Software maliţios din reţeaua guvernamentală depistat şi izolat cu succes

Foto : kominform.ru

Serviciul de Informaţii şi Securitate (SIS), în comun cu Procuratura Generală şi Î.S. ”Centrul de telecomunicaţii speciale” (CTS) au identificat şi blocat activitatea unui virus, care viza sistemele informaţionale a cinci instituţii publice din RM.

Potrivit specialiştilor, informaţiile din calculatoarele infectate nu au fost compromise, întrucât virusul a fost depistat în faza incipientă, astfel fiind stopată orice tentativă a malware-ului de a-şi instala componentele în calculatoare, precum şi a rula comenzile de pe serverul atacatorilor.

Datorită unei analize aprofundate, efectuate de echipa comună, formată din colaboratorii SIS, Procuraturii şi experţii CTS, au fost identificate 6 servere de comandă şi control, toate localizate peste hotarele ţării. De asemenea, au fost stabilite probe care demonstrează că soft-ul maliţios utiliza tehnici de criptare extrem de avansate. Pentru a analiza comportamentul virusului, acesta a fost plasat într-un mediu izolat de reţea, care simulează staţia de lucru a victimei.

Infectarea cu acest tip de virus, de cele mai dese ori, are loc prin e-mailurile de tip phishing, care arată identic unor mesaje de corespondenţă oficială, astfel la accesarea ataşamentului fie .exe, .scr, .com, sau .bat, are loc prima fază de infectare a calculatorului. După ce soft-ul se instala pe calculator, acesta urma să se conecteze la serverul răufăcătorului pentru a descărca malware-ul propriu-zis. Virusul de tip troian urma să cripteze informaţia sensibilă de pe hard-discul utilizatorului. Astfel, software-ul maliţios bloca accesul la diferite tipuri de formate de fişiere (.dbf, .doc, .docx, .jpg, .avi, .mp4, .xls, .sql, etc.) prin criptarea acestora cu un algoritm hibrid, care combina în sine algoritmi asimetrici (RSA, curbe eliptice) cu algoritmi simetrici (AES, 3DES). Informaţia criptată rămânea pe calculatorul victimei, însă nu putea fi utilizată, pentru decriptare atacatorii cereau o recompensă care varia în dependenţă de numărul de fişiere criptate, precum şi de tipul extensiei acestora.

În prezent, întru identificarea surselor de infectare şi elucidarea tuturor circumstanţelor producerii incidentelor cibernetice în cauză, continuă investigarea acestora conform legislaţiei în vigoare de către SIS şi Procuratura Generală, cu suportul experţilor CTS.

Experţii CERT-GOV-MD din cadrul CTS atenţionează autorităţile şi instituţiile guvernamentale asupra riscurilor din mediul on-line şi în acest scop recomandă respectarea practicilor esenţiale de securitate informaţională, precum: implementarea sistemelor de tip Data Loss Prevention, actualizarea regulată a programului de anti-virus şi gestionarea centralizată a acestuia, aplicarea măsurilor anti-phishing, utilizarea doar a e-mailului guvernamental din cadrul Sistemului de telecomunicaţii al autorităţilor publice STAAP în corespondenţa de serviciu.