Știri
Știri din categoria Securitate cibernetică
Un avertisment comun al agențiilor de securitate din 10 țări indică o creștere a riscului operațional pentru companii, după ce actori cibernetici asociați Chinei ar fi început să transforme routere și dispozitive IoT (Internet of Things) în botneturi ascunse „strategic și la scară largă”, potrivit TechRadar. Miza: aceste rețele pot masca originea atacatorilor și pot susține atacuri DDoS, răspândire de malware și furt de date sensibile.
Documentul, intitulat „Defending against China-nexus covert networks of compromised devices”, este semnat de agenții din 10 state, inclusiv NSA, DOJ și NCSC, și avertizează că „oricine este o țintă” a actorilor cibernetici cu legături în China poate fi afectat de folosirea acestor rețele ascunse de dispozitive compromise.
Avertismentul pune accent pe faptul că botneturile nu sunt o noutate, însă utilizarea lor ar fi devenit mai organizată și mai amplă. În practică, asta înseamnă că echipamente aparent banale din rețea (routere SOHO – small office/home office – și dispozitive IoT) pot fi transformate în infrastructură pentru atacuri, fără ca organizația să realizeze imediat.
Conform descrierii din raport, actorii caută dispozitive conectate la internet vulnerabile sau slab protejate – de la routere pentru birouri mici și locuințe, până la televizoare inteligente, camere smart și DVR-uri – pe care le infectează cu malware pentru a obține control complet. Ulterior, aceste dispozitive pot fi folosite pentru:
Un botnet menționat în raport este „Raptor Train”, despre care se afirmă că a operat peste 200.000 de dispozitive la nivel global. TechRadar notează că, potrivit publicației The Register, FBI ar fi legat anterior acest botnet de un grup sponsorizat de statul chinez numit Flax Typhoon.
În același context sunt amintite mai multe grupuri „Typhoon” (Salt Typhoon, Brass Typhoon, Volt Typhoon), despre care se sugerează că ar folosi botneturi în activitățile lor. Ca exemplu, Volt Typhoon ar fi utilizat routere Cisco și Netgear neactualizate pentru a crea „KV Botnet”.
Pentru reducerea expunerii, agențiile recomandă măsuri de bază, dar aplicate consecvent:
Avertismentul sugerează că, în lipsa acestor măsuri, dispozitivele IoT și routerele rămân o zonă vulnerabilă care poate fi exploatată nu doar pentru atacuri punctuale, ci ca infrastructură reutilizabilă în campanii mai largi.
Recomandate
Accesul la spyware comercial s-a extins la circa 100 de state , ceea ce reduce pragul de intrare pentru supraveghere și crește riscul ca cetățeni și companii să fie ținte, potrivit TechCrunch , care citează evaluări ale serviciilor britanice de informații și un raport ce urmează să fie prezentat de Centrul Național de Securitate Cibernetică (NCSC) din Regatul Unit . NCSC intenționează să își facă publice concluziile miercuri, conform Politico (menționat de TechCrunch). Evaluarea indică faptul că accesul la această tehnologie de supraveghere a devenit mai ușor, ceea ce ar putea facilita atacuri cu spyware asupra cetățenilor britanici, companiilor și infrastructurii critice. Un element cheie este creșterea numărului de țări cu acces la astfel de instrumente: la 100, de la 80, cât estima Regatul Unit în 2023. De ce contează pentru companii: țintele nu mai sunt doar „suspecți de top” Spyware-ul comercial, dezvoltat de companii private (exemplele menționate sunt Pegasus al NSO Group și Graphite al Paragon), se bazează frecvent pe exploatarea unor vulnerabilități din software-ul telefoanelor și calculatoarelor pentru a pătrunde în dispozitive și a extrage date. Deși guvernele susțin că folosesc spyware doar împotriva unor suspecți importanți de criminalitate și terorism, cercetători în securitate și apărători ai drepturilor omului au avertizat de mult timp că aceste instrumente au fost folosite abuziv, inclusiv împotriva criticilor și adversarilor politici, precum jurnaliștii. Potrivit informațiilor citate, serviciile britanice spun acum că „tipologia victimelor” s-a extins în ultimii ani și include bancheri și oameni de afaceri bogați , un semnal de risc direct pentru mediul corporativ (expunere de date sensibile, șantaj, spionaj economic). Mesajul NCSC: atacurile semnificative vin mai ales de la state Richard Horne , șeful NCSC, a declarat într-un discurs la conferința CYBERUK din Glasgow că firmele britanice „nu reușesc să înțeleagă realitatea lumii de astăzi”, potrivit unei copii a discursului văzute de TechCrunch. În același context, Horne a spus că majoritatea atacurilor cibernetice „semnificative la nivel național” care vizează Regatul Unit au provenit de la state ostile , nu de la grupări de criminalitate cibernetică. Riscul operațional: instrumentele de hacking pot ajunge și la infractori Materialul notează că amenințarea nu vine doar de la guverne. Un exemplu invocat este scurgerea online, la începutul acestui an, a unui set de instrumente numit DarkSword, care ar conține mai multe exploatări capabile să compromită iPhone-uri și iPad-uri moderne. Acestea ar fi permis oricui să creeze site-uri care să atace utilizatori Apple care nu își actualizaseră sistemul de operare la cea mai recentă versiune. Concluzia implicită a acestui episod: chiar și instrumente dezvoltate „la comandă” pentru guverne pot scăpa de sub control și se pot răspândi, crescând suprafața de risc pentru un număr mare de utilizatori. [...]
O campanie de phishing pe Signal care ar fi vizat miniștri și oficiali germani ridică riscuri operaționale pentru securitatea comunicațiilor guvernamentale , într-un dosar în care procurorii federali investighează atacuri pe care Berlinul le leagă de Rusia, potrivit G4Media . Țintele ar fi inclus politicieni, diplomați, ofițeri militari și jurnaliști de top, iar suspiciunile privind implicarea Rusiei sunt menționate de surse guvernamentale citate de Reuters. Guvernul german nu a comentat oficial informațiile despre persoanele vizate. Ancheta: până la nivelul executivului Procurorii federali germani au confirmat că investighează atacurile, iar presa locală a relatat că acestea ar fi ajuns până la nivelul executivului. Conform agenției dpa și publicației Der Spiegel, printre cei vizați s-ar număra miniștrii Karin Prien și Verena Hubertz . În acest stadiu, amploarea exactă a breșei și consecințele asupra securității informațiilor guvernamentale nu sunt încă stabilite, ancheta fiind în desfășurare. Cum ar fi funcționat atacul și de ce contează Potrivit informațiilor prezentate, atacul nu ar fi exploatat o vulnerabilitate tehnică a aplicației Signal, ci ar fi mizat pe manipularea utilizatorilor (phishing – încercarea de a obține date sensibile prin mesaje care imită surse legitime). Mecanismul descris include mesaje care par să vină de la „Signal Support” și cer utilizatorilor să: introducă un cod PIN; acceseze un link; scaneze un cod QR. Dacă victima urmează instrucțiunile, atacatorii pot obține acces la conversații private, contacte și grupuri interne – un risc direct pentru funcționarea și confidențialitatea comunicării între instituții. Avertismente anterioare și context Autoritățile germane ar fi fost alertate încă de la începutul anului, după ce serviciul de informații interne și structurile de securitate cibernetică au emis avertismente privind posibile atacuri asupra utilizatorilor de aplicații de mesagerie, atribuite unui actor susținut de stat. Primele avertizări publice ar fi apărut în februarie, urmate de recomandări mai detaliate. Cazul este plasat într-un context mai larg de creștere a atacurilor cibernetice atribuite Rusiei; serviciile de informații din Țările de Jos au avertizat anterior că Moscova își intensifică operațiunile hibride, inclusiv tentative de sabotaj cibernetic asupra infrastructurii publice. Rusia a negat în repetate rânduri acuzațiile de hacking împotriva altor state. [...]
Escrocii folosesc tot mai des date reale de rezervare pentru a trimite mesaje „oficiale” despre hoteluri, împingând călătorii către pagini false de plată și furt de date , potrivit Focus . Miza operațională pentru industrie este directă: compromiterea accesului la sisteme de rezervări (inclusiv prin furnizori integrați) poate transforma comunicarea cu clienții într-un canal de fraudă greu de depistat. Metoda este cunoscută ca „ Reservation Hijack Scams ” și presupune că atacatorii obțin acces la detalii autentice ale rezervării, apoi se dau drept hotel sau platformă de rezervări, arată Norton într-o analiză. Mesajele ajung la scurt timp după o rezervare reală și includ nume, datele călătoriei și suma, ceea ce le face credibile. Cum funcționează frauda și de ce e greu de recunoscut În scenariile descrise, victima primește o notificare care arată ca o comunicare de serviciu: fie i se spune că există o problemă cu plata, fie i se cere „confirmarea” rezervării. Elementul-cheie este presiunea timpului, de exemplu amenințarea cu anularea rezervării dacă nu se răspunde rapid. Finalul este aproape invariabil: un link duce către o pagină de plată falsă, unde sunt colectate date de card sau alte informații sensibile. De unde vin datele reale: hoteluri compromise și furnizori conectați Focus notează că datele necesare fraudei sunt obținute frecvent prin: conturi de hotel compromise (acces neautorizat la sistemele interne); furnizori externi integrați în sistemele de rezervare, care pot deveni o verigă vulnerabilă. Publicația menționează și un exemplu recent: Chip.de a relatat despre un incident la Booking.com , în aprilie, în care persoane neautorizate au obținut acces la datele unor utilizatori. Potrivit Norton, astfel de breșe pot crește eficiența mesajelor frauduloase, tocmai pentru că atacatorii pot folosi detalii corecte. Recomandările BSI pentru reducerea riscului Bundesamt für Sicherheit in der Informationstechnik (BSI) recomandă câteva măsuri de bază, relevante în special când mesajele invocă urgențe sau „probleme de plată”: să nu fie trimise prin e-mail informații personale sau confidențiale (parole, date de card); să nu fie deschise linkuri sau atașamente din mesaje suspecte; accesarea să se facă direct din adresa oficială; verificarea autenticității paginilor (conexiune criptată „https://”, simbolul lacătului și semne neobișnuite în aspect); actualizarea constantă a sistemului de operare, programelor și soluțiilor de securitate. În practică, semnalul de alarmă rămâne combinația dintre detalii „prea exacte” și solicitarea de acțiune rapidă: când plata sau confirmarea sunt cerute printr-un link din mesaj, riscul de fraudă crește semnificativ. [...]
FSB leagă un presupus complot împotriva Roskomnadzor de „recrutări prin Telegram ”, într-un context de presiune asupra platformei – potrivit Meduza , serviciul rus de securitate susține că a prevenit pe 18 aprilie 2026 un „act terorist” care ar fi vizat conducerea Roskomnadzor, planificat prin aruncarea în aer a unui automobil cu un dispozitiv exploziv. FSB afirmă că, în legătură cu pregătirea atentatului, au fost reținute șapte persoane în Moscova, Ufa, Novosibirsk și Iaroslavl. Conform versiunii prezentate de serviciu, toate ar fi fost recrutate prin Telegram. În același comunicat, FSB spune că liderul grupului ar fi fost un locuitor al Moscovei, născut în 2004, care „a opus rezistență armată folosind o armă de foc” la reținere și a fost ucis. Ce transmite FSB despre „componenta online” și miza de reglementare Pe lângă detaliile operaționale, FSB introduce explicit o legătură între presupusa acțiune și agenda de „securitate a spațiului informațional” din Rusia, susținând că serviciile speciale ucrainene ar desfășura activități menite să perturbe măsuri de securitate, inclusiv „blocarea mesageriei Telegram”. Tot FSB afirmă că ar exista amenințări la adresa conducerii și angajaților Roskomnadzor, precum și a membrilor familiilor acestora, invocând atacuri armate și acțiuni extremiste și susținând că s-ar pregăti noi acte teroriste. Ancheta: acuzațiile formulate până acum FSB spune că, la percheziții, ar fi fost găsite, între altele: „atributică și simbolistică neonazistă”; simboluri ale „formațiunilor militarizate ucrainene”; o „instrucțiune” privind aderarea la o organizație ucraineană calificată drept teroristă și interzisă în Rusia. Deocamdată, potrivit FSB, pe numele celor reținuți au fost deschise dosare pentru infracțiuni legate de traficul ilegal de arme și dispozitive explozive, iar autoritățile „decid” dacă îi vor trage la răspundere penală și pentru pregătirea unui act terorist. Context: un caz anterior în Roskomnadzor Meduza amintește că, în ianuarie 2026, la punctul de acces al sediului central al Roskomnadzor din Moscova a fost ucis un angajat de rang înalt, Alexei Beliaev, ale cărui subordonate se ocupau de blocări. Pentru crimă a fost arestat un adolescent de 16 ani, Artem A., iar despre anchetă nu a existat aproape 10 zile informație publică; potrivit surselor Meduza, presei de stat și pro-guvernamentale i s-ar fi recomandat să nu relateze cazul. (Detalii în materialul Meduza despre acest episod, aici .) [...]
Testarea apărării cibernetice pe scenarii de infrastructură critică a devenit o miză operațională directă , după ce la București a avut loc exercițiul NATO „ Locked Shields 2026 ”, în care au fost simulate în timp real aproximativ 8.000 de atacuri cibernetice asupra unei infrastructuri naționale fictive, potrivit Digi24 , care citează Ministerul Apărării Naționale (MApN). Exercițiul s-a desfășurat în perioada 13–24 aprilie, la Biblioteca Centrală a Universității Politehnica din București, și este organizat anual de NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE). Potrivit MApN, scenariile au urmărit situații de criză cibernetică de amploare, cu testarea capacităților tehnice, operaționale și decizionale „în condiții de presiune și incertitudine operațională”. Ce a fost testat: apărarea infrastructurilor critice, nu doar „IT” MApN precizează că exercițiul a inclus, pe lângă componenta tehnică, și elemente juridice și de comunicare strategică, cu obiectivul de a dezvolta o abordare comună de gestionare a incidentelor. În scenarii au fost incluse infrastructuri critice simulate, precum: rețele de comunicații 5G; sisteme energetice; sisteme de comandă și control. În paralel cu apărarea împotriva atacurilor simulate, echipele au gestionat și incidente tehnice, provocări juridice și cerințe de comunicare strategică, conform MApN. Participarea României: format comun cu Ucraina și Republica Moldova În ediția din acest an, echipa României a participat într-un format comun împreună cu experți din Ucraina și Republica Moldova, pe fondul obiectivului de consolidare a cooperării regionale în apărare și securitate cibernetică. Au fost implicați specialiști din: Ministerul Apărării Naționale; Sistemul Național de Apărare, Ordine Publică și Securitate Națională; Directoratul Național de Securitate Cibernetică; mediul academic; sectorul privat. Echipa României a fost coordonată de Comandamentul Apărării Cibernetice din MApN. Dimensiunea exercițiului și miza pentru capacitatea de reacție MApN arată că ediția 2026 a reunit circa 4.000 de participanți din peste 40 de țări. În cadrul exercițiului, cele 16 echipe participante au acționat ca o forță multinațională de reacție rapidă, având misiunea de a apăra o infrastructură națională simulată împotriva a aproximativ 8.000 de atacuri cibernetice în timp real. Ministerul susține că participarea României reconfirmă angajamentul pentru dezvoltarea capabilităților naționale de apărare cibernetică, creșterea rezilienței infrastructurilor critice și întărirea cooperării cu partenerii internaționali. [...]
Guvernul a aprobat finanțarea de 169,3 milioane lei pentru un sistem Big Data al SRI pe 17 aeroporturi , proiect care mută o parte din securitatea aeroportuară spre analiză video automatizată și integrare de date la nivel național, potrivit Economedia . Proiectul, denumit SISPOA , urmărește integrarea într-o platformă unică a 17 aeroporturi civile din România printr-un sistem digital automat și centralizat, care să ofere pasagerilor informații despre zboruri și servicii disponibile în terminale. Nota de fundamentare a Hotărârii de Guvern a fost aprobată în ședința de Guvern „de ieri”, conform sursei. Ce se cumpără: analiză video predictivă și recunoaștere de obiecte Punctul central este un „hub de date” care centralizează fluxurile de pe toate aeroporturile partenere. Conform caietului de sarcini citat, SRI achiziționează soluții de Visual Artificial Intelligence (VAI) – adică sisteme de analiză video cu algoritmi – capabile de analiză predictivă. În practică, sunt vizate funcții precum: detectarea automată a obiectelor abandonate; identificarea comportamentelor suspecte; monitorizarea perimetrală; reducerea alarmelor false prin algoritmi care diferențiază între alerte nejustificate și amenințări reale. Economedia notează că sistemul nu se limitează la înregistrare video, ci presupune procesarea analitică a fluxurilor în timp real, ceea ce înseamnă o monitorizare „algoritmică” mai intensă în nodurile de transport. Integrare cu ROeID și interoperabilitate între aeroporturi Pentru acces „facil și securizat”, soluția digitală ar urma să fie integrată cu ROeID, platforma de identitate digitală a statului. Integrarea ar permite cetățenilor să folosească identitatea digitală oficială pentru a accesa datele și serviciile din hub-ul de informații aeroportuare, potrivit documentației proiectului. Un obiectiv operațional menționat este interoperabilitatea sistemelor de securitate de pe aeroporturile mici (exemplele din documentație: Tulcea, Arad) cu marile hub-uri (București, Cluj), „sub egida SRI”. Cum se finanțează proiectul Investiția este susținută în proporție de 85% din bani europeni nerambursabili, prin ordonatorul de credite Ministerul Transporturilor, conform sursei. Economedia indică și că documentația oficială din SEAP prevede cerințe legate de interoperabilitate la nivelul rețelei de aeroporturi. [...]
