Atacul care a blocat Cadastrul putea fi prevenit. Hackerii au exploatat vulnerabilități care fuseseră semnalate autorităților

Atacul care a blocat Cadastrul putea fi prevenit. Hackerii au exploatat vulnerabilități care fuseseră semnalate autorităților
Sprijină jurnalismul independent
Donează acum
Adaugă spotmedia ca sursă preferată în Google

Atacul cibernetic care a blocat sistemele Agenției Naționale de Cadastru și Publicitate Imobiliară nu a fost unul foarte complex și putea fi prevenit, afirmă directorul Directoratului Național de Securitate Cibernetică (DNSC), Dan Cîmpean.

Atacatorii au profitat de o combinație între vulnerabilități informatice cunoscute, dar nereparate, și date de autentificare pierdute și publicate pe Internet.

„Nu a fost un atac foarte complex. Au fost exploatate vulnerabilități cunoscute, vulnerabilități pe care noi le-am notificat chiar recent. A fost o combinație de vulnerabilități nereparate, plus credențiale pierdute și apoi postate pe net. Da, putea fi prevenit. Atacatorul a fost norocos, i s-au aliniat planetele”, a declarat Dan Cîmpean pentru G4Media.

ADVERTISING

Astfel, atacatorul a găsit mai multe puncte slabe deja existente și le-a folosit împreună: breșe software care nu fuseseră remediate și nume de utilizator, parole sau alte date de acces care ajunseseră în spațiul public.

Cîmpean mai spune că DNSC notificase recent existența vulnerabilităților exploatate. El nu a dat detalii despre când a fost transmisă notificarea exact, cui i-a fost adresată, ce termen de remediere a fost recomandat și de ce vulnerabilitățile au rămas active până la producerea atacului.

Hackerul spune că vulnerabilitatea era cunoscută din 2021

Afirmațiile DNSC vin după ce persoana care susține că a atacat sistemele ANCPI a declarat pentru Euronews România că ar fi folosit o vulnerabilitate cunoscută încă din anul 2021.

ADVERTISING

Hackerul nu a detaliat, dar declarația DNSC confirmă că în atac au fost într-adevăr folosite vulnerabilități cunoscute, care nu fuseseră remediate.

Atacatorul, cunoscut online sub numele ByteToBreach, și-a cerut scuze pentru blocarea serviciilor ANCPI și a recunoscut că urmărește obținerea unor bani.

„Îmi pare rău pentru problemele pe care le-am cauzat”, a transmis el.

Întrebat ce va face cu datele pe care pretinde că le-a extras, hackerul a negat că ar fi cerut o răscumpărare de 10 milioane de euro, adăugând: „Nu vând aceste date chiar oricui”.

DNSC: Nu este un actor statal

DNSC consideră, pe baza informațiilor disponibile până acum, că atacatorii sunt motivați financiar și nu acționează în numele unui stat.

„Am etichetat ca grupare atacatorul. E activ de la jumătatea anului trecut. E un initial access broker, adică obținere de acces la sisteme slab protejate, dar nu în stilul grupărilor ransomware. După atac, gruparea își oferă ajutorul, contra unei recompense, pentru a descurca haosul creat de ea însăși”, a explicat Dan Cîmpean.

ADVERTISING

În plus, concluzia preliminară a DNSC este că atacul asupra ANCPI nu are legătură cu atacul cibernetic de la Ministerul Investițiilor și Proiectelor Europene și nici cu apariția unei pagini-clonă a platformei ghiseul.ro, incidente care au avut loc recent.

„Credem că sunt actori motivați exclusiv financiar. Suspectăm că e o grupare algeriană”, a declarat directorul DNSC.

Hackerul susține însă că acționează singur și că ByteToBreach nu este numele unei grupări.

Ce este un „initial access broker”

Un „initial access broker” este un infractor care caută instituții sau companii cu sisteme slab protejate, pătrunde în rețelele lor și încearcă apoi să transforme accesul obținut în bani.

El poate profita de o aplicație neactualizată, de o vulnerabilitate pentru care exista deja o soluție tehnică, de o parolă furată sau de date de autentificare publicate pe Internet.

După ce intră în sistem, are mai multe variante: poate extrage date și amenința că le publică, poate vinde accesul altor grupări infracționale, poate transmite altor atacatori informațiile necesare pentru a lansa un atac ransomware sau poate contacta chiar instituția atacată și se poate oferi să „rezolve” problema, în schimbul banilor.

Diferența față de un atac ransomware clasic este că atacatorul nu trebuie neapărat să cripteze toate fișierele și să afișeze imediat o cerere explicită de răscumpărare.

Miza sa principală este accesul. Odată obținut, accesul poate fi vândut, folosit pentru furtul datelor sau exploatat pentru a constrânge victima să plătească.

În cazul ANCPI, DNSC afirmă că gruparea ar încerca să profite financiar chiar din haosul pe care l-a produs, oferindu-și ulterior „ajutorul” contra unei recompense.

Nu au fost detectate până acum date personale furate

Dan Cîmpean a mai spus că specialiștii nu au detectat până acum furtul unor date personale ale cetățenilor sau al certificatelor de carte funciară.

DNSC știe că atacatorii au publicat mostre de credențiale ale unor utilizatori și fragmente din codul aplicațiilor folosite de ANCPI. Există și certitudinea că au fost extrase anumite categorii de date, dar, potrivit evaluării de până acum, nu într-un volum foarte mare.

Atacul a scos din funcțiune aplicația e-Terra, serviciile de e-mail și alte sisteme informatice ale ANCPI.

Au fost afectate eliberarea extraselor de carte funciară, intabulările, înscrierea ipotecilor și celelalte operațiuni care depind de sistemele cadastrale.

Practic, chiar dacă datele cetățenilor nu au fost furate, potrivit informațiilor disponibile până acum, blocarea infrastructurii produce pierderi și întârzieri în întreaga economie.

Oamenii nu pot finaliza vânzări sau cumpărări de locuințe, băncile nu pot înscrie ipoteci, notarii nu pot obține toate documentele necesare, iar companiile nu pot încheia operațiuni care depind de situația juridică a proprietăților.

Adaugă spotmedia ca sursă preferată în Google