Alertă de securitate din SUA: Peste 120 de IP-uri, majoritatea din Rusia, caută posibile vulnerabilități IT în sectorul energetic din România
Autorități din SUA au notificat recent Directoratul Național de Securitate Cibernetică (DNSC) în privința a peste 100 de adrese IP utilizate în acțiuni de scanare/recunoaștere asupra sectorului energetic de către actori cibernetici din spațiul geografic al Federației Ruse, au precizat pentru HotNews.ro oficialii directoratului. Scanarea/recunoașterea este primul pas pentru lansarea unui atac cibernetic.
DNSC a publicat recent noi liste actualizate cu site-uri de fake news și fraude, precum și IP-uri utilizate pentru atacuri malware care ar putea afecta și România. Amintim că DNSC recomandă către ANCOM și furnizorii de internet să ia măsurile legale împotriva acestor resurse considerate periculoase.
- VEZI AICI LISTELE DNSC DIN 26 MARTIE ȘI 29 MARTIE 2022
Peste 100 de adrese IP, majoritatea din Rusia, sunt folosite în scanarea unor vulnerabilități în sectorul energetic din România – alertă din SUA
În lista de adrese IP de pe care ar fi propagate atacuri cibernetice și malware ce pot afecta și România, în contextul crizei Ucraina-Rusia, apar peste 120 de adrese IP, majoritatea din Rusia, în dreptul cărora este trecut la tipul de atac următoarea informație: „reconnaissance of energy sector”.
Amintim că în data de 7 martie Rompetrol a fost victima unui atac cibernetic complex de tip ransomware, în care se cere o recompensă financiară pentru deblocarea datelor criptate. Compania a precizat recent că ‘operațiunile specifice sistemelor IT din cadrul companiei au fost parțial restaurate în urma atacului cibernetic complex, de tip ransomware’, fără a preciza însă cu ce costuri a reușit acest lucru.
Revenind la lista DNSC se observă că apar și adrese IP din alte țări, inclusiv SUA și chiar România, pentru care DNSC a cerut blocarea traficului de internet spre și dinspre aceste adrese IP, motiv pentru care HotNews.ro a solicitat mai multe detalii de la DNSC.
Ce reprezintă „reconnaissance of energy sector”?
- „Activitatea de „reconnaisance” este, în termeni cyber, primul pas în cadrul / modelul Cyber Kill Chain® pentru identificarea și prevenirea intruziunilor / atacurilor cibernetice, model dezvoltat de Lockheed Martin. Scanarea/recunoașterea este primul pas pentru lansarea unui atac.
- Modelul Cyber Kill Chain este unul bine cunoscut și des utilizat de experții cyber și identifică pașii pe care un atacator / adversarii trebuie să îi completeze pentru a-și atinge obiectivul.””, au declarat pentru HotNews.ro experții DNSC.
Cine a raportat către DNSC toate aceste IP-uri cu probleme?
- „Adresele IP incluse în data de 26.03.2022 în adresa Directoratului către ANCOM, și care au la detalii specificația ‘reconnaisance of energy sector’ fac parte dintr-un raport cu nivelul de confidențialitate TLP=AMBER primit de la autorități din SUA care au identificat astfel de adrese ca fiind utilizate în acțiuni de scanare / recunoaștere asupra sectorului energetic de către actori cibernetici din spațiul geografic al Federației Ruse.
- Nivelul de confidențialitate TLP=AMBER permite comunicarea acestui raport exclusiv în interiorul Directoratului.”, au precizat pentru HotNews.ro experții Directoratului.
Există inclusiv un IP din România blocat. Ce site-uri, aplicatii erau la acel IP? S-a asigurat DNSC să nu fie afectate posibile afaceri legitime?
- „Pentru a afla detalii privind ce site-uri, aplicații ce sunt la IP-ul de România pe care l-ați menționat, va trebui să vă adresați direct administratorului acestui IP. Directoratul nu are primită o aprobare de la acest administrator, pentru a face publice detalii privind infrastructura și tehnologiile ce sunt asociate cu acest IP.
- De la acel IP, conform raportului cu nivelul de confidențialitate TLP=AMBER primit de la autoritățile din SUA, așa cum am comunicat transparent, se derulau activități de scanare / recunoaștere. La momentul raportării de către Directorat către ANCOM (26.03.2022) adresa de IP pe care ați menționat-o era deja indisponibilă din România.
- Directoratul face toate eforturile pentru a se asigura de faptul că această prin această inițiativă nu vor exista perturbări ale unor infrastructuri și servicii informatice legitime. În același timp, nu vom tolera activități malițioase sau atacuri cibernetice în spațiul cibernetic național civil al României.”, au mai spus experții DNSC.
DNSC a început să atenționeze furnizorii de internet că blocarea unor IP-uri nu este recomandată pentru că afectează alte servicii legitime
De notat că DNSC a început să avertizeze furnizorii de internet în noile liste cu adrese IP care ar fi cu probleme că blocarea unora nu este fezabilă.
DNSC prezintă o listă de domenii, site-uri web și adrese IP pentru care s-au implementat măsuri de remediere și verificare ce permit ridicarea limitărilor și restricțiilor, sau pentru care nu este fezabilă încă implementarea de limitări sau restricții.
„Cu toate acestea, în urma analizei Directoratului, nu este recomandată limitarea traficului internet spre/dinspre aceste adrese de IP, pentru evitarea posibilelor perturbări ale unor servicii informatice legitime.”, atenționează Directoratul.
Unele servicii Google Firebase au fost afectate în România din cauza blocării unor adrese IP publicate pe lista DNSC
Atenționarea DNSC către furnizorii de internet vine după incidentul recent în care unele servicii Google Firebase au fost afectate în România din cauza blocării unor adrese IP publicate pe lista DNSC.
Unele servicii Google Firebase, platformă pentru crearea de aplicații mobile și web, e posibil să fie blocate în România, în anumite rețele, după ce unii furnizori de internet (ISP-iști) au blocat, în mod eronat, o adresă de IP care aparține acestui serviciu, a atenționat în data de 22 martie Asociația pentru Tehnologie și Internet (APTI), în urma plângerii unor dezvoltatori web.
În replică, DNSC a spus că a cerut blocarea a două subdomenii Russia Today și Sputnik, nu a adresei IP, și a dat vina pe furnizorii de internet pentru problema apărută.