, n general datorit numrului mai mare de utilizatori precum i diversitii de tehnologii folosite. n acest sens, considerm absolut necesar cunoaterea, de ctre administratorii de sistem, cel puin a recomandrilor de securitate expuse n anexa 1 i suplimentar, a celor de mai jos:

    1. inei evidena dispozitivelor precum i a pachetelor software folosite n cadrul sistemului informatic al organizaiei.

    2. Evaluai periodic nivelul de securitate al sistemului informatic prin teste de penetrare, audituri de securitate sau simple scanri pentru identificarea vulnerabilitilor.

    3. Facei back-up permanent al datelor. 4. Aplicai msuri de securitate pentru limitarea accesului neautorizat la sistemul

    informatic: protecie fizic, blocare porturi, separare logic prin reele virtuale (VLAN), acces pe baz de smartcard-uri, conturi de utilizatori individuale protejate prin parol etc.

    5. Controlai permanent modul de folosire al conturilor de acces privilegiate (conturi de administrator). Acestea trebuie folosite doar n caz de necesitate i nu permanent de ctre persoanele responsabile cu administrarea sistemului informatic.

    6. Verificai periodic fiierele de tip log ale componentelor sistemului informatic, pentru identificarea eventualelor intruziuni.

    7. Folosii tehnologii avansate de protecie a sistemului informatic: IDS/IPS, soluii antimalware de tip enterprise, criptare fiiere i conexiuni, acces la distan prin VPN etc.

    8. Folosii proceduri de rspuns la incidente de securitate cibernetic i stabilii responsabili pentru astfel de activiti.

    9. Instruii periodic personalul cu privire la folosirea sistemului informatic i raportarea incidentelor de securitate.

    10. Documentai arhitectura sistemului informatic al organizaiei i inei evidena tuturor modificrilor.

    O serie de msuri suplimentare pot fi gsite n ghidulCum s te fereti de virui, viermi i troieni, disponibil la http://www.cert-ro.eu/articol.php?idarticol=762.

  • 25 / 30

    Anexa 3 Clasificarea tipurilor de alerte tratate de CERT-RO

    Clasa alerte Tip alert Descriere Abusive Content Spam Comunicri electronice (mail) nesolicitate cu

    caracter comercial. Child Pornography Distribuire materiale pornografice cu minori. Disclosure of Personal Data Publicarea ilegal a datelor cu caracter

    personal. Disclosure of Confidential Data Publicarea ilegal de date confideniale.

    Compromiterea datelor prin nclcarea principiului confidenialitii lor .

    Botnet Botnet C&C Server Sisteme informatice utilizate pentru controlul victimelor (drone, zombie) din cadrul unei reele de tip botnet

    Botnet Drone Reea de sisteme informatice infectate controlate de alte persoane/organizaii dect deintorii acestora.

    Compromised Resources Defacement Atac asupra unui site web, realizat prin diferite metode, ce are ca scop alterarea coninutului afiat n paginile web. De cele mai multe ori atacatorii nlocuiesc prima pagin a site-ului cu o alt pagin ce afieaz informaii false.

    Compromised Router Compromiterea unor echipamente de comunicaii de tip router.

    Compromised Network/System Compromiterea unei reele sau a unui sistem informatic.

    Compromised Application/Service

    Compromiterea unor aplicaii/servicii

    Compromised Website Site web compromis Cyber Attacks Bruteforce Metod automat de spargere a parolelor,

    folosit n scopul aflrii credenialelor legitime ale utilizatorilor unui sistem informatic. Practic, prin intermediul unor mecanisme automate, se genereaz i se testeaz un numr foarte mare de combinaii de parole, pn la aflarea credenialelor reale. Metoda garanteaz succesul dar este foarte mare consumatoare de timp i resurse.

    DDoS Afectarea disponibilitii unor sisteme/servicii informatice sau de comunicaii electronice. Sistemul int este atacat prin trimiterea unui numr foarte mare de solicitri nelegitime, ce consum resursele hardware sau software ale acestuia, fcndu-l indisponibil pentru utilizatorii legitimi.

    Exploit Attempt Secvene de cod ce exploateaz erori de programare din sistemul de operare sau din orice alt program rezident n acel sistem. De

  • 26 / 30

    cele mai multe ori, exploit-urile nu cauzeaz daune, ci doar permit unui atacator obinerea controlului asupra sistemului infectat crend posibilitatea instalrii altor tipuri de malware.

    APT Atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile).

    Fraud Phishing O form de nelciune n mediul online care const n folosirea unor tehnici de manipulare a identitii unor persoane/organizaii pentru obinerea unor avantaje materiale sau informaii confideniale.

    Unlawful eCommerce/Services Activiti ilegale de comer de servicii sau produse pe internet.

    Information Gathering Scanner Sisteme care scaneaz clase ntregi de IP-uri din Internet, n scopul identificrii sistemelor vulnerabile, asupra crora poate fi lansat ulterior un atac cibernetic. Faza de scanare este faza incipient n majoritatea atacurilor cibernetice.

    Sniffer Sistem ce intercepteaz pachetele de date transmise prin reea permind decodificarea ulterioar a acestora. Aceast metod se folosete pentru aflarea parolelor sau a altor date senzitive despre anumii utilizatori. Sniffing se refer la actul de interceptare a pachetelor TCP/IP.

    Social Engineering Reprezint un set de tehnici folosite pentru manipularea utilizatorilor sistemelor informatice, n scopul divulgrii de informaii confideniale, ce pot fi folosite ulterior pentru obinerea de foloase necuvenite sau acces fr drept la sistemul informatic.

    Malware Infected IP Sisteme/servicii informatice cu rol de vector de infectare pentru alte sisteme informatice. Sistemele/serviciile practic gzduiesc, cu sau fr voia administratorului, diverse mostre de malware ce pot infecta ali utilizatori legitimi.

    Malicious URL Site-uri compromise, de cele mai multe ori fr voia administratorului, ce gzduiesc diverse tipuri de malware, facilitnd infectarea altor utilizatori legitimi ce viziteaz linkurile respective.

    Vulnerabilities Open Proxy Servere/servicii proxy nesecurizate, ce pot fi folosite de ctre orice utilizator al Internet-ului. Astfel de servicii sunt deseori folosite de atacatori pentru lansarea de atacuri ctre diverse inte din internet, pstrndu-i astfel

  • 27 / 30

    identitatea ascuns. Serviciile de tip proxy sunt deseori folosite pentru accesarea Internet-ului, printr-o singur adres IP, de ctre mai muli utilizatori sau echipamente.

    Open Resolver Servere DNS, nesecurizate, ce permit lansarea de solicitri DNS recursive pentru alte domenii dect cele deservite de serverul DNS. Sunt utilizate pentru atacuri de tip DNS Amplification.

    Not: Tabelul de mai sus conine tipurile de alertele de securitate cibernetic raportate frecvent la CERT-RO. Dei gama de ameninri cibernetice este mult mai variat, nu toate se regsesc n raportrile primite de noi. Am preferat meninerea denumirilor n limba englez a claselor i

    tipurilor de alerte pentru a nu pierde sensul anumitor categorii prin traducere n limba romn.

  • http://www.cert-ro.eu

    Anexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional

    Nr. Crt.

    Nume Malware

    Tip malware Descriere

    Afec

    teaz

    a

    Conf

    iden

    tialit

    atea

    Afec

    teaz

    a

    Dis

    poni

    bilit

    atea

    Afec

    teaz

    a

    Inte

    grit

    atea

    1 Conficker Vierme de asemenea cunoscut sub denumirile Downup, Downadup sau Kido, este un vierme informatic care a infectat milioane de calculatoare ncepnd de la finele anului 2008. Scopul principal al lui Conficker este acela de a compromite un numr ct mai mare de sisteme, acest lucru fiind posibil prin exploatarea vulnerabilitilor sistemelor de operare Microsoft Windows. Odat ce sistemul a fost compromis, viermele blocheaz opiunile de actualizare automate ale acestuia i restricioneaz accesul utilizatorului la site-urile productorilor de soluii de securitate. Mai mult dect att, variantele ulterioare ale lui Conficker includ i mecanisme de exploatare a funciei Autorun, posibilitatea de a accesa resursele partajate din reea, precum i deschiderea i meninerea unei linii de comunicare ntre mainile infectate i centrul de comand i control (structur de tip botnet).

    DA DA NU

    2 Sality Virus este un virus polimorfic cu capabiliti de backdoor i keylogging care infecteaz fiierele executabile (.EXE) i ncearc tergerea fiierelor asociate programelor anti-virus, anti-spyware i n unele cazuri firewall. Dup acest pas, Sality ruleaz un modul keylogger care colecteaz informaii despre sistemul infectat, nregistreaz parolele i conturile de login folosite dup care le trimite la o adres de e-mail predefinit. De asemenea, virusul creeaz un backdoor prin care atacatorul poate prelua controlul calculatorului. Ca metode de propagare virusul se rspandete n reea i pe alte medii de stocare copiindu-se cu denumiri aleatoare i crend o cale n fiierul autorun.inf pentru a fi sigur c va fi rulat.

    DA DA DA

    3 Citadel Troian este un program maliios ce face parte din familia troienilor bancari (Zeus, SpyEye etc.) ce au ca scop manipularea tranzaciilor online. n plus, acesta permite susinerea unui atac informatic de tip DDoS prin intermediul sistemelor infectate sau executarea de la distan a unor programe maliioase de tip ransomware, respectiv scareware pe acestea (structur de tip botnet).

    DA DA DA

    4 Pushdo Troian este un troian care permite accesul i controlul neautorizat a unui calculator infectat. Atacatorul poate efectua un numr ridicat de aciuni remote printre care menionm: descrcarea i executarea de fiiere; upload-ul unor fiiere rezidente pe staia infectat; infectarea altor sisteme prin diverse metode de propagare; capabiliti de keylogging; modificarea setrilor sistemului de operare; tergerea de fiiere; executarea sau nchiderea unor aplicaii.

    DA NU DA

    5 Zeroaccess Troian cunoscut i sub denumirile max++ i Sirefef, este un malware de tip troian care afecteaz sistemele de operare Microsoft Windows. Scopul acestuia este de a descrca alte programe maliioase pe mainile compromise din cadrul unei reele de boi (botnet) de cele mai multe ori implicat n operaiuni de fraudare a click-urilor sau a monedelor virtuale (Bitcoin).

    DA DA DA

    6 Slenfbot.5050 Vierme este un vierme care odat ce infecteaz sistemul l transform ntr-un bot. Acesta se rspndete via programe de mesagerie instant printre care MSM Messenger, Yahoo Messenger i Skype. De asemenea se poate rspndi via DA NU DA

  • 29 / 30

    dispozitive de stocare sau exploatnd vulnerabilitatea MS06-040. n urma infectrii acesta se conecteaz la un canal IRC, iar sistemul victim poate fi comandat de ctre un server de comand i control.

    7 Virut Virus este un program maliios de tip botnet care este utlizat pentru distribuirea de malware, iniierea unor atacuri informatice de tip DDoS, spam, furt de date etc. prin intermediul sistemelor compromise. O caracteristic specific a acestuia este rspndirea prin infectarea fiierelor executabile.

    DA DA DA

    8 kelihos Troian este un troian care distribuie mesaje de spam via email. Mesajele de spam pot conine hyperlinkuri pentru a instala malware-ul Kelihos. Malware-ul poate comunica cu servere remote pentru a oferi informaii despre victim i pentru a executa diverse sarcini precum: trimiterea de spam; capturarea unor informaii sensibile; download-ul i executarea unor fiiere.

    DA NU DA

    9 IRCBot Troian reprezint o familie de troieni cu capabiliti de backdoor care vizeaz sistemele de operare Microsoft Windows. Troianul are posibilitatea de a descrca o gam de aplicaii maliioase pe sistemul infectat i realizeaz o conexiune ctre servere de IRC. Troianul poate menine multiple conexiuni pentru a primi comenzi de la atacatori.

    DA NU DA

    10 Zeus Troian aceasta familie de troieni sunt folosii pentru a fura informaii cu caracter personal i ofer atacatorilor control asupra staiei respective. Aciunile de furt de informaii vizeaz n special instituiile financiare. Acesta poate ncetini conexiunea la internet, opri firewall-ul, descrca i executa fiiere. Principalele modaliti de propagare sunt via email-uri spam, site-uri web compromise sau aplicaii freeware care execut i alte operaii dect cele din descriere.

    DA DA DA

    11 Trafficconverter Troian (Conficker)

    provine de la denumirea domeniului trafficconverter.biz, domeniu de unde mainile infectate cu viermele Conficker i descrcau versiunile actualizate. O alt utilitate a acestui domeniu a fost de nelare a utilizatorilor sistemelor compromise s descarce soluii false de scanare/devirusarea a lui Conficker n schimbul unei sume de bani.

    NU NU DA

    12 Grum Troian este un troian care n urma infeciei permite atacatorilor s foloseasc staia infectat ca i server proxy pentru a accesa Internetul. Acest virus este distribuit via email-uri spam sau driveby download. DA DA NU

    13 Torpig Troian cunoscut i sub denumirile de Sinowal sau Anserin, este un malware de tip de botnet distribuit de o varietate de troieni care afecteaz maini care au instalate sisteme de operare Microsoft Windows. Acesta scaneaz mainile infectate pentru a obine credeniale, informaii despre conturi sau parole, permind astfel accesul deplin al atacatorului la acestea. Torpig este recunoscut pentru fraudele din domeniul bancar online.

    DA NU NU

    14 Ransomware Troian/ Vierme

    reprezint o clas de malware care restricioneaz accesul la staia infectat i oblig utilizatorul s plteasc pentru a primi acces din nou. Unele variante cripteaz doar fiiere sau poriuni din dispozitivul de stocare, iar altele restricioneaz accesul la sistemul de operare i afieaz un mesaj cu cerinele atacatorului.

    NU DA NU

    15 Blackenergy Troian este un malware HTTP-based de tip botnet utilizat n principal pentru iniierea atacurilor de tip DDoS. O caracteristic a acestuia este c spre deosebire de un botnet comun, Blackenergy nu comunic cu serverul de comand i control prin canale de tip IRC.

    NU DA NU

    16 Tdss Troian cunoscut i sub denumirea de Alureon, este un malware de tip troian dezvoltat cu scopul de a sustrage date de pe mainile compromise prin interceptarea traficului din reea i cutarea de nume de utilizatori, parole sau date referitoare la conturile bancare.

    DA DA NU

    17 Trojan.Iframe.BMY Troian este un troian care identific pagini web hostate pe staia respectiv i le infecteaz insernd un iframe ascuns la finalul codului de html. Iframe-ul ascuns poate conine un link ctre o pagin web. NU NU DA

    18 Neurevt Troian cunoscut i sub numele de Beta Bot, este un malware HTTP-based de tip botnet care n urma infeciei schimb anumite setri ale sistemului compromis i sustrage date sensibile. De asemenea, acesta poate permite unui DA DA DA

  • 30 / 30

    atacator s controleze de la distan maina compromis.

    19 Trojan.Script.CEV Troian Nu exista descriere disponibila. 20 Hermes Vierme este un vierme pentru mass-mailing. Un vierme de mass mailing reprezint un cod maliios care se propag prin

    trimiterea acestuia via email. Acesta folosete propriul motor de SMTP astfel copii ale viermelui trimise via email nu apar pe staia utilizatorului sau in folder-ul send a aplicaiei de email.

    NU DA NU

    21 Dorkbot Vierme este denumirea unei familii de viermi informatici care comunic prin canale de tip IRC i se rspndesc prin dispozitive USB, programe de mesagerie instant i reele sociale. Variante de Dorkbot pot captura numele utilizatorilor i parolele acestora prin spionarea traficului din reea i pot bloca site-uri utilizate pentru actualizri de mainile compromise.

    DA NU DA

    22 DDoS_Khan Troian este un troian care n urma infeciei transform staia ntr-un bot n cadrul unui botnet. Principalul obiectiv a acestui troian este de a executa atacuri DoS prin realizarea de trafic HTTP. NU DA NU

    23 DDoS_DirtJumper Troian este un troian care n urma infeciei transform staia ntr-un bot n cadrul unui botnet. Principalul obiectiv a acestui troian este de a executa atacuri DoS prin realizarea de trafic HTTP. NU DA NU

    24 Gamarue Virus reprezint o familie de virui care pot descrca i fura informaii despre staia infectat. Acestea sunt distribuite via kituri de exploit i spammed email. Anumite variante ale malware-ului sunt viermi i se pot rspndi prin infectarea unor dispozitive de stocare mobile.

    DA NU NU

    25 Trojan.Iframe.BZW Troian este un troian care identific pagini web hostate pe staia respectiv i le infecteaz insernd un iframe ascuns la finalul codului de html. Iframe-ul ascuns poate conine fie un link ctre o pagin web. NU NU DA

    1. Rezumatul raportului2. Despre CERT-RO?3. Obiectivul prezentului raport4. Sursele de date ale CERT-RO5. Sistemul de Alert Timpurie (SAT) al CERT-RO6. Statistic pe baza alertelor primite6.1. Alerte colectate i transmise prin intermediul unor sisteme automate6.1.1. Distribuia alertelor pe tipuri i clase de incidente6.1.2. Distribuia alertelor pe luni calendaristice6.1.3. Distribuia alertelor pe Autonomous System Number (ASN)6.1.4. Tipuri de malware caracteristice spaiului cibernetic romnesc6.1.5. Tipuri de sisteme afectate de alerte6.2. Alerte individuale6.3. Statistic domenii .ro compromise6.4. Ameninri de tip Advanced Persistent Threath (APT)5F

    7. Concluzii i comentariiAnexa 1 Recomandri pentru utilizatorii casniciAnexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilorAnexa 3 Clasificarea tipurilor de alerte tratate de CERT-ROAnexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional


Recommended