Interviu/ Anton Rog, șeful Centrului Național Cyberint (SRI): “Atacurile WannaCry și GoldenEye ar putea fi doar teste realizate de atacatori”

Pericolul amenințărilor informatice nu a dispărut după valul de atacuri WannaCry. Numeroși utilizatori ai sistemelor de operare Windows XP au devenit victimele amenințărilor cibernetice de tip ransomware, aducând din nou în prim plan problematica reprezentată de breșele existente în sistemele de securitate, precum și modul în care utilizatorii sistemelor de operare reușesc să se protejeze în fața unor astfel de atacuri.

Anton Rog, șeful Centrului Național Cyberint (SRI), vorbeşte despre măsurile de protecţie şi provocările la care suntem expuşi în faţa noilor ameninţări GoldenEye în interviul pe care l-a oferit lui Vladimir Adrian Costea, pentru Europunkt.

Vladimir Adrian Costea: Care sunt principalele “metode” după care acționează atacurile cibernetice GoldenEye? În ce constă originalitatea acestor atacuri, spre deosebire de atacurile WannaCry?

Anton Rog: Atacurile cibernetice recente ce au folosit o versiune a aplicației ransomware GoldenEye, cunoscută și sub denumirile de Petya, ExPetr, NotPetya, PetyaWrap, denumiri date de diferite companii antivirus în zilele ce au urmat datei de 27 iunie, atunci când s-a declanșat atacul la nivel mondial, au folosit aceeași vulnerabilitate Windows din protocolul SMBv1, exploatată și de către atacurile WannaCry. Aplicația malware se răspândește atât prin metode de tip phishing, sub forma unui atașament de tip Microsoft Office, cât și prin exploatarea vulnerabilității SMBv1, pentru a se extinde în cadrul rețelei. Aplicația are capabilități de “worm”, care îi permit să facă mișcări laterale în cadrul rețelelor infectate. GoldenEye criptează master file tree table (MFT) de pe partițiile NTFS, face inoperabil, prin suprascriere, master boot record (MBR) și restricționează accesul la întregul sistem. MBR de pe calculatorul victimă este înlocuit cu un cod malware ce afișează o notă de tip ransom, iar sistemul nu mai este capabil să pornească. Unii specialiști consideră că atacul este mai puțin de tip ransomware, fiind mai degrabă un “wiper”, devreme ce suprascrie porțiuni de care un disk are nevoie pentru a rula. Spre deosebire de WannaCry, atacul cu ransomware GoldenEye nu poate fi oprit printr-un mecanism de tip “killswitch” și nici nu adaugă o anumită extensie fișierelor criptate.

Care sunt breșele din sistemele de securitate care sunt exploatate de atacatori?

Atașamentul malware de tip fișier .doc, primit prin intermediul e-mailurilor, exploatează vulnerabilitatea CVE-2017-0199 Office RTF pentru a descărca paylodul malware. Răspândirea în cadrul rețelei se realizează prin componenta de tip SMB worm, ce exploatează aceeași vulnerabilitate ca și în cazul campaniei WannaCry, și anume CVE-2017-0144, folosind exploitul ETERNALBLUE. Acest exploit a fost făcut public în aprilie 2017, de către un grup cunoscut sub numele de ShadowBrokers, în cadrul unei colecții de fișiere cuprinzând unelte ofensive sustrase de la o agenție de informații (compania Microsoft a emis o actualizare de securitate prin buletinul MS17-010). De asemenea, este folosită și vulnerabilitatea CVE-2017-0145, prin exploitul ETERNALROMANCE (actualizarea de securitate se regăsește tot în buletinul menționat). Aplicația poate infecta apoi și sistemele din cadrul rețelei, care au aplicată actualizarea de securitate, prin utilizarea unor funcționalități Windows legitime (PsExec și WMI, ce permit executarea de comenzi de la distanță pe sisteme), pentru a realiza infecția de la distanță folosind credențiale de administrator păstrate în cache în scopul autentificării.  Astfel, abordarea este următoarea: infectarea sistemelor care nu au aplicată actualizarea de securitate și apoi utilizarea de credențiale pentru a infecta și sistemele actualizate din cadrul aceleiași rețele.

Care este impactul pe care amenințările GoldenEye l-au generat asupra utilizatorilor de Windows? Care este numărul victimelor acestor atacuri?

Prima infectare cu aplicația malware a fost raportată în Ucraina, în ziua de 27 iunie. Apoi au fost observate infectări ale sistemelor informatice la nivel global, în aproximativ 64 de state, incluzând Belgia, Brazilia, Germania, Rusia, Statele Unite ale Americii. Din surse deschise, rezultă că au fost afectate aproximativ 2000 de organizații din întreaga lume.

În ce măsură amenințările de acest tip pot să reapară în viitorul apropriat?

În general, majoritatea exploiturilor dezvăluite în diferite surse publice se referă la vulnerabilități care deja au fost adresate prin patch-uri/actualizări de securitate realizate de companiile producătoare din domeniul IT. Atacatorii încearcă să exploateze, pe de o parte, prin folosirea ingineriei sociale, curiozitatea sau imprudența utilizatorilor de a deschide orice document primit pe mail, iar pe de altă parte, neglijența administratorilor de sisteme informatice în ceea ce privește aplicarea la timp a actualizărilor de securitate pentru sistemele de operare sau aplicațiile utilizate. În viitorul apropiat, este de așteptat ca și alte exploituri, dintre cele recent publicate în surse deschise, să fie utilizate în scopul realizării unor atacuri sofisticate asupra sistemelor informatice din întreaga lume. În general, aplicațiile ransomware solicită recompense în moneda virtuală bitcoin ce urmează a fi plătite în conturi de bitcoin unice asociate fiecărei victime, iar comunicațiile sunt realizate prin protocolul Tor. În cazul GoldenEye, atacatorii au avut o singură adresă de e-mail pentru comunicații, adresă care de altfel a fost oprită de Posteo, ISP-ul german responsabil pentru contul de e-mail. Asta înseamnă că victimele nu au mai putut comunica cu atacatorii pentru a face plata sau pentru a primi codurile de decriptare, fișierele criptate fiind pierdute definitiv. Aceste ipoteze ne conduc la ideea că scopul atacului nu a fost realizarea de câștiguri financiare, ci răspândirea rapidă și cauzarea unor efecte distructive în cadrul rețelelor, sub acoperirea unui ransomware.

Cum a fost afectată România de aceste atacuri cibernetice? Cum evaluați reacția instituțiilor statului?

Realizarea unei statistici a pagubelor înregistrate în urma atacului cibernetic la nivel național, excede atribuțiilor Serviciului Român de Informații, însă, din cauza unui anumit vid legislativ în acest domeniu, care devine tot mai important din punct de vedere al amenințărilor, este posibil să nu existe o astfel de statistică raportată la realitățile din țara noastră, deoarece companiile sau utilizatorii obișnuiți nu au obligația de a raporta aceste probleme unui organism statuat prin lege. Orice atac cibernetic are în spate o motivație și vizează anumite ținte, fie că sunt organizații sau/și utilizatori casnici. Prin urmare, expunerea României în fața unor atacuri de acest fel depinde de o serie de factori ce se află în spatele declanșării acestora.

Care sunt măsurile pe care le considerați necesare pentru a proteja sistemele de securitate în fața acestor atacuri?

Trăim într-o epocă în care Internetul și comunicarea online sunt apanajele informării și progresului. Prin urmare, un set minimal de reguli și bune practici trebuie respectate atât de către organizații, cât și de către utilizatorii casnici, pentru a ține la distanță pericolele iminente rezultate din atacurile cibernetice. Astfel, acele sisteme care au instalat sistemul de operare Windows trebuie sa aibă aplicate toate actualizările de securitate. În plus, porturile SMB 139 și 445 trebuie să fie blocate pentru toate hosturile accesibile extern și, de asemenea, conexiunile la nodurile TOR și traficul TOR în rețea. Actualizarea pentru vulnerabilitatea SMB este disponibilă ca Buletin de securitate Microsoft MS17-010 pentru versiunile sistemului de operare Windows și este absolut necesar ca acest patch să fie instalat. Aplicațiile antivirus instalate pe sistemele informatice trebuie să preia la zi cele mai recente semnături antivirus furnizate de producători. Utilizatorii trebuie să fie vigilenți la deschiderea documentelor din atașamentele emailurilor ce provin din surse necunoscute sau care nu sunt de încredere. Poate pe primul loc în cadrul acestui set de bune practici este necesitatea ca pentru orice sistem informatic să fie realizate automat backup-uri, în mod sistematic. Aplicațiile și utilizatorii sistemelor informatice trebuie să folosească cel mai redus nivel de privilegii necesare pentru executarea acțiunilor/operațiilor. De asemenea, atunci când un program solicită utilizatorului parola de administrator pentru a-și continua execuția, acesta trebuie să fie vigilent și să se asigure că este vorba despre un program legitim. Organizațiile compromise trebuie să evite, pe cât posibil, să plătească recompensa cerută, deoarece nu există nicio garanție a faptului că astfel își vor recupera informațiile.

Care sunt provocările pe care le-au generat amenințările WannaCry şi GoldenEye asupra sistemelor de securitate?

WannaCry și GoldenEye au demonstrat că sistemele informatice prezintă vulnerabilități ce pot fi exploatate de un atacator priceput. Lipsa unei culturi de securitate minimale, în rândul utilizatorilor, poate determina pagube dificil de cuantificat în interiorul rețelelor. Mediile globale asupra cărora atacul GoldenEye a avut impact au fost cele aferente domeniilor guvernamental, energetic, financiar, apărare, maritim, aviație, transporturi. În mod surprinzător, după amenințarea WannaCry, s-a dovedit că există numeroase corporații și companii internaționale care nu au implementat încă, în mod corespunzător, măsurile de securitate adecvate, pentru a fi protejate în fața unor astfel de atacuri. Dat fiind că atacurile WannaCry și GoldenEye nu au generat câștiguri foarte mari pentru atacatori, unii experți în securitate cibernetică sunt de părere că avem de-a face, pentru moment, numai cu vârful icebergului, aceste atacuri fiind doar teste realizate de atacatori asupra vulnerabilităților sistemelor informatice din întreaga lume, prefigurând realizarea în viitor a unor atacuri cibernetice mult mai sofisticate.