Cum s-a desfășurat atacul cibernetic la Rompetrol. Șeful DNSC: Sunt motivați clar de bani
Atacul cibernetic care a avut loc asupra mașinilor virtuale ale Rompetrol este un atac de tip ransomware, în care se cere o recompensă financiară pentru deblocarea datelor criptate, a declarat luni pentru HotNews.ro Dan Cîmpean, directorul DNSC – Directoratul Național de Securitate Cibernetică (DNSC).
Într-un interviu acordat luni HotNews.ro șeful DNSC a oferit câteva detalii despre atacul cibernetic cu care se confruntă în prezent Rompetrol.
- „Noi am primit o alertă în noaptea de duminică spre luni, la miezul nopții, de la Rompetrol. Evident experții noștri tehnici s-au activat și lucrăm împreună cu ei. La momentul acesta pot să vă spun că efortul principal este pe limitarea efectelor atacului asupra companiei Rompetrol, în paralel cu derularea analizei pentru că trebuie să înțelegem foarte bine ce s-a întâmplat, cum s-a întâmplat, ce actori au fost implicați și de unde s-a întâmplat atacul respectiv, motivul fiind foarte simplu – vrem să evităm să se întâmple același lucru într-o săptămână sau două.”, a declarat Dan Cîmpean.
Acesta a amintit faptul că Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea națională cu atribuții de securitate cibernetică în domeniul civil, potrivit Ordonanței 104/2021.
În plus, potrivit legii 362/2018, DNSC are și obligații pentru protejarea operatorilor de servicii esențiale, care sunt sectorul financiar bancar, firme de transport, din domeniul energetic, sănătate, infratsructuri financiare, furnizori de DNS, de domenii de internet etc. o gamă foarte largă de operatori și se va extinde în curând.
În ce a constat mai exact atacul cibernetic de la Rompetrol?
„Mașini virtuale ale Rompetrol au fost criptate prin exploatarea unor vulnerabilități care cinstit și onest erau cunoscute de comunitatea de cercetători cyber la nivel global de prin luna noiembrie 2021. Din informațiile pe care le avem la îndemână este un atac de tip ransomware, în care se cere o recompensă financiară pentru deblocarea datelor criptate.”, a declarat șeful DNSC, fără a da alte detalii.
Ce este un atac ransomware
Ransomware-ul este un malware (software malițios) ce împiedică accesul la fișiere, sau chiar la întregul sistem informatic infectat, până la plata unei „recompense” (ransom), potrivit informațiilor DNSC.
Astfel, ransomware-ul este una dintre cele mai supărătoare forme de malware, întrucât produce pagube financiare directe, iar de cele mai multe ori fișierele criptate de malware nu pot fi decriptate.
Pentru a îngreuna procesul de recuperare a fișierelor, ransomware-urile blochează accesul la fișiere (documente, fotografii, muzică, video etc.) prin criptarea asimetrică a acestora.
Ar putea avea legătură acest atac cibernetic cu războiul din Ucraina? Ce spune șeful DNSC
Întrebat dacă este de părere că ar putea exista o legătură între acest atac cibernetic de la Rompetrol și războiul din Ucraina, directorul DNSC a subliniat că este o probabilitate ridicată să aibă legătură cu actualul context, dar că la acest moment nu există niciun fel de informații în acest sens.
- „Onest și deschis este extrem de dificil de spus la momentul acesta, dar eu personal și din experiența profesională de 25 de ani nu cred în coincidențe. Deci este o probabilitate relativ ridicată să aibă legătură sau alta cu actualul context geopolitic.
- În perioada asta sunt foarte mulți actori activi și grupări de criminalitate cibernetică de pe toată planeta care sunt foarte active. Evident până nu se face o atribuire completă foarte bine documentată este foarte dificil de a desemna o grupare de criminalitate cibernetică, un actor statal sau orice alt atacator. Mai ales la acest moment în condiții de război în spațiul Ucrainei, să nu uităm este extrem de sensibil și din punct de vedere al țărilor NATO.
- Spațiul cibernetic este un teatru operațional și acțiuni de natură cibernetică sunt extrem de sensibile în acest moment indiferent cine le face pentru că pot fi interpretate greșit, pot fi atribuite greșit și pot declanșa o reacție greșită care în special în condițiile actuale poate fi catastrofală.
- Concret, în contextul actual dacă ar fi vorba de Rusia, ar însemna că Rusia a atacat o țară NATO, o infrastructură dintr-o țară NATO. Nu putem spune asta la acest moment. Acest lucru nu se poate face decât după ce un întreg proces de atribuire este finalizat. La acest moment nu avem absolut niciun fel de informații despre ce a fost, decât că a fost un incident la Rompetrol.”, a precizat Dan Cîmpean.
Cine sunt principalii suspecți și de ce ar ataca Rompetrol?
Potrivit șefului DNSC, principalii suspecți în prezent sunt grupările de criminalitate informatică transnaționale.
- „Principalii suspecți, după modul de operare, sunt grupări de criminalitate informatică transnaționale, adică nu țin de o țară sau alta. Din păcate în foarte multe din ele avem cetățeni români, care datorită expertizei tehnice pe care o au sunt activi în foarte multe astfel de grupări infracțioonale.
- Ei exploatează niște vulnerabilități de securitate cibernetică oriunde pot și să obțină foloase materiale. Sunt motivați clar de bani.”, a mai declarat luni pentru HotNews.ro Dan Câmpean, directorul DNSC.
Atacul cibernetic de la Rompetrol: Ce măsuri a luat compania
HotNews.ro a informat luni, citând surse din industria de securitate cibernetică, asupra faptului că Rompetrol s-ar confrunta cu un atac cibernetic, mai multe mașini virtuale de la Telekom, fiind criptate de atacatori.
Ulterior, atât DNSC, cât și Rompetrol au confirmat existența unui ‘atac cibernetic complex”, iar Orange România a precizat că Telekom România Communications (care și-a schimbat numele recent în Orange România Communications) nu este asociată cu acest atac, deoarece nu oferă către Rompetrol decât servicii de colocare.
Precizările Rompetrol:
„În cursul acestei nopți, Rompetrol s-a confruntat cu un atac cibernetic complex. Suntem în permanentă legătură cu Directoratul Național de Securitate Cibernetică (DNSC) și împreună depunem toate eforturile pentru rezolvarea situației.
Pentru protejarea datelor, compania a sistat temporar funcționarea site-urilor și a serviciului Fill&Go, atât pentru flote, cât și pentru persoanele fizice. Activitatea benzinăriilor Rompetrol se desfășoară normal, clienții având la dispoziție opțiunea plății în numerar sau prin card bancar.
Menționăm că activitatea operațională a rafinăriei Petromidia nu este afectată.
Ne cerem scuze pentru inconveniențe.”
Ulterior, CNAIR a anunțat că emiterea rovinietelor și a peajelor în rețeaua benzinăriilor Rompetrol nu era disponibilă luni după amiază, din cauza unor probleme tehnice la sistemul informatic al distribuitorului SC ROMPETROL DOWNSTREAM SRL.