Știri
Știri din categoria Securitate cibernetică
Un grup de hackeri cu presupuse legături cu Iranul afirmă că a atacat site-ul ANAF, într-un incident cibernetic care ar fi fost declanșat de declarațiile recente ale președintelui României privind cooperarea militară cu Statele Unite, potrivit Profit.ro.
Gruparea care își spune „Echipa 313 – Rezistența Cibernetică Islamică” susține că a lansat un atac informatic asupra portalului Agenției Naționale de Administrare Fiscală (ANAF). Într-un mesaj atribuit hackerilor, aceștia afirmă că operațiunea ar fi durat aproximativ o oră și ar fi dus la întreruperea temporară a serviciilor platformei utilizate de milioane de contribuabili din România.
Atacul ar fi fost, potrivit aceleiași revendicări, o reacție la declarațiile făcute de președintele Nicușor Dan după ședința Consiliului Suprem de Apărare a Țării (CSAT). Atunci, șeful statului a anunțat că România a acceptat ca Statele Unite să trimită echipamente militare la baza aeriană Mihail Kogălniceanu pentru eventuale operațiuni în Orientul Mijlociu.
În ziua anterioară apariției revendicării, utilizatorii au semnalat că site-ul ANAF a funcționat foarte greu sau a devenit temporar inaccesibil. Portalul fiscal are de mai mulți ani dificultăți tehnice în perioadele aglomerate, însă de această dată întreruperile au fost mai ample decât de obicei.
Autoritățile române au fost contactate pentru clarificări, iar instituțiile responsabile au transmis că vor analiza situația și vor comunica oficial dacă incidentul a fost într-adevăr rezultatul unui atac cibernetic.
Declarațiile invocate de hackeri au venit după ce CSAT a aprobat solicitarea Statelor Unite de a disloca în România mai multe echipamente militare, inclusiv:
Acestea ar urma să fie amplasate la baza Mihail Kogălniceanu pentru misiuni ce ar putea avea legătură cu situația din Orientul Mijlociu. Președintele Nicușor Dan a subliniat că echipamentele sunt defensive și că parteneriatul este similar cooperării militare pe care o au și alte state NATO.
„Echipa 313” a mai fost asociată în trecut cu atacuri de tip DDoS asupra unor ținte din regiunea Golfului Persic, inclusiv instalații militare din Bahrain și Arabia Saudită. De asemenea, gruparea ar fi participat la campanii cibernetice care au vizat instituții și infrastructuri din Israel.
Deocamdată nu există o confirmare oficială că problemele tehnice ale site-ului ANAF au fost cauzate de un atac informatic sau dacă revendicarea grupului de hackeri este autentică.
În paralel cu aceste evoluții, România discută și extinderea infrastructurii militare. Printre proiectele analizate se află modernizarea poligonului de la Smîrdan, în județul Galați, unde ar putea fi creat un centru de instruire pentru echipajele de tancuri Abrams din mai multe țări europene.
Proiectul face parte din cooperarea militară dintre România și Statele Unite, în contextul consolidării securității pe flancul estic al NATO.
Recomandate
Modelele de inteligență artificială cu potențial ofensiv în securitate vor deveni rapid „bun comun”, iar reglementarea punctuală riscă să rămână în urmă , pe măsură ce competiția dintre companii și scăderea costurilor împing capabilitățile avansate către o disponibilitate mai largă, potrivit unei analize din Ars Technica . Mesajul central al experților citați este că discuția despre un singur model „periculos” ratează problema: trendul tehnologic face probabil ca astfel de capabilități să apară oricum, inclusiv prin modele mai mici, mai ieftine și, în unele cazuri, cu cod deschis. În acest context, întrebarea de politică publică devine dacă restricțiile țintite reduc efectiv riscul sau doar încetinesc actorii care încearcă să întărească apărarea. De ce „interdicțiile pe model” nu rezolvă problema Tarah Wheeler , chief security officer la firma de consultanță TPO Group, spune că este „miop” să se creadă că doar Anthropic va dezvolta capabilități similare cu Mythos sau că alți competitori nu le au deja și nu le țin „în rezervă”, în funcție de cum arată mediul de reglementare. În același sens, Anthropic a transmis, după lansarea Mythos Preview, că discuția nu ar trebui să fie despre companie sau despre un singur produs, ci despre pregătirea pentru o lume în care aceste capabilități vor fi larg disponibile într-un orizont de „6, 12, 24 de luni”, potrivit unei declarații a lui Logan Graham, liderul echipei de „frontier red team” (testare adversarială a modelelor pentru a identifica abuzuri și vulnerabilități) citată de WIRED. Presiunea competitivă: și alți jucători împing în aceeași direcție Analiza notează că OpenAI a făcut, la mijlocul lunii aprilie, o lansare privată a unui model orientat spre securitate cibernetică și a anunțat o strategie extinsă pe această zonă. (În material este indicat și un articol WIRED despre acest subiect: WIRED .) În paralel, cercetători atrag atenția că și modelele existente pot fi folosite pentru activități avansate de căutare a vulnerabilităților și dezvoltare de exploit-uri, dacă sunt „înhămate” (harness) și rafinate corespunzător. Miza pentru guverne: planuri mai largi, nu reacții la un singur produs Bruce Schneier (Harvard University și University of Toronto) argumentează că nu este vorba despre „un model”, ci despre direcția generală a tehnologiei: modele mai mici și mai ieftine, inclusiv cu cod deschis, pot ajunge să egaleze performanța Mythos/Fable prin tehnici mai sofisticate de interogare (prompting). El estimează că alte modele ar putea egala „creativitatea și tenacitatea” Mythos/Fable în câteva luni, iar cele cu cod deschis ceva mai târziu. Pe fond, experții citați susțin că administrația de la Washington și guvernele ar trebui să se concentreze pe planuri mai ample și mai transparente, dezvoltate democratic, pentru a gestiona avansul capabilităților AI în securitate cibernetică și alte domenii sensibile. Chris Wysopal, cofondator al companiei de securitate în cloud Veracode, formulează dilema de reglementare astfel: „Întrebarea de politică nu este dacă o tehnologie are risc. Întrebarea este dacă o restricție specifică reduce semnificativ acel risc sau dacă, în principal, încetinește oamenii care încearcă să facă sistemele mai sigure.” În același context, un grup mare de lideri din securitate cibernetică a transmis administrației SUA, printr-o scrisoare deschisă , că o directivă a Casei Albe privind controlul exporturilor ar fi greșit orientată (scrisoarea este menționată în material: freefable.org ). Notă: materialul precizează că povestea a apărut inițial la WIRED, inclusiv într-o versiune separată: WIRED . [...]
Nintendo refuză să plătească 2 milioane de dolari după un atac la un furnizor, iar presiunea se mută spre TinyPulse , într-un caz care arată cât de repede se poate transforma un incident „în afara” companiei într-un risc operațional și de reputație pentru brand, potrivit WinFuture . Atacul nu a vizat direct infrastructura Nintendo, ci furnizorul american TinyPulse, folosit de Nintendo of America pentru sondaje interne în rândul angajaților. Gruparea de hackeri ShadowByte susține că a obținut aproximativ 860 MB de date interne și a cerut inițial o răscumpărare de 2 milioane de dolari (aprox. 9,2 milioane lei). După refuzul Nintendo, atacatorii ar fi început să pună presiune pe TinyPulse, amenințând cu publicarea datelor. Ce date ar fi fost compromise și ce spune Nintendo despre impact Conform informațiilor prezentate, hackerii amenință că vor publica date sensibile care ar include extrase de cont, adrese de e-mail și mesaje interne ale angajaților. Nintendo afirmă însă că sistemele proprii nu au fost compromise și că nu sunt afectate datele clienților, informațiile de plată sau profilurile Switch. Compania mai susține că scurgerea se limitează la conținutul unor sondaje interne pentru un grup mic de angajați din SUA, iar o parte importantă a datelor ar proveni din ani anteriori și ar fi depășită. De ce contează: riscul de „lanț” prin terți, chiar fără breșă în sistemele companiei Incidentul readuce în prim-plan riscurile generate de externalizarea unor servicii IT (așa-numitele atacuri asupra lanțului de furnizori, când este lovit un partener, nu compania-țintă). Chiar dacă infrastructura principală rămâne intactă, o breșă la un furnizor poate produce: presiune reputațională (asocierea brandului cu un „leak”, indiferent de vină); riscuri pentru confidențialitatea internă (date HR, discuții, „stare de spirit” în organizație); costuri operaționale (investigații, auditarea furnizorilor, măsuri suplimentare de securitate). WinFuture notează și contextul sensibil: în industrie este așteptat un anunț legat de o nouă generație Switch, iar astfel de episoade pot afecta încrederea publicului. Ce ar trebui să facă utilizatorii Deși Nintendo spune că nu există un risc crescut pentru utilizatori și că achizițiile din eShop și conturile Nintendo sunt în siguranță, sunt recomandate măsuri de bază: activarea autentificării în doi pași (2FA); parole puternice și unice; atenție sporită la tentative de phishing și la linkuri care pretind că oferă „datele furate” la descărcare. În acest moment, detaliile tehnice despre vulnerabilitatea de la TinyPulse nu sunt publice, iar evaluarea completă a impactului depinde de ce date există efectiv în setul exfiltrat și dacă vor fi făcute publice. [...]
Un grup de hackeri asociați Chinei a exploatat o funcție legitimă din Google Workspace pentru a exfiltra date sensibile și a rămâne nedetectat peste un an , vizând organizații medicale, academice și de cercetare, inclusiv din zona de apărare, potrivit TechRadar . Miza pentru companii și instituții este una operațională: atacul nu s-a bazat doar pe „malware”, ci și pe abuzul unor reguli de conformitate din suita de productivitate, ceea ce complică detectarea și răspunsul. Google Threat Intelligence Group (GTIG) descrie activitatea actorului UNC6508 , asociat Republicii Populare Chineze (PRC), care ar fi exploatat servere REDCap (Research Electronic Data Capture) expuse la internet pentru a instala un malware personalizat, numit INFINITERED. Prin acesta, atacatorii au furat credențiale de autentificare, au accesat conținutul serverelor și au rămas neobservați mai mult de un an, după care s-au deplasat lateral în rețea și au scos date folosind o tehnică bazată pe manipularea regulilor de conformitate pentru conținut. Cum a fost folosit Google Workspace ca „canal” de exfiltrare Potrivit raportului Google, atacatorii au abuzat de „content compliance rules” – reguli de conformitate pentru conținut, o funcție legitimă întâlnită în multe suite cloud pentru companii. Folosind conturi de administrator, aceștia au creat reguli care identificau mesaje pe baza unor seturi predefinite de cuvinte, expresii sau tipare de text. În cazul descris, regula a fost denumită „Patroit” și a fost configurată să trimită automat copii ascunse (BCC) ale anumitor e-mailuri către conturi Gmail controlate de atacatori. Google spune că a dezactivat conturile Gmail asociate actorului și campaniei. Cine a fost vizat și de ce contează pentru organizații Google afirmă că „campania a vizat un set divers de entități medicale naționale, de stat și private”, incluzând furnizori clinici, centre academice, instituții de sănătate militară din America de Nord, grupuri profesionale și organisme de reglementare din sănătate. „Aceste organizații […] angajează mii de oameni, cu un buget cumulat de cercetare de ordinul miliardelor de dolari.” Din perspectivă operațională, cazul arată cum compromiterea credențialelor și accesul la conturi cu privilegii (administrator) pot transforma instrumente standard de productivitate în mecanisme de scurgere de date greu de observat, mai ales când sunt folosite funcții legitime, nu doar atașamente malițioase sau linkuri evidente. Ce recomandă Google administratorilor În material, cercetătorii Google indică o listă de măsuri pentru reducerea riscului în fața UNC6508 și a unor actori similari, între care: impunerea autentificării cu doi factori rezistente la phishing (MFA – autentificare multifactor); înscrierea conturilor foarte sensibile în Advanced Protection Program; aplicarea „Device Bound Session Credentials” cu CAA pentru conturile foarte sensibile, cu scopul de a reduce riscul de furt de cookie-uri (date de sesiune folosite la autentificare). Pentru organizațiile care folosesc Google Workspace, mesajul practic este că protecția nu ține doar de filtrarea „malware”, ci și de controlul strict al conturilor de administrator și de monitorizarea/guvernanța regulilor de conformitate care pot redirecționa automat comunicații interne. [...]
Un grup de spionaj cibernetic a controlat autentificarea și a rămas nedetectat 10 ani , ceea ce arată cât de greu devine de curățat un incident atunci când atacatorii modifică componente critice de sistem, nu doar „intră” printr-o breșă punctuală, potrivit BleepingComputer . Campania, denumită „Operation Highland” de cercetătorii Sygnia , este atribuită grupului de spionaj „ Velvet Ant ” și ar fi început în 2016. Atacatorii au vizat inițial sisteme expuse la internet, apoi au pivotat către un mediu „air-gapped” (izolat, fără conexiune directă la internet), ajungând inclusiv într-o rețea de infrastructură critică a unei organizații mari. De ce contează: când autentificarea e compromisă, remedierea devine un risc operațional Elementul central al operațiunii a fost preluarea controlului asupra „stivei” de autentificare (componentele care verifică identitatea utilizatorilor). Odată ce atacatorii au înlocuit biblioteci și programe esențiale, eliminarea lor a devenit dificilă fără riscul de a bloca administratorii legitimi sau de a provoca întreruperi. Sygnia descrie că, după ce au ajuns în mediul izolat, atacatorii au urmărit persistență pe termen lung și furt de credențiale, inclusiv prin modificarea PAM (Pluggable Authentication Modules – biblioteci folosite în Linux pentru autentificare) și a componentelor OpenSSH. Cum au ajuns în rețeaua izolată Lanțul de atac descris pornește de la compromiterea unor servere expuse la internet (fără a fi precizat produsul sau vulnerabilitatea folosită). Ulterior, atacatorii au construit treptat capacitatea de a se mișca în interior: au instalat un „reverse shell” (acces de la distanță) bazat pe o versiune modificată de GS-Netcat, mascat ca o componentă legitimă, cu conectare la un domeniu de relay „hardcodat”; au obținut persistență printr-un serviciu systemd malițios sau prin modificarea scripturilor de pornire; au instalat un proxy SOCKS5 personalizat pentru tunelarea traficului, transformând serverele compromise în puncte de pivotare către sisteme interne. Cea mai neobișnuită etapă, potrivit cercetătorilor, a fost construirea unei căi de execuție la distanță către rețeaua izolată, fără o conexiune directă către aceasta. Atacatorii ar fi modificat configurații Nginx pe servere compromise astfel încât cereri HTTP „special construite” să fie redirecționate către un proces FastCGI (fcgiwrap), care lansa un binar personalizat („uptime”). Acesta iniția conexiuni SSH către sisteme din rețeaua izolată, pe baza parametrilor primiți prin cereri HTTP POST. „Prin înlănțuirea acestor modificări, Velvet Ant a stabilit o cale de execuție la distanță în mediul segregat prin cereri HTTP simple, fără să fie necesară vreodată o conexiune directă către rețeaua de infrastructură critică.” – Sygnia Compromiterea autentificării: PAM și OpenSSH, înlocuite cu versiuni troianizate După stabilirea accesului, atacatorii ar fi trecut la controlul autentificării: au înlocuit modulul legitim „pam_unix.so” cu versiuni „backdoor-ate” care acceptau parole hardcodate și colectau credențiale; Sygnia a identificat nouă variante distincte ale modulului PAM malițios, compilate în medii diferite, ceea ce sugerează resurse semnificative; au înlocuit componente OpenSSH (ssh, sshd, scp) cu versiuni troianizate care capturau credențiale, înregistrau comenzi din sesiunile SSH și stocau local datele pentru recuperare ulterioară. Consecința, conform analizei, a fost vizibilitate completă asupra activității administrative și o persistență care nu mai depindea de „punctul de intrare” inițial, ci era „înglobată” în procesul de autentificare. Curățarea incidentului, complicată de riscul de blocare și întreruperi Sygnia afirmă că remedierea a fost deosebit de dificilă deoarece atacatorii au înlocuit atât de multe componente critice, încât eliminarea lor putea: să rupă autentificarea, să blocheze administratorii legitimi, să provoace întreruperi operaționale. Pentru a reduce riscurile, echipa a construit un laborator de testare pentru a valida procesul de înlocuire a binarelor, a profilat fiecare host, a testat rezultatele și a pregătit proceduri de revenire (rollback) înainte de intervenția efectivă. În recomandările sale, Sygnia indică tratarea componentelor de autentificare (PAM, OpenSSH și, în mediile Windows, LSASS) ca active critice de securitate, cu măsuri precum EDR (detecție și răspuns la nivel de endpoint), monitorizare a integrității fișierelor, control întărit al accesului privilegiat, autentificare multifactor și monitorizare continuă a modificărilor neautorizate. De asemenea, compania recomandă planificarea recuperării offline, inclusiv copii de siguranță cu „snapshot-uri” și copii imuabile, plus testarea restaurării. [...]
MAI avertizează că infractorii cibernetici folosesc campanii false de „prevenire a fraudelor” ca să obțină date de card și să fure bani , potrivit Digi24 . Miza pentru utilizatori este una direct financiară: mesajele sunt construite ca să împingă rapid victima spre o „plată” online, care în realitate duce la compromiterea datelor bancare. În mesajul publicat de Ministerul Afacerilor Interne pe Facebook, instituția arată că atacatorii se prezintă sub identitatea unor instituții ale statului și afișează utilizatorilor un mesaj fals conform căruia telefonul sau calculatorul a fost blocat. Pentru „deblocare”, victima este îndemnată să achite 2.480 de lei. Polițiștii avertizează că scopul real nu este deblocarea dispozitivului, ci furtul datelor cardului bancar. În acest context, recomandarea este să nu fie introduse datele cardului și să nu fie făcută nicio plată, deoarece nicio instituție a statului nu cere plata unei „amenzi” printr-o pagină de internet. Ce ar trebui să facă utilizatorii când văd mesajul MAI recomandă, potrivit News.ro , câteva măsuri imediate: să închidă imediat pagina și să nu interacționeze cu mesajul; să nu introducă datele cardului și să nu efectueze plăți; să distribuie avertizarea, pentru a reduce riscul ca alte persoane să devină victime. [...]
SUA alocă sute de milioane de dolari pentru securitatea Cupei Mondiale 2026 , mizând pe supraveghere asistată de inteligență artificială, detectarea dronelor și roboți de patrulare, într-un dispozitiv care implică sute de agenții și parteneri privați, potrivit Adevărul . Turneul, găzduit de Statele Unite, Canada și Mexic, reunește 48 de echipe și programează 104 meciuri în 16 orașe, cu așteptări de „milioane de spectatori”, ceea ce ridică miza operațională și de securitate. Andrew Giuliani, director executiv al grupului de lucru pentru securitatea Cupei Mondiale constituit de administrația președintelui Donald Trump, a spus că „America nu a mai avut niciodată o vară de această amploare” din perspectiva securității și a comparat efortul cu „78 de finale Super Bowl desfășurate în doar 39 de zile”. Bugete și coordonare: un efort federal cu execuție locală Pentru susținerea măsurilor de securitate, agenția federală americană pentru gestionarea situațiilor de urgență a alocat 625 de milioane de dolari (aprox. 2,9 miliarde lei) către 11 orașe-gazdă din SUA. Separat, alte 250 de milioane de dolari (aprox. 1,2 miliarde lei) au fost direcționate către programe de detectare și neutralizare a dronelor. În paralel, potrivit ESPN (citat de publicație), peste 400 de agenții de aplicare a legii colaborează cu guvernul federal și cu firme private de securitate pentru protejarea stadioanelor, bazelor de pregătire și hotelurilor. Tehnologia intră în dispozitiv: roboți, camere „inteligente” și traducere în timp real Printre tehnologiile menționate se află câinii roboți Spot, dezvoltați de Boston Dynamics (companie deținută de Hyundai Motor Group). Conform companiei, acești roboți vor fi utilizați pentru verificarea coletelor suspecte și a altor obiecte care pot reprezenta un risc. Articolul notează că și autoritățile mexicane intenționează să desfășoare astfel de sisteme în anumite locații asociate turneului. Pe zona de supraveghere și interacțiune cu publicul, o parte dintre patrulele de poliție vor avea camere capabile să traducă în timp real conversațiile cu suporterii străini. Autoritățile vor folosi și vehicule cu scanare cu raze X, alături de „mii de camere inteligente” și sisteme bazate pe inteligență artificială pentru analiza fluxurilor de persoane și identificarea unor posibile situații de risc. Dronele, risc prioritar, pe fondul preocupărilor mai largi de securitate Oficialii consideră dronele una dintre principalele amenințări: zborurile vor fi interzise deasupra stadioanelor și zonelor dedicate fanilor, iar spațiul aerian va fi monitorizat permanent. Mai multe companii au fost contractate pentru detectarea și interceptarea dronelor neautorizate; Fortem Technologies, de exemplu, spune că va utiliza drone interceptoare echipate cu plase, capabile să captureze alte aparate în zbor. Contextul de securitate rămâne sensibil și din cauza violenței armate din SUA: planurile au fost privite „cu și mai multă atenție” după ce nouă persoane au fost rănite într-un schimb de focuri în apropierea bazei de pregătire a naționalei Angliei din Kansas City. Anchetatorii nu au găsit indicii care să lege incidentul de Cupa Mondială, iar Associated Press este citată în legătură cu reluarea dezbaterii despre violența armată; publicația menționează și datele Gun Violence Archive, potrivit cărora în 2025 au fost raportate peste 400 de atacuri armate în masă în SUA. Cupa Mondială FIFA 2026 începe pe 11 iunie, cu meciul dintre Mexic și Africa de Sud, programat pe stadionul din Mexico City. În acest moment, potrivit lui Giuliani, autoritățile nu au identificat „amenințări credibile” la adresa competiției, însă succesul organizării va depinde și de capacitatea de a gestiona un dispozitiv de securitate de o complexitate rar întâlnită la un eveniment sportiv. [...]
