Raport Privind incidentele de securitate ciberneticĂ ... · Malware DoS Improper Authentication SQL Injection Anomaly Permission/Priviledge/Access Control Buffer Errors Code Injection

Serviciul Tehnologia Informației

si Securitate Cibernetică

Chisinau 2019

RAPORT PRIVIND

INCIDENTELE DE SECURITATE

CIBERNETICĂ ÎNREGISTRATE

ÎN PERIOADA ALEGERILOR

PARLAMENTARE 2019

RAPORT PRIVIND INCIDENTELE DE SECURITATE CIBERNETICĂ ÎNREGISTRATE

ÎN PERIOADA ALEGERILOR PARLAMENTARE 2019

Serviciul Tehnologia Informației si Securitate Cibernetică 1 | P a g e

Cuprins:

Introducere .............................................................................................................................. 2

Obiectivul Raportului.............................................................................................................. 3

Care au fost amenințările și incidentele de securitate cibernetică înregistrate în perioada

alegerilor parlamentare 2019? ................................................................................................. 3

Care au fost obiectivele și scopul amenințărilor și incidentelor de securitate cibernetică

înregistrate? Au fost aceste obiective și scopuri atinse? Care ar fi fost impactul atingerii

obiectivelor/scopurilor urmărite? ............................................................................................ 3

Incidente și amenințări de securitate cibernetică înregistrate .............................................. 4

Analiza incidentelor și amenințărilor de securitate cibernetică înregistrate și măsuri de

reacție 7

Analiza incidentelor și amenințărilor de securitate cibernetică înregistrate ... Error! Bookmark

not defined.

Măsuri de reacție ....................................................................................................................... 11

Concluzii ............................................................................................................................... 12


alegerilor parlamentare 2019? ............................................................................................... 12

Care au obiectivele și scopul amenințărilor și incidentelor de securitate cibernetică

înregistrate? Au fost aceste obiective și scopuri atinse? Care ar fi fost impactul acestor

atingerii obiectivelor/scopurilor urmărite. ............................................................................ 12

Anexa nr. 1 – Glosar .......................................................................................................... 14




Introducere

Prezentul Raport reprezintă o analiză asupra situației înregistrate din punct de vedere

a evenimentelor de securitate cibernetică în perioada alegerilor parlamentare din 24

februarie 2019, și se referă la date înregistrate exclusiv de către Serviciul Tehnologia

Informației și Securitate Cibernetică.

Raportul reprezintă o descriere narativă și grafică a principalelor tentative de atacuri

cibernetice identificate, înregistrate și mitigate de către Serviciul Tehnologia

Informației și Securitate Cibernetică în perioada alegerilor parlamentare, inițiate atît

din interiorul țării cît și din exteriorul acesteia.

Date de referință pentru acest raport sunt datele înregistrate în infrastructura de

tehnologia informației, gestionată de către Serviciul Tehnologia Informației și

Securitate Cibernetică și cuprind principalele categorii de incidente ce au afectat

spațiul cibernetic din această perioada.

Analiza prezentată în raport a fost efectuată de către specialiștii din cadrul Serviciul

Tehnologia Informației și Securitate Cibernetică, care au fost antrenați activ în

procesul de asigurare a securității informaționale a procesului de desfășurare a

alegerilor parlamentare, inclusiv prin crearea și întreținerea a peste 4200 de canale

securizate dintre secțiile de votare de pe teritoriul Republicii Moldova, și a 300 de

canale securizate pentru secțiile de votare din afara țării. De asemenea, Serviciul a

asigurat găzduirea paginilor oficiale ale Comisiei Electorale Centrale, care

reprezenta, sursa oficială a informațiilor despre mersul alegerilor și rezultate

preliminare. Atingerea scopurilor urmărite de către cei care au stat „în umbra”

atacurilor cibernetice, ar fi avut mai multe consecințe nefaste, inclusiv manipularea

opiniei publice, denigrarea imaginii entităților publice antrenate în desfășurarea

alegerilor, prin demonstrarea incapacității acestora de a asigura buna desfășurare a

alegerilor și de a reacționa prompt în situații de criză, fapt care în final ar fi putut fi

cauza unei instabilități social-politice.




Obiectivul Raportului

Obiectivul prezentului raport este analiza incidentelor de securitate cibernetică

identificate, înregistrate și mitigate de către Serviciul Tehnologia Informației și

Securitate Cibernetică în perioada alegerilor parlamentare 2019, în vederea

asigurării bunei desfășurări a alegerilor parlamentare, inclusiv analiza acestora prin

prisma următoarelor întrebări:

Care au fost amenințările și incidentele de securitate cibernetică înregistrate

în perioada alegerilor parlamentare 2019?

Care au fost obiectivele și scopul amenințărilor și incidentelor de securitate

cibernetică înregistrate? Au fost aceste obiective și scopuri atinse? Care ar fi

fost impactul atingerii obiectivelor/scopurilor urmărite?

Raportul reflectă analiza incidentelor de securitate cibernetică înregistrate în

perioada de referință, în vederea obținerii unei viziuni de ansamblu asupra naturii și

dinamicii acestor tipuri de evenimente/incidente, relevante pentru evaluarea

riscurilor de securitate cibernetică la adresa infrastructurilor de tehnologia

informației şi de comunicații electronice de importanță statală, de pe teritoriul

Republicii Moldova.

Analiza s-a efectuat inclusiv prin prisma fenomenelor de amenințări hibride, care tot

mai des sunt înregistrate în spațiul european, și anume sub aspectul prevenirii,

depistării şi contracarării acestora la adresa securității în spațiul informațional.

Date de referință pentru acest raport sunt datele înregistrate în infrastructura de

tehnologia informației, gestionată de către Serviciul Tehnologia Informației și

Securitate Cibernetică și cuprind principalele categorii de incidente ce au afectat

spațiul cibernetic din perioada electorală. Prezentul raport nu se referă la datele și

incidentele înregistrate de către alți operatori ce dețin infrastructuri de tehnologia

informației, operatori de infrastructură, sau orice alte date necomunicate Serviciului.




Incidente și amenințări de securitate cibernetică înregistrate

În perioada alegerilor parlamentare, au fost înregistrate mai multe tentative de

atacuri cibernetice asupra infrastructurii Comisiei Electorale Centrale, precum și a

altor infrastructuri guvernamentale.

Acestea s-au caracterizat prin diversitatea metodelor și a tehnologilor de atac, avînd

un caracter ușor adaptiv la măsurile de reacție întreprinse de către specialiștii

Serviciului.

Astfel, în perioada 01.02.2019 – 28.02.2019 au fost înregistrate și blocate numeroase

activități malițioase (activități cu tentative de a obține acces neautorizat la

infrastructura de tehnologia informației și comunicații electronice), inclusiv si

tentative de indisponibilizare a infrastructurii de tehnologia informației și

comunicații electronice a Comisiei Electorale Centrale, caracterizându-se prin

următoarele tipuri de atacuri cibernetice:

HTTP Session Flood

HTTP/HTTPS Flood

TCP Flood

UDP Flood

TCP SYN Flood

O intensificare deosebită a atacurilor înregistrate se observă în ziua de 14 februarie,

cînd au fost identificate, înregistrate și mitigate atacuri masive, cu o capacitate de

peste 10 Gbps, asupra paginii oficiale a Comisiei Electorale Centrale, cu o durata de

mai bine de 4 ore.

Fig. 1 Dinamica atacului DDoS înregistrat pe data de 14 Februarie 2019




Pe parcursul zilei de 24 februarie au fost înregistrate tentative de atacuri asupra

securității sistemelor informaționale și a paginii oficiale a Comisiei Electorale

Centrale, acestea fiind însă cu succes identificate și blocate. Remarcăm faptul că

imediat după închiderea secțiilor de votare (la ora 21:00) a fost înregistrată o

intensificare bruscă a tentativelor de atac, prin metode de indisponibilizare a surselor

oficiale de informare a cetățenilor despre rezultatele preliminare ale alegerilor

parlamentare. Atacurile înregistrate au continuat pînă la data de 25 februarie, ora

2:50, fiind înregistrată o creștere considerabilă a intensității acestora, și un

comportament adaptiv față de măsurile de reacție întreprinse.

Fig. 2 Dinamica atacului DDoS înregistrat pe data de 24-25 Februarie 2019

Suplimentar, evidențiem atacul de tip HTTP Session Flood, care a început pe data

de 24.02.2019 la ora ~ 21:00 și a durat până la sfârșitul zilei. Atacatorii au utilizat

ca metodă de atac, generarea unui număr deosibit de mare de sesiuni HTTP spre

infrastructura de tehnologia informației și comunicații a Comisiei Electorale

Centrale. Valorile maxime ale acestor activități au înregistrat un vârf de peste 1 450

000 sesiuni simultan active, parvenite de la mai mult de 160 000 utilizatori activi.




Fig. 3 Dinamica sesiunilor înregistrate pe parcursul zilei de 24.02.2019

Fig. 4 Dinamica numărului de utilizatori activi înregistrate pe parcursul zilei de 24.02.2019




Analiza incidentelor și amenințărilor de securitate cibernetică

înregistrate și măsuri de reacție

Din analiza datelor deținute de Serviciul Tehnologia Informației și Securitate

Cibernetică, rezultă faptul că amenințările de natură informatică asupra spațiului

cibernetic s-au diversificat, fiind relevate tendințe evolutive, atât din perspectivă

cantitativă, cât şi din punct de vedere al complexității tehnice evidențiate.

Majoritatea incidentelor analizate de către Serviciu, în perioada de referință, aveau

drept destinație infrastructura de tehnologia informației a Comisiei Electorale

Centrale, protejată de către Serviciul Tehnologia Informației și Securitate

Cibernetică. Pe întreaga perioada de referință, specialiștii Serviciului au identificat

și înregistrat diverse tipuri de atacuri, ușor adaptabile măsurilor de reacție

întreprinse, fapt care crea impedimente în estimarea și aplicarea următoarelor măsuri

de reacție.

Urmare a analizei minuțioase efectuate, s-au observat tentative de spargere a

infrastructurii de tehnologia informației prin diverse metode, cum ar fi: Brute Force,

Injection, Cross-site scripting (XSS), alte vulnerabilități ale aplicației, mascate de

fapt prin atacul cibernetic de tip distributed denial-of-service (DDoS). Scopul

metodei de mascare a tipului de atac cibernetic consta în sustragerea atenției de la

atacurile țintă, care puteau cauza prejudicii reale, considerabile, inclusiv cu caracter

manipulator.

Astfel, prin atacurile de tip DDoS atacatorii vizau afectarea disponibilității

infrastructurii Comisiei Electorale Centrale, și a altor componente implicate în

asigurarea infrastructurii alegerilor parlamentare, și urmăreau scopul inundării

acesteia cu cereri la nivel de rețea, astfel încât să se ajungă la supraîncărcarea

infrastructurii, inclusiv a canalelor de comunicații, care nu vor mai putea răspunde

la cererile legitime.

Persoanele din „umbra” atacatorilor foloseau rețele de tip DarkNetwork, în scop de

mascare a identității acestora și astfel îngreunării la maxim a procesului de

investigație. În calitate de mijloace de realizare al atacurilor erau folosite victimele

infectate cu BotNet, care erau gestionate din centre de comandă, neidentificate pînă

în prezent.

În fig. 5, se pot urmări diversitățile de atacuri identificate, înregistrate și blocate în

perioada 01.02.2019 – 28.02.2019:




Fig 5. Tipuri de atacuri cibernetice identificate,

înregistrate și blocate în perioada 01.02.2019 – 28.02.2019

În fig. 6, vedem diversitățile de atacuri și amenințări cibernetice identificate și

înregistrate asupra infrastructurii guvernamentale, în perioada anului 2018, spre

exemplu, luna octombrie:

Fig. 6 Tipuri de atacuri cibernetice identificate, înregistrate și blocate

În perioada lunii octombrie, anul 2018

Analizînd informațiile prezentate în aceste 2 figuri, observăm creșterea considerabilă

a atacurilor și a amenințărilor cibernetice înregistrate în perioada electorală,

6,802,867

6,796,710

3,942,415

351,981

240,112

157,575

38,266

32,569

27,850

17,455

Information Disclosure

Malware

DoS

Improper Authentication

SQL Injection

Anomaly

Permission/Priviledge/Access Control

Buffer Errors

Code Injection

OS Command Injection




comparativ cu perioada prezentată a anului 2018. Astfel, constatăm că scopul

atacatorilor a fost anume perioada alegerilor parlamentare.

În cele ce urmează, în fig. nr. 7, prezentăm diversitățile de atacuri Botnet identificate,

înregistrate și blocate în perioada 01.02.2019 – 28.02.2019:

Fig. 7 Total atacuri de tip Botnet identificate, înregistrate și blocate

în perioada 01.02.2019 – 28.02.2019

Comparând aceste date cu datele înregistrate în perioada lunii octombrie a anului

2018, spre exemplu, când a fost înregistrată următoarea statistică (fig.8), constatăm

intensificarea majoră a tentativelor de atacuri și amenințări asupra spațiului

cibernetic, din nou în perioada alegerilor parlamentare 2019.

Fig. 8 Total atacuri de tip Botnet identificate, înregistrate și blocate

pe perioada lunii octombrie, anul 2018

779,501

105,464

57,840

25,374

15,682

14,094

9,286

6,999

2,716

2,171

Gozi.Botnet

Sora.Botnet

Andromeda.Botnet

Bladabindi.Botnet

Zeroaccess.Botnet

Conficker.Botnet

Sality.Botnet

Mariposa.Botnet

Ramnit.Botnet

Jeefo.Botnet

40,759

25,518

24,828

21,951

18,181

11,690

11,481

9,443

7,340

6,472

Conficker.Botnet

NionSpy.Botnet

Sality.Botnet

Zeroaccess.Botnet

Mirai.Botnet

Mariposa.Botnet

Smominru.Botnet

njRAT.Botnet

Bladabindi.Botnet

Adylkuzz.Botnet




Analizând, informațiile cu privire la accesările resurselor web ale Comisiei

Electorale Centrale, se observa o distribuție geografică anormală în comparație cu

perioada de până la începutul atacurilor.

Fig. 9 Rata accesărilor după primele 15 țări până la începutul atacurilor de 24-25 Februarie 2019

(excepție Republica Moldova)

Fig. 10 Rata accesărilor după primele 15 tari in perioada atacurilor de 24-25 Februarie 2019

(excepție Republica Moldova)

Astfel, din fig. 10 se observă faptul intensificării considerabile a numărului de

accesări din țari precum Statele Unite ale Americii și Federația Rusa, totodată se

140938

126907

8903287467

72750

62148

5939120708

1289312581

121879152

8946 83046606ROU

FRA

ITA

GBR

RUS

DEU

USA

IRL

CAN

ESP

227695

114883

8203779020

63209

52021

52012

42310

39015

35101

3431931924

2996227594

USA

RUS

BRA

UKR

IDN

CHN

THA

GBR

IND

COL

BGR




observă faptul că în topul a 15 țari apar țari precum Brazilia, Indonezia, China,

Thailanda, India, Columbia, etc.

Măsuri de reacție

Incidentele și amenințările de securitate cibernetică identificate și înregistrate de

către Serviciul Tehnologia Informației și Securitate Cibernetică, în perioada

alegerilor parlamentare, au fost cu succes mitigate prin măsuri speciale de prevenție

și reacție.

Specialiștii Serviciului, ca urmare a analizei desfășurate în procesul de atac, au

intervenit prin ajustarea parametrilor de mitigare, conform tipului de atac și

specificului acestuia, ținând cont de caracterul adaptiv al acestora.

Alte detalii suplimentare ce țin de măsurile de reacție întreprinse de către Serviciul

Tehnologia Informației și Securitate Cibernetică nu pot fi comunicate în cadrul

acestui raport, întrucât acestea ar putea periclita activitatea de mai departe a

Serviciului în lupta acestuia împotriva amenințărilor de securitate cibernetică, o

parte a acestora fiind protejate în conformitate cu legislația privind asigurarea

secretului de stat.




Concluzii

Obiectivul urmărit prin prezentul raport a fost atins prin desfășurarea unei ample

analize asupra amenințărilor și incidentelor de securitate cibernetică identificate și

înregistrate în perioada alegerilor parlamentare din 2019, inclusiv prin prisma

întrebărilor stabilite.


alegerilor parlamentare 2019?

Perioada alegerilor parlamentare 2019 a Republicii Moldova, s-a caracterizat printr-

o amplă diversitate de amenințări și atacuri cibernetice înregistrate asupra spațiului

cibernetic, care utilizau metode și tehnologii de atac noi, cu caracter ușor adaptiv la

măsurile de reacție întreprinse de către specialiștii Serviciului.

Astfel, în perioada 01.02.2019 – 28.02.2019 au fost înregistrate și blocate

următoarele tipuri de atacuri cibernetice:

▪ HTTP Session Flood

▪ HTTP/HTTPS Flood

▪ TCP Flood

▪ UDP Flood

▪ TCP SYN Flood

Care au fost obiectivele și scopul amenințărilor și incidentelor de securitate cibernetică

înregistrate? Au fost aceste obiective și scopuri atinse? Care ar fi fost impactul atingerii

obiectivelor/scopurilor urmărite?

Obiectivele și scopul amenințărilor și incidentelor de securitate cibernetică

înregistrate în perioada alegerilor parlamentare:

- Obținerea accesului neautorizat la infrastructura Comisiei Electorale

Centrale, și a altor componente implicate în asigurarea infrastructurii

alegerilor parlamentare, în vederea:

o sustragerii informațiilor confidențiale;

o modificării conținutului electronic la care au obținut acces;

o inserării/expedierii/publicării anumitor date false.

- Indisponibilizarea infrastructurii Comisiei Electorale Centrale, și a altor

componente implicate în asigurarea infrastructurii alegerilor parlamentare, în

scopul:




o limitării accesului societății la informația cu privire la mersul și

rezultatele preliminare ale alegerilor parlamentare;

o creării nemulțumirii societății cu privire la indisponibilitatea

informației publice;

o declanșării unui proces de instabilitate social-politică în țară;

o demonstrării incapacității entităților publice implicate în asigurarea

bunei funcționări a alegerilor, de a reacționa prompt la amenințările

asupra spațiului cibernetic.

- Paralizarea procesului de desfășurare a alegerilor parlamentare 2019, prin

prisma compromiterii funcționării sistemului informațional automatizat

„Alegeri”, în scopul:

o perturbării schimbului securizat de date;

o neînregistrarea în format electronic a cetățenilor care își exercită

dreptul la vot;

o crearea condițiilor de admitere a votului multiplu al unuia și același

cetățean;

o admiterii posibilității de fraudare a rezultatelor preliminare ale

alegerilor.

Aceste obiective și scopuri malițioase nu au fost realizate întrucât specialiștii

Serviciului Tehnologia Informației și Securitate Cibernetică au reacționat prompt

la toate amenințările și incidentele asupra spațiului cibernetic și au reușit să

identifice și să blocheze/mitigheze în timp atacurile cibernetice, prin aplicarea

măsurilor speciale de prevenție și reacție, fiind astfel asigurată funcționarea sistemului

informatic fără devieri, prezentând rezultatele alegerilor parlamentare din 24 februarie curent sub

o formă transparentă și protejată.




Anexa nr. 1 – Glosar

Alertă de

securitate

cibernetică

Orice semnalare a unui incident sau eveniment de securitate

cibernetică ce implică sau poate implica entități de pe teritoriul

Republicii Moldova.

Amenințare

cibernetică

Set de condiții, forțe și factori care pun în pericol interesele

naționale în domeniul securității cibernetice;

Amenințare

hibridă

Operațiune subversivă și/sau de informație, condusă ori plasată sub

comanda unor state, entități non statale, organizații, indivizi, care

vizează, în mod special, slăbiciunile și vulnerabilitățile unei

guvernări suverane, independente și integre;

Botnet Rețea de sisteme informatice infectate controlate de alte

persoane/organizații decât deținătorii acestora.

Botnet C&C

Server

Sisteme informatice utilizate pentru controlul victimelor (drone,

zombie) din cadrul unei rețele de tip botnet

Brute Force Metodă automată de spargere a parolelor, folosită în scopul aflării

credențialelor legitime ale utilizatorilor unui sistem informatic.

Practic, prin intermediul unor mecanisme automate, se generează

și se testează un număr foarte mare de combinații de parole, până

la aflarea credențialelor reale.

DDoS Afectarea disponibilității unor sisteme/servicii informatice sau de

comunicații electronice. Sistemul țintă este atacat prin trimiterea

unui număr foarte mare de solicitări nelegitime, ce consumă

resursele hardware sau software ale acestuia, făcându-l

indisponibil pentru utilizatorii legitimi.

Disclosure of

Confidential Data

Publicarea ilegală de date confidențiale. Compromiterea datelor

prin încălcarea principiului confidențialității lor .

Eveniment de

securitate

cibernetică

Orice fapt sau situație relevantă din punct de vedere al securității

cibernetice, ce poate produce o schimbare a stării de normalitate

în cadrul unui sistem informatic, poate indica o posibilă încălcare

a politicii de securitate sau o eroare a măsurilor de protecție și poate

fi pusă în evidență și documentată corespunzător;

Incident de

securitate

cibernetică

Eveniment survenit în spațiul cibernetic ale cărui consecințe

afectează securitatea cibernetică sau orice acțiune, contrară

oricăror reglementări în vigoare, în legătură cu un sistem

informatic, a cărei consecință poate afecta sau a afectat

securitatea cibernetică a acestuia, sau a dus la compromiterea

informațiilor procesate de acesta.

Spațiu cibernetic Orice infrastructură de tehnologia informației și comunicații

electronice, care necesită a fi protejat prin prisma amenințărilor și

atacurilor cibernetice.




Documents

Raport Privind incidentele de securitate ciberneticĂ ... · Malware DoS Improper Authentication SQL Injection Anomaly Permission/Priviledge/Access Control Buffer Errors Code Injection