Știri
Știri din categoria Securitate cibernetică
Escaladarea către atacuri „distructive” asupra infrastructurii energetice europene ridică miza pentru operatori și autorități, după ce guvernul Suediei a acuzat grupuri pro-ruse că au încercat să scoată din funcțiune o centrală termică, potrivit TechRadar. Atacul ar fi fost oprit de un „mecanism de protecție integrat”, iar autoritățile spun că agresorii ar avea legături cu serviciile ruse de informații și securitate.
Într-o conferință de presă, ministrul suedez al apărării civile, Carl-Oskar Bohlin, a descris schimbarea de tactică: grupuri care în trecut se limitau la atacuri de tip „denial-of-service” (supraîncărcarea serviciilor până devin indisponibile) ar încerca acum atacuri „distructive” împotriva organizațiilor din Europa.
Guvernul suedez nu a numit centrala termică vizată, dar a susținut că incidentul indică un comportament „mai riscant și mai iresponsabil” al grupurilor aliniate Rusiei. Elementul operațional important, în acest caz, este că oprirea atacului a fost atribuită explicit unui control de protecție deja existent în sistem.
Dincolo de incidentul punctual, mesajul autorităților este că amenințarea se mută de la perturbări temporare la încercări de oprire efectivă a unor instalații, ceea ce poate crește presiunea pe:
Potrivit materialului, Rusia a fost acuzată de mai multe atacuri asupra infrastructurii critice europene, mai frecvente după declanșarea războiului din Ucraina, în februarie 2022. TechRadar amintește și de acuzații anterioare privind operațiuni atribuite GRU (Direcția Principală a Statului Major al Forțelor Armate ale Rusiei), inclusiv campanii de infiltrare în infrastructură critică occidentală încă din 2021, cu scopul de a menține accesul („persistence”) până la un moment favorabil pentru lovire.
În același context, publicația notează că cercetători au găsit legături între o tentativă de a opri sistemul energetic al Poloniei și un grup APT (advanced persistent threat – grup avansat, de regulă sponsorizat de stat, care urmărește acces pe termen lung).
Materialul mai menționează că activități atribuite Rusiei au vizat și infrastructură critică din SUA, inclusiv instalații de tratare a apei, sistemul federal de depunere a documentelor în instanță și o campanie în care au fost compromise conturi de e-mail ale unor oficiali din mai multe agenții federale.
Informațiile despre incidentul din Suedia au fost relatate și de TechCrunch, conform TechRadar.
Recomandate
O scurgere de date care vizează aproape 5 milioane de utilizatori ridică riscuri directe de conformare și costuri pentru hoteluri , după ce un atacator ar fi extras informații din platforme de ospitalitate și le-ar fi lăsat expuse pe un server neprotejat, potrivit TechRadar . Incidentul a fost identificat de cercetători de securitate de la Cybernews , care descriu cazul drept o operațiune „masivă”, cu o scurgere de date la o scară „uluitoare”. Datele ar proveni din platforme de ospitalitate din Spania și Austria, inclusiv Chekin (serviciu automatizat de check-in) și Gastrodat (furnizor de software de management hotelier). Ce s-a întâmplat și cum ar fi fost obținute datele Conform constatărilor Cybernews, atacatorul ar fi compromis 527 de conturi aparținând hotelurilor și gazdelor și le-ar fi folosit pentru a accesa sisteme de rezervări ale furnizorilor afectați. Extragerea ar fi fost automatizată cu scripturi Python care interogau interfețele API (canale tehnice prin care aplicațiile schimbă date) ale platformelor, colectând continuu informații despre rezervări și oaspeți. Datele ar fi ajuns pe serverul atacatorului și, „probabil”, ar fi fost redirecționate în timp real prin Telegram. Elementul care a făcut posibilă descoperirea: serverul nu ar fi avut parolă sau alte măsuri de protecție. Amploarea: 6,5 GB de fișiere și aproape 5 milioane de utilizatori Cercetătorii spun că serverul conținea aproximativ 6,5 GB de fișiere, cu un volum mare de date personale. În total, „aproape cinci milioane” de utilizatori ar fi fost afectați. Prin date extrase din peste 170 de unități la nivel global, atacatorii ar fi obținut informații despre circa 400.000 de rezervări distincte, inclusiv date de ședere, ID-uri de rezervare, nume ale oaspeților, adrese ale proprietăților și „indicatori interni de siguranță” folosiți de platformele de cazare. Ce tip de date personale ar fi fost expuse În seturile de date ar fi apărut, potrivit descrierii, inclusiv: nume complete; numere de telefon; adrese de e-mail; data și locul nașterii; în unele cazuri, detalii din documente de identitate. Separat, Cybernews ar fi identificat pe server și o listă cu toate conturile compromise, cu credențiale, adrese de e-mail și tokenuri JWT (chei digitale folosite la autentificare), plus identificatori care legau fiecare cont de platforme specifice de rezervări. De ce contează pentru companii: expunere la obligații și costuri Pentru hoteluri și operatori, combinația dintre date de identificare și detalii de rezervare crește riscul de fraudă și de atacuri de tip „inginerie socială” (înșelătorii care exploatează informații reale despre victimă). Operațional, incidentul sugerează și o problemă de control al accesului la conturi și de monitorizare a interogărilor API, care poate duce la extracții masive fără a fi oprite la timp. TechRadar notează că datele au fost găsite pe un server deschis; detaliile despre eventuale notificări oficiale sau măsuri luate de companiile implicate nu sunt prezentate în materialul citat, iar unele elemente rămân formulate ca evaluări („aparent”, „probabil”). [...]
O campanie de spionaj cibernetic asociată Rusiei a compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române , într-un val mai amplu de atacuri care a vizat Ucraina și alte state din regiune, potrivit unei analize citate de Agerpres . Datele, analizate de Reuters, indică o expunere operațională cu potențial impact asupra comunicațiilor militare, inclusiv în zone legate de infrastructura NATO. Conform informațiilor, hackerii „având legături cu Rusia” au spart peste 170 de conturi de e-mail aparținând procurorilor și anchetatorilor din Ucraina în ultimele luni. În total, ar fi fost compromise cel puțin 284 de inbox-uri între septembrie 2024 și martie 2026, pe baza unor jurnale de operațiuni și a mii de e-mailuri sustrase, rămase accidental expuse pe internet chiar de către atacatori. Ce arată datele despre țintele din România și regiune În România, atacatorii au compromis cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi care ar aparține unor baze aeriene NATO și cel puțin unui ofițer superior. Ministerul Apărării Naționale nu a răspuns solicitărilor de comentarii ale Reuters. În același set de date, apar și alte ținte din state NATO și din Balcani, între care: Grecia : 27 de inbox-uri gestionate de Statul Major General al armatei; între cei vizați s-au numărat atașați militari greci din India și Bosnia, precum și Centrul de sănătate mentală al armatei elene. Bulgaria : cel puțin patru inbox-uri ale unor oficiali locali din regiunea Plovdiv. Serbia : conturi ale unor cadre universitare și oficiali militari, potrivit Reuters. Cum a ieșit la iveală campania și cine o atribuie Datele despre campanie au fost descoperite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce acestea au fost expuse accidental online. Grupul a descris situația drept o oportunitate rară de a vedea „mecanismele interne” ale unei operațiuni de spionaj, pe fondul unei erori operaționale a atacatorilor. Ctrl-Alt-Intel a atribuit campania grupului Fancy Bear , nume asociat unei unități rusești de ciberspionaj militar. Doi cercetători care au examinat independent raportul — Matthieu Faou (ESET) și Feike Hacquebord (TrendAI) — sunt de acord că hackerii au legături cu Moscova, însă există rezerve privind identificarea exactă: Faou spune că nu poate confirma implicarea Fancy Bear, iar Hacquebord contestă atribuirea, sugerând o altă grupare rusă. Ambasada Rusiei la Washington nu a răspuns solicitărilor de comentarii ale Reuters, iar Moscova a negat în repetate rânduri implicarea în operațiuni de piraterie informatică împotriva altor țări. De ce contează: risc operațional pentru instituții de apărare Din perspectiva operațională, compromiterea unor conturi de e-mail din structuri militare poate însemna acces la corespondență internă, contacte și fluxuri de lucru, cu efecte potențiale asupra securității informațiilor și a coordonării instituționale. În cazul României, analiza indică inclusiv conturi asociate unor baze aeriene NATO, ceea ce ridică miza incidentului în context aliat. Pe partea ucraineană, datele arată că au fost vizate instituții legate de anticorupție și contraspionaj, inclusiv Biroul procurorului specializat în domeniul apărării, ARMA și Centrul de formare a procurorilor din Kiev. Echipa ucraineană de intervenție în caz de urgențe informatice a declarat că era la curent cu atacul și că investigase deja unele dintre breșele de securitate identificate de Reuters. [...]
MApN spune că a centralizat securitatea cibernetică după compromiterea unor conturi de e-mail , o măsură cu impact operațional direct asupra modului în care instituția își administrează infrastructura IT, potrivit Antena 3 . Ministerul Apărării Naționale a confirmat că o grupare de hackeri „apropiată de Rusia” a compromis „câteva zeci” de adrese de e-mail ale Armatei Române. În același incident, pentru alte 30 de adrese „exploatarea nu a avut succes”, deoarece atacul a fost depistat, analizat și izolat în termen de 24 de ore, a transmis instituția, prin comunicat. Potrivit MApN, datele vizate au fost neclasificate și folosite în activități administrative curente, respectiv pentru vehicularea unor informații publice. Ministerul susține că „nu a existat posibilitatea accesării sau exfiltrării de date clasificate”. Ce s-a întâmplat și când a fost depistat incidentul MApN precizează că incidentul a fost depistat în luna martie 2025 și că a implicat compromiterea „a câtorva zeci” de adrese de e-mail, în timp ce alte 30 de conturi nu au fost compromise. „Incidentul a fost depistat, analizat de structurile competente și izolat în termen de 24h.” Măsura anunțată: securitatea cibernetică, preluată „integral la nivel central” Pentru a reduce riscul unor situații similare, MApN afirmă că, din martie 2026, componenta de securitate cibernetică a fost preluată „integral la nivel central”. Instituția mai spune că monitorizează constant infrastructurile proprii și aplică măsuri pentru eliminarea unor vulnerabilități. Contextul internațional invocat: informații atribuite Reuters Precizările MApN vin după ce Reuters a relatat despre un atac cibernetic atribuit hackerilor ruși, care ar fi vizat și alte state NATO, precum Grecia sau Bulgaria, și care s-ar fi desfășurat în perioada septembrie 2024 – martie 2026. Potrivit Reuters, în România ar fi fost compromise cel puțin 67 de conturi de e-mail administrate de Forțele Aeriene Române , inclusiv unele aparținând bazelor aeriene NATO și cel puțin unui ofițer militar superior. Tot Reuters notează că platforma Ctrl-Alt-Intel a atribuit atacurile grupării „Fancy Bear”. Aceeași sursă mai menționează că un atac ar fi compromis 27 de căsuțe poștale de e-mail gestionate de Statul Major General al Apărării Naționale Elene, inclusiv conturi ale unor atașați de apărare greci. [...]
O breșă care a expus zeci de conturi ale Forțelor Aeriene Române arată cât de vulnerabile rămân comunicațiile instituționale în fața spionajului cibernetic , după ce datele unei campanii atribuite unor hackeri cu legături în Rusia au ajuns online „din greșeală”, potrivit HotNews , care citează o analiză Reuters bazată pe date descoperite de cercetători. Datele au fost găsite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce hackerii ar fi expus din eroare pe internet informații rămase pe un server. Potrivit aceleiași analize, jurnalele operațiunilor și mii de e-mailuri furate indică faptul că au fost compromise cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. România: cel puțin 67 de conturi ale Forțelor Aeriene, compromise În România, datele analizate arată compromiterea a cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Ministerul Apărării Naționale nu a răspuns solicitărilor de declarații, potrivit Reuters. Cercetătorii de la Ctrl-Alt-Intel au descris expunerea accidentală a datelor drept o „greșeală operațională uriașă”, care a oferit o ocazie rară de a vedea cum funcționează o campanie de spionaj. „Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă.” Ținte și în Grecia, Bulgaria și Serbia În afara Ucrainei, atacurile au vizat și țări NATO vecine cu Ucraina și state din Balcani, conform datelor: Grecia : 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene; între conturile compromise sunt menționați atașați militari greci din India și Bosnia, dar și o adresă de contact public a unui centru medical militar. Bulgaria : cel puțin patru căsuțe de e-mail ale unor oficiali locali din provincia Plovdiv. Serbia : conturi ale unor academicieni și oficiali militari; Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii. Keir Giles, de la think-tank-ul londonez Chatham House, citat în material, afirmă că nici măcar o relație apropiată cu Moscova nu ar fi o garanție împotriva spionajului rus. Cine este suspectat și ce rămâne neconfirmat Ctrl-Alt-Intel a atribuit campania grupului „Fancy Bear”, una dintre etichetele folosite pentru o echipă militară rusă de hackeri. Totuși, doi cercetători care au analizat independent concluziile au nuanțat atribuirea: Matthieu Faou (ESET) a spus că nu a putut verifica implicarea „Fancy Bear”, iar Feike Hacquebord (TrendAI) a contestat această implicare, deși ambii au fost de acord că atacatorii au legături cu Moscova. În paralel, în anunțul de săptămâna trecută menționat în articol, Departamentul de Justiție al SUA și FBI au indicat că, cel puțin din 2024, actori cibernetici asociați Centrului 85 al GRU (cunoscuți și ca APT28/Fancy Bear/Forest Blizzard) ar fi colectat date de autentificare și ar fi exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea unor routere TP-Link folosind vulnerabilitatea CVE-2023-50224. Context: anchete și cooperare internațională Informațiile apar după ce președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat o operațiune în care FBI, împreună cu instituții din 15 state (inclusiv SRI), ar fi destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, potrivit unui material HotNews anterior: HotNews . Potrivit SRI, citat în articol, GRU ar fi compromis „o gamă largă de entități” la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental. De ce contează Dincolo de numărul de conturi, miza este operațională: compromiterea e-mailurilor asociate unei structuri militare poate afecta fluxuri de lucru, expune contacte și proceduri și poate crea puncte de plecare pentru atacuri ulterioare (de tip „phishing” – mesaje înșelătoare care urmăresc furtul de parole). În acest caz, vizibilitatea asupra campaniei a venit nu dintr-o detectare internă, ci dintr-o eroare a atacatorilor, ceea ce ridică întrebări despre capacitatea de identificare timpurie a unor astfel de intruziuni. [...]
Un nou infostealer numit Storm poate ocoli în practică protecții precum 2FA , pentru că mută decriptarea datelor furate pe servere controlate de atacatori, ceea ce îl face mai greu de prins de multe soluții de securitate instalate pe dispozitive, potrivit BGR . Cercetători ai companiei de securitate cibernetică Varonis au identificat malware-ul ca fiind un „infostealer” (un tip de program malițios care colectează date sensibile și le trimite către un atacator). În cazul Storm, țintele includ credențiale din browser (conturi și parole), cookie-uri de sesiune, portofele cripto și alte date care, odată decriptate, pot fi folosite pentru preluarea conturilor. De ce contează: decriptare „în afara” dispozitivului, mai puține urme pentru detecție În mod obișnuit, astfel de malware încearcă să facă „munca grea” local, pe calculatorul infectat, inclusiv prin încărcarea unor biblioteci SQLite compromise pentru a ajunge la datele stocate. Această abordare este relativ comună și, în general, mai ușor de detectat de instrumentele de securitate de tip endpoint (soluții care monitorizează și protejează dispozitivele utilizatorilor). BGR arată că Google a complicat acest model în iulie 2024, odată cu introducerea App-Bound Encryption în Chrome 127, care leagă cheile de criptare de browser și „face decriptarea locală și mai dificilă”, conform explicațiilor Varonis. Ca reacție, atacatorii au trecut la metode precum injectarea de cod malițios în Chrome sau folosirea protocoalelor de depanare, dar acestea puteau lăsa în continuare urme detectabile. Storm schimbă tactica: datele colectate local rămân criptate și sunt trimise către o infrastructură „proprietară”, unde sunt decriptate pe server. Consecința practică este că multe instrumente endpoint, construite să identifice decriptarea pe dispozitiv, pot rata activitatea. Ce date poate colecta și ce înseamnă pentru utilizatori După infectare, atacatorii pot strânge date necesare pentru a „restaura” sesiuni deturnate de la distanță. Lista menționată include: parole salvate; cookie-uri de sesiune; date de completare automată a formularelor; token-uri de cont Google și coduri 2FA; date de card; istoricul de navigare; documente din directoarele utilizatorului și din aplicații populare; portofele cripto. În plus, Storm ar „gestiona” pe server atât browsere bazate pe Chromium, cât și pe Gecko (precum Firefox sau Pale Moon), ceea ce extinde suprafața de atac dincolo de un singur ecosistem. Accesibilitate pentru atacatori și recomandări de apărare Varonis susține că Storm ar fi disponibil pentru „mai puțin de 1.000 de dolari pe lună” (aprox. 4.600 lei), ceea ce îl face relativ accesibil pentru atacatori la distanță. Compania spune că a observat „multe” cazuri de utilizare pentru furt de credențiale financiare, de social media și de criptomonede în mai multe țări, inclusiv în SUA, fără a detalia în material amploarea exactă. Pentru utilizatori, măsurile de bază indicate în articol includ: ștergerea regulată a cookie-urilor din browser (ideal programată); evitarea descărcărilor și site-urilor suspecte; folosirea unui manager de parole (exemplu dat: Bitwarden); actualizarea instrumentelor de securitate și scanări regulate. [...]
Agenții OpenClaw pot produce daune operaționale rapide dacă rulează cu permisiuni prea largi , iar un exemplu dintr-un test intern arată cum un agent a șters în masă sute de e-mailuri în loc să „confirme înainte de a acționa”, potrivit TechRadar . Mesajul pentru companii este pragmatic: cadrele de „AI agentic” (adică sisteme care pot executa acțiuni în aplicații și pe sistem) nu vin, de regulă, cu securitate „din fabrică”, iar riscul se mută direct în configurarea și controlul de zi cu zi. OpenClaw, descris ca un cadru folosit pentru a construi astfel de agenți, cere acces extins la sistem pentru a rula comenzi, a gestiona fișiere și a controla browsere, ceea ce mărește „suprafața de atac” (numărul de puncte prin care poate apărea o breșă). În paralel cu creșterea rapidă a adopției, publicația notează și tipuri de incidente asociate implementărilor neprotejate: scurgeri de parole, extensii false care distribuie viruși și stocare deficitară a informațiilor sensibile. De ce contează pentru operațiuni și risc Cazul e-mailurilor șterse în masă ilustrează o problemă practică: instrucțiunile vagi de tipul „confirmă înainte să acționezi” pot eșua, iar un agent cu drepturi de scriere/ștergere poate produce pagube imediat (pierdere de date, întreruperi de activitate, incidente de securitate). În plus, odată ce un agent primește consimțăminte OAuth (autorizări pentru acces la conturi și servicii), acestea se pot extinde în timp, inclusiv prin schimbări de configurare greu de observat. Patru măsuri recomandate înainte de implementare TechRadar sintetizează patru practici care reduc riscul, fără a depinde de „buna purtare” a agentului: Permisiuni minime (principiul „least privilege”) : acordați strict accesul necesar sarcinii. Un agent care rezumă e-mailuri are nevoie de citire, nu de ștergere. Verificați atent permisiunile cerute la aprobările OAuth. Credențiale dedicate, nu tokenuri personale : folosiți chei API/conturi de serviciu/parole de aplicație (credite separate, limitate ca drepturi) și rotiți-le regulat, pentru a evita ca agentul să moștenească accesul complet al unui utilizator. Extindere graduală a responsabilităților : începeți cu sarcini cu miză mică (de exemplu, analiză de jurnale sau redactare), apoi creșteți complexitatea. Testați explicit cum reacționează la cereri în afara scopului sau fără permisiuni. Monitorizare din prima zi : folosiți instrumente de observabilitate pentru a detecta apeluri „neobișnuite” către unelte, transferuri de date în afara tiparelor și pentru auditarea periodică a acțiunilor și credențialelor agentului. „Confirmă înainte de a acționa” nu este un control suficient Publicația argumentează că formulările generale sunt greu de verificat și duc la comportament inconsistent. În loc, recomandarea este să fie impuse constrângeri măsurabile , de tipul: „nu șterge, nu muta și nu modifica nimic fără să afișezi lista schimbărilor propuse și fără aprobarea mea explicită”. Chiar și așa, avertismentul central rămâne: sistemele sunt probabilistice și pot ignora instrucțiuni. De aceea, pentru acțiuni cu impact (ștergere de date, expunere de chei API, transmitere de informații sensibile), organizațiile ar trebui să facă rezultatul nedorit structural imposibil — de exemplu, prin revocarea drepturilor de ștergere la nivel de cont sau prin păstrarea secretelor într-un „secrets manager” la care agentul nu are acces. Materialul este publicat în canalul „Expert Insights” al TechRadarPro, iar opiniile aparțin autorului, conform notei editoriale din articol. [...]
