June 27th, 2017 
admin 
O descriere simplificata a modului de operare a WannaCry – Sursa: securitynewspaper.com
Ucraina a fost lovita de un noul val de atacuri informatice, de data asta fiind vorba de un “vierme” de tip ransomware, ce se propaga prin metode similare celor folosite de celebrul de acum WannaCry – celebru pentru ca a reusit sa afecteze foarte puternic activitatea NHS (sistemul public de sanatate) din UK. In Romania, WannaCry ar fi afectat Dacia Pitesti. Noul atac este cunoscut drept Petrwrap, o “mutatie” a unui ransomware mai vechi, Petya.
Fara a intra in prea multe detalii tehnice, Petrwrap se propaga intr-un mod similar WannaCry, exploatand o vulnerabilitate a serviciului SMB folosit de Windows, vulnerabilitate descoperita si folosita initial de NSA, facuta publica de grupul Shadow Brokers in Aprilie 2017 si cunoscuta drept EternalBlue. Odata ce este instalat, viermele trece la criptarea HD-ului si blocheaza accesul la sistem, cerand in schimb o recompensa.
Vulnerablitatea ar fi trebuit eliminata printr-un update de Windows, facut disponibil de Microsoft, insa faptul ca Petrwrap se raspandeste asa de rapid inseamna ca inca exista sisteme care nu au fost updatate. Oricare ar fi fost circumstantele atenuante inainte de WannaCry, acum nu mai exista nici o scuza.
Desi atacul pare a avea o motivatie mai mult financiara, fata de operatiunile tipice ale ursului fantezist, faptul ca 60% din sistemele afectate se gasesc in Ucraina a facut ca rusii sa fie desemnati suspectii principali. Trebuie spus ca Rusia este cea de-a doua tara afectata, cu 30% din atacuri inregistrandu-se impotriva unor sisteme locale.
Ce trebuie reamintit este ca Ucraina primeste asistenta tehnica din partea NATO pentru intarirea securitatii sistemelor informatice, printr-un proiect condus de… Romania. Institutia care reprezinta Romania este SRI. Mai multe detalii aici.
Obiectivele proiectului ar fi descrise cam asa:
“Romanian specialists in information security are charged through this quality with defining the technical necessities and the architecture of a security system for protecting critical IT&C infrastructure against cybernetic threats. Also, another responsibility of a lead nation is identifying other NATO members and Trust Fund contributors to secure the necessary financial resources for implementing the project after its definition phase. Last but not least, the lead nation will assure project management and training for Ukrainian specialists to ensure the system yields proper results“
Sursa: natowatch.org
Judecand dupa amploarea pagubelor, rezultatele nu sint cele asteptate: reteaua guvernamentala ucrainiana a fost blocata si au fost afectate retelele bancii nationale, ale constructorului de avioane Antonov, ale metroului si aeroportului din Kiev dar si sistemul de monitorizare a radiatiilor de la Cernobal.
Posted in
Petya! Petya!
https://1.bp.blogspot.com/-vPs3Wq0Xwn8/WVJxtAOo0vI/AAAAAAAAtWs/XhMNPhiPc6wiw4NSgBRZhy9zb0D44S_yQCLcBGAs/s1600/petya-ransomware.png
Sa vedem ce urmeaza dupa sapaturi…
http://thehackernews.com/2017/06/windows10-builds-source-code.html
Aruncati geana aici astia calare pe Windows…
http://seclist.us/pentest-detections-wannacry-and-petya-fast-detection-tool.html
SAU
https://github.com/ptresearch/Pentest-Detections/tree/master/WannaCry_Petya_FastDetect
Atentie ! Acum cativa ani majoritatea antivirusilor considerau WinPcap …virus! Si asta spune multe despre sistemele de detectie utilizate de antivirusi…
Astia de la SRI si alte departamente sa nu aruncati geana, nu de alta dar voi aveti meseriasii vostri, sunteti cei mai si cei…
Sa nu aratam cu degetul inainte sa cunoastem detalii. Institutiile publice sunt notorii pentru incetineala cu care isi actualizeaza sistemele infromatice. Stiu cazuri, si nu doar in Romania, in care inca se folosesc, in anul de gratie 2017, Windows XP si IE 7.0. Situatia este similara si in marile organizatii multi-nationale. In plus, multe companii au adoptat politica “bring your own device”, adica angajatilor li se permite sa foloseasca dispositive proprii (laptopuri, telefoane) pentru a se conecta la retelele interne ale companiei, ceea ce sporeste exponential riscurile de securitate.
Detalii pe care nu le vom putea cunoaste niciodata deci mai bine nici sa nu vorbim despre asta?
Am pus in oglinda obiectivele programului de asistenta NATO pentru Ucraina cu rezultatele din teren. Nu am analizat motivele pentru care programul a esuat, cum am spus, detaliile nu sint accesibile.
Cat despre incetineala departamentului IT si BYOD, toate tin exclusiv de politica de securitate si exista solutii in ambele cazuri deci pot fi cel mult explicatii dar nu scuze.
Nu zic sa nu discutam, dar daca am inteles bine, in ultima parte a articolului se dadea de inteles ca romanii din Ucraina nu si-au facut treaba. Nu voiam decat sa subliniez ca sunt multe alte posibile cauze pentru reusita atacului. Imi cer scuze daca s-a inteles altceva sau daca am inteles gresit.
In plus, din ce citesc, as zice ca la nivel guvernamental si servicii publice, infrastructura IT a rezistat destul de bine, singurele efecte cunoscute fiind:
– imposibilitatea folosirii cardurilor pentru plata calatoriilor cu metroul
– probleme la afisarea orarelor de zbor pe aeroportul din Kiev
– pagina guvernului ucrainina se incarca mai greu o perioada de timp (dar a ramas in picioare)
– poate cel mai grav, sistemul de monitorizare a radiatiilor de Cernobal a picat personalul fiind fortat de imprejurari sa faca masuratorile manual
Ar fi interest de stiut daca au fost incercate si respinse atacuri pe zone mai sensibile, gen reteaua de distributie gaze/curent/apa, telecomunicatii, infrastructura armatei, etc.
O coincidenta ciudata e ca tot ieri de diminineata un colonel al serviciilor secrete a fost asasinat in Kiev.
Si tot o coincidenta e ca Vineri s-a inregistrat un atac vizand conturile de email ale unor parlamentari britanci. Ursii fac ore suplimentare.
Cat despre pagube, e interesant de vazut modul cum viermele s-a propagat pana la Cernobal. Se pare ca initial au fost vizate sisteme ale companiei de distributie a energiei electrice. Chiar daca acolo pagubele au fost mici (sau tinute cumva sub control) e posibil ca asta sa fi fost punctul de plecare. Nu e de fapt primul atac asupra sistemului de distributie al energiei electrice ucrainiene, primul a fost in 2015.
Nu-nteleg ce-are lumea cu XPul http://www.telegraph.co.uk/news/2017/06/27/hms-queen-elizabeth-running-outdated-windows-xp-software-raising/
XP-ul desi unul dintre cele mai solide versiuni de windows de pana acum, nu mai beneficiaza de mult de support de la Microsoft si implicit de la alti producatori soft/hard. Asta inseamna de exemplu ca drivere oficiale pentru componente noi nu exista, deci te descurci cum poti (mai pui un driver generic, incerci cu unul de la un device mai vechi, etc). N-ar fi o problema in sine, dar e posibil ca device-ul repsectiv sa nu mai functioneze asa cum era prevazut, ceea ce poate duce inclusiv la probleme de securitate.
Asta e politica generala dar in cazuri speciale – adica pentru clienti foarte importanti – Microsoft ofera patch-uri de securitate si pentru XP. Dar, intr-adevar, nu e o situatie ideala.
Mai ingrijorator mi se pare ca sereistii se ocupa de securitatea cibernetica a astora 🙂
Oare de securitatea cibernetica a sereistilor cine se ocupa, ca astia’s cam ocupatzi cu munca, rezultatele pozitive ale muncii lor fiind vizibile in general la tot pasul prin toata Romania
Pe de alta parte e cacam complicat pt ca Ukr e infectata de agentzi sau simpatizantzi sovietici, baga unul un stick, manareste OSul sau le deschide unul niste porturi si se alege praful de toata securitatea
Doar nu vroiai ca de securitatea cibernetica a Ucrainei se se ocupe… SIE. Ar vrea ei/noi.
Cat despre baietii cu stickuri, poate ca Romania are mai putini simpatizanti de-ai ursilor (poate, ca asa-i discursul oficial), dar ametiti care incalca regulile in fiecare zi sint cu duiumul.
Depinde si cat de mult sunt implicati acolo romanii si ceilalti aliati NATO, insa cu siguranta ca principalii aparatori ai Ucrainei, trebuie sa fie chiar specialistii ucraineni.
Indiferent daca ne-am facut bine treaba sau am avut grave carente, este esential ca aceste ‘bube’ sa fie descoperite pe pielea altora nu pe a noastra. Si da, pot sa dea cat or vrea in KIEV, parca tot mai bine suna decat sa dea direct in nou, asa cum au facut-o cu britanicii. Dacia Pitesti e alta mancare de peste, acolo sunt implicatii francezii si pana una alta vorbim de privati. Pe noi ne intereseaza mai mult institutiile statului roman si agentiile /subsidiarele sale.
Deja de acum se anunta vremuri grele pentru toti, inclusiv pentru noi. Nu cred eu sa nu ajungem intr-o buna zi sa fim primii vizati de un asemenea atac. poate ca nu o sa fie NK in spate, insa de Kremlin nu am nicio indoiala. iar lectia/experienta ucraineana e un ff bun exemplu pentru noi, fie ca piederm, fie ca o sa castigam aceste lupte.
Multi ochi sunt deschisi acum prin serviciile noastre!
@Cezare
-“Multi ochi sunt deschisi acum prin serviciile noastre!” … or fi bre si asta inca de mult timp, da’ ce facem cu haidamacii ajunsi vremelnic pe treptele puterii care primesc rapoartele astora si nu iau nicio masura ?
Degeaba ochii si urechile noastre functioneaza la capacitate normala daca informatia se opreste pe undeva pe subt* biroul vreunui mahar mare unde da nas in nas cu secretara obligatoriu blonda cu gura plina… Tu crezi ca secretara aia mai poa’ sa vorbeasca cand are gura plina?
@dany,
Pai vezi tu……fix tot ei, veselii baieti cu ochii albastri trebuie sa gaseasca o solutie practica sa rezolve aceste probleme. Pana acum nu au facut-o, insa niciodata nu e prea taziu, dovada ca desi maharii si baronii se impotrivesc din toti ranunchi, DNA-ul tot ii baga la bulau, iar serviciile au incontestabil meritele lor. Poate ca ar fi cazul sa incerce si altfel de metode, ceva mai delicate! Daca reusesc sa obtina imagini si sunet cu contactul intre gura plina a secretarei pe post de amanta si barbatia factorului politic decizional, ar putea sa influenteze decisiv luarea anumitor decizii….inspre binele tari, bineanteles, nu ca pana acum, in nume personal, cum au mai facut unii sau altii…aka sarpele cu ochelari e.t.c.
Umii mai au fetisuri, altora le plac barbatii desi nu recunosc asta sau apeleaza pe ascuns la nevestele altora, altii poate isi ofera nevasta de bunavoie pentru placerea personala, se gasesc solutii de la caz la caz, vointa sa fie. Si sa nu uitam ca exista si variante mai putin soft….doar sa se vrea!
ok, atata numai ca eu nu-mi dau seama nicicum, ca ii tot baga la bulau si astia tot ies! mai sa fie, o fi vreo crepatura pa undeva…
cica mai nou se sustine guvernul cu TARIE! asa ie regula! ce sysadmini, ce wormi, torni niste horinca prin sistem si gata, se dezinfecteaza 🙂
Cu siguranta hibe sunt, mai ales in justitie. Timpul le rezolva pe toate, insa nimic nu vine de la sine, ci cu multa multa munca. Sa nu uitam ca multi dintre maharii aia batrani au facut parte din vechea securitate, au multe relatii si cunostinte, inclusiv sunt instruiti de cum sa evite sa pice in plasele celor care ii pandesc, fie ei din justitie sau din servicii. E un sistem care se curata greu dar se curata. Eu sunt de parere ca justitia este infiltrata masdiv de fostii securisti, de aia ‘pedepsele’ astea blande pentru multi politruci. A se vedea diferente dintre un sarac ce ia 7 ani pentru o rata sau un cablu furat, si un afacerist ce ia 2 – 3 ani pentru ca a ‘indoit’ bugetul de stat si a sifonat banul public ptin N contracte cu statul s.a.m.d.
Este mult de vorbit pe tema asta!
@Cezar eu cred ca iti faci iluzii amare… daca macar jumate din cei plecati din tara s-ar intoarce am mai avea o sansa. cum nu se va intampla, concluzia o trage fiecare. da, gardul e spoit, cu siguranta mai sunt baieti si fete bine intentionati, insa atentie, astia sunt lasati doar la vopsit si eventual batut ceva cuie sa nu se darame sandramaua. la leopard e acces denied.
singura sansa: rm -rf / si de la inceput!
si ca sa fiu on topic,
http://www.hotnews.ro/stiri-international-21844826-agentii-straine-spionaj-efectueaza-atacuri-impotriva-rusiei-acuza-putin-sediul-svr.htm
“Agentii straine de spionaj efectueaza atacuri cibernetice impotriva Rusiei, acuza presedintele rus Vladimir Putin, relateaza The Associated Press.”
astia, ciolovecii adicatelea is ca tziganii aia de-i prinzi de mana de la tine din buzunar si care imediat incep sa urle dupa ajutooooooor, sariti ca ma omoara samd si etc
rm -rf?
As zice mai curand ca atunci cand stai in ploaie te mai si uzi.
Shit happens.Mai ales cand oponentii (probabil rusii) stiu meserie.
Romania e lead nation, insa alaturi de ai nostri acolo sunt si specialisti din alte tari, inclusiv din SUA.
Mai ingrijorator mi se pare faptul ca Ro nu face parte din Centrul de Excelenta Cyber Defence al NATO, unde in afara de americani sunt si englezii, foarte selectivi si reticenti in a participa la centre de excelenta.
Usor sarcastic tonul articolului, patinare pe motivul “iar am dat-o-n bara” din Miorita, nu? 🙂
Miorita e “iar o s-o dam in bara”. Postarea asta e ceva de genu’: “om fi dat-o in bara acum, important e sa recunoastem si sa tragem concluziile ca sa n-o dam in bara si in viitor”.
Daca ar fi mentionat cineva, pe undeva, oriunde, ca Romania conduce proiectul respectiv, nu ar fi fost nevoie de postarea asta. Asa, i-am simtit lipsa. Adevarul, apa rece si dintii lui Iorga.
N-am vrut sa iasa usor sarcastic, probabil se apropie Sambata (optimist) si am lasat-o mai usor.
rm -rf?
Linux joke. Echivalentul clasicului “format c:”. Sau a anticului “tabula rasa”