Cap2. Categorii de amenintari (Site -urile de tip phishing, [632158]

1
Cap2. Categorii de amenintari (Site -urile de tip phishing,
malware, spam -uri, dispozitivele mobile, amenintari
transfrontaliere).
Troieni, malware, ransomware etc
Software -ul malware este un software rău intenționat, acesta fiind un termen
general folosit p entru a descrie toate felurile de viruși, viermi (worm) sau spyware
care sunt în mod special concepuți pentru a provoca daune la sisteme informatice
sau a extrage informații din interiorul acestora .
Categorii de malware:
a. Virușii informatici reprezintă doar una dintre cate goriile de programe rău
intenționate ce pot infecta computerele . Un virus informatic este un
program care, odată introdus într -un sistem informatic , se atașează, în
general, de fișiere executabile, iar la deschiderea acestora virusul se
răspândește și la alte fișiere. În general, acesta este creat pentru a executa
și alte instrucțiuni nu doar de a se răspândi la alte fișiere.1
b. Aplicațiile Worm ("vierme") sunt program e capabil e să se răspândească în
mod autonom, fără a fi necesar ă atașarea lor de alte programe din
sistemul informatic . Acestea utilizează foarte mult din lărgimea de bandă
necesară transmiterii de date, rezultând încetinirea sau chiar blocarea
traficul ui de internet .
c. Aplicația Troian (numele îi revine de la ” Trojan horse ”, povestea calu lui
troian din mitologia greacă ) este un program dăunător disimulat într-unul
de bună intenție . Acesta este prezentat ca fiind un fișier inofensiv și util
sistemului informatic atacat . Aceste tipuri de malware pot f i utilizate pentru
a creea un „backdoor ”2 ce va fi folosit de diverse entități pentru a accesa
sistemul informatic.
d. Rootkits sunt tehnici folosite pentru a ascunde faptul că au fost instalate
diferite programe nedorite . Astfel, în cadrul acestor operațiuni este
modificat sistemul d e operare al computerului -gazdă iar programul
malware va fi disimulat cât mai eficient încercându -se ascunderea față de
sistemele de detecție. Acest ea pot conține ins trucțiuni care îngreunează
ștergerea lor.
e. Spyware este un tip de malware , care, odată instalat pe un sistem
informatic adună informații despre acesta și le face accesibile atacatorilor .
Acest a poate utiliza info rmațiile în propriul lor interes pentru a cunoaște
credențialele de acces la diferite sisteme sau conturi bancare sau pentru a
creea un profil al utilizatorului sistemului informatic infectat pentru a -i oferi
mesaje publicitare de interes .

1 http://www.descopera.ro/capcanele -internetului/9604415 -internetul -sub-amenintare -virusii -informatici
2 o bresă în securitatea sistemului informatic

2
Rețeaua de tip botnet se referă la o rețea de sisteme informatice infectate cu
software malware de tip bot, software ce permite unor persoane rău intenționate să
preia controlul acestora fără cunoștința proprietarilor de drept și să le utilizeze pentru
a lansa atacuri cibernetice asupra unor terți. Prin intermediul rețelelor de tip botnet se
desfășoară în mod curent activități ilegale cum sunt atacurile informatice de tip DDoS
sau trimiterea de mesaje spam. În general, rețeaua de tip botnet este creată prin
propagarea pe internet a unui malware care facilitează accesul neautorizat la
diverse sisteme informatice. În mediul online se pot cumpăra rețele de botnet , astfel
prețul unei rețele compusă din 50.000 de sisteme informatice este de aproximativ de
4.600 de dolari. Un atac de această avergură ar p utea avea succes asupra oricărei
infrastructuri cibernetice.
Datorită faptului că programele malware evoluează încontinuu, devenind tot
mai eficiente și greu de detectat, este nevoie de o dezvoltare cel puțin la fel de rapidă
a sistemelor de protecție menite să protejeze sistemele informatice de atacuri
cibernetice. Astfel, se poate spune că vorbim despre o ”cursă a înarmărilor” între cele
două tabere, miza fiind o lume dominată în mare m ăsură de tehnologie și internet ,
unde trecerea de la agresor la victimă și viceversa se poate face instant.

Dezvoltarea tehnologic ă și conectarea la In ternet a sistemelor inteligente
existente în viața cotidiană.
În ultima perioadă de timp se observă o dezvoltare a pieței de sisteme
inteligente conectate la internet (IoT)3, dar și a faptului că aceste sisteme IoT sunt
considerate o breșă în peisajul tehnologic, deoarece nu oferă posibilitatea de a
modifica setările și au o minimă interfață și își fac update -uri fără știrea posesorilor.
Mai mult, au abilitatea de a face upload fără a anunța utilizatorii în prealabil. Astfel,
aceste si steme IoT sunt văzute ca o vulnerabilitate, de care se vor putea utiliza
entitățile criminale pentru a produce pagube în mediul online cu repercusiuni directe
în viața de zi cu zi a fiecărei persoane. O astfel de utilizare a avut loc în data de 21
Octombri e 2016 când a fost lansat un atac D DoS asupra serverelor companiei Dyn4
care controlează o mare parte din infrastructura c e oferă nume le domeniilor de
internet (DNS). Serverele țintă au fost cele de DNS (Domain Name System)5. Cum
orice pagină web utilizează un serviciu DNS este absolut necesară funcționarea
acestora pentru accesarea paginilor web.
Atacul a constat în utilizarea unei rețele de tip Botnet , formată din sisteme IoT.
Pentru infectarea sistemelor anterior menționa te s-a utilizat malware -ul Mirai, care a
fost proiectat să preia controlul software -ului BusyBox, frecvent utilizat în

3 Internet of Things , formată din autoturisme, camere foto, routere, mașini,
electrocasnice, sisteme de iluminat, dispozitive mobile, portabile, recordere video
digitale, camere de supraveghere conectate la Internet .
4 https://www.theguardian.com/technology/2016/oct/26/ddos -attack -dyn-mirai -botnet
5 Acestea fac legătura între denumirea site -ului și adresa IP fizică unde se găsește informația de pe
site.

3
dispozitivele respective deoarece este rudimentar și ușor de utilizat . Astfel, după
preluarea controlului asupra acestor dispozitive conectate la internet, le -au utilizat în
lansarea atacurilor D DoS asupra serverelor companiei americane Dyn. Codul sursă
al malware -ului Mirai a apărut în mediul online, ceea ce oferă posibilitatea unui nou
val de atacuri utilizând acest tip de software datorită accesării de către public larg și
posibilității modificării acestuia.
Ca urmare a acestui atac , serverele Dyn au fost indi sponibile și astfel,
numeroase site -uri ale unor entități private nu au putut fi accesate printre care
AirBnb, Amazon, CNN , Github, the Guardian, HBO Now , Imgur, Netflix, PayPal,
Pinterest, Playstation, Reddit , Twitter, Spotify, Xbox .

Fig. X – Efectele atacului DdoS asupra SUA

Astfel de atacuri DDoS au mai fost realizate și în septembrie 2016, când
victimă a fost site-ul „KrebsonSecurity ”, atunci atacul a atins un n ivel constat de
aproximativ 620 gigabiți pe secundă cu vârfuri de date transmise chiar și la o viteză
de un terabit pe secundă , fiind recunoscut ca cel mai puternic atac DDoS înregistrat
până în prezent . Alte atacuri similare au fost în aceeași lună asupra companiei
franceze de hosting OVH dar și în 2015, când rețelele Xbox Live și PlayStation
Network au devenit indisponibile.
Programe malware care au oferit un start în criminalitatea informatică și care
au fost răspândite preponderent prin intermediul internet -ului:
 ILOVEYOU a fost un worm dezvoltat în Filipine și care a infectat inițial
computerele prin e -mail. Prezentându -se sub forma unei scrisori de
dragoste de la un admirator secret e-mail-ul purta un atașament care,
odată deschis , se autocopia și ascundea copiile în diverse fișiere din
computerul victimei . Acesta înlocuia diferite fișiere cu copii ale sale dar
avea și funcții de a se transmite singur prin e -mail, a șterge fișiere, a

4
descărca de pe internet aplicații capabile să înregistreze parole le introduse
în acel sistem și să le transmită către terțe persoane . La momentul
respectiv, î n Filipine , nu existau legi care să pedepsească infracțiunile
informatice, astfel că , deși a fost cercetat ă o persoană numită Onel de
Guzman, suspectat pentru crearea programului malware, a fost achitat din
lipsă de probe. Conform unor estimări, virusul ILOVEYOU ar fi produs
pagube de cca. 10 miliarde USD.
 Melissa a fost creat de americanul David L. Smith în 1999, și a fost unul
dintre primii viruși care a atras atenția publicului. Se răspâ ndea prin e -mail
și odată deschis mesajul, virusul se auto replica și era transmis la alte
persoane din lista de contacte a utilizatoru lui. Acesta a provocat o
aglomerare a traficului de e -mail, astfel, unele companii și-au sistat
trimiterea de m esaje e -mail pâ nă la îndepărtarea virusului.
 Klez a apărut în 2001 și a avut o activitate timp de câteva luni. O noutate
oferită a fost faptul că, diferiți hackeri pornind de la acest program malware,
au creat și alte versiuni asemănătoare . Astfel, î n funcție de variantă, Klez
putea acționa ca un virus obișnu it, worm sau ca un troian. Aceste variante
aveau diferite metode de manife stare astfel că puteau dezactiva siste mul
anti-virus al computerului, puteau face computerul infectat inutilizabil,
provocau blocarea email -ului din cauza numărului uriaș de mesaje sosite
într-un timp relativ scurt, ca urmare a faptului că erau programate să trimită
masiv mesaje de tip "spam" de pe adresa însușită fraudulos a unui contact
real. Datorită faptului că au existat mai multe variante a făcut dificilă
studierea acestuia și găsirea unei metode de rezolvare.
 Code Red și Code Red II au apărut în 2001 și exploatau vulnerabilitățile
sistemelor de operare ale computerelor ce utilizau sistemele de operare
Windows 2000 și Windows NT. Modul de acționare al acestora era de a
crea un „backdoor ” care permitea unui cracker să acceseze și să
controleze computerul, acesta fiind folosit chiar și pentru a comite
infracțiuni , astfel, victima pu tea fi acuzată și de delicte pe care nu le
comisese .
 Nimda a apărut în anul 2001 și a fost un worm destinat să infecteze
serverele, încetinind considerabil traficul pe internet. Una dintre
caracteristicile sale a fost viteza foarte mare cu care se răspândea, iar
faptul că infecta serverele a determinat colapsul unor rețele de computere.
 SQL Slammer/Sapphire a fost un virus al serverelor care, a provocat în
anul 2003 pagube estimate la 1 miliard USD. Acesta a fost cauza ce a dus
la căderea serviciului de bancomat e al băncii Bank of America, probleme
cu serviciul de apeluri de urgență 911 î n Seattl e sau erori în sistemul de
emitere a biletelor de avion electronice .
 Storm Worm , cunoscut și sub numele de Nuwar, a debutat în 2006 și este
un troian care permite controlul de la distanță al computerelor de către
crackeri , care ulterior le folosesc pentru a trimite email -uri spam . A avut o

5
răspândire foarte largă, dar a fost relativ ușor de îndepărtat cu ajutorul unor
programe anti -virus obișnuite.
Atacuri cibernetice cu potențiali actori statali ca atacatori.
1. StuxNet reprezintă primul atac cibernetic care a produs pagube de ordin
fizic, acesta fiind c onsiderat printre cele mai c omplexe programe software
malițioase. StuxNet a fost infiltrat în rețeaua centr alei nucleare din Nataz,
Iran, iar m isiunea acestui software era de a deter iora gradual agregatul de
centrifugă folosit pentru îmbogățirea uraniului , fiind descoperit în 2010 .
Astfel, dacă acest atac cibernetic avea succes atunci putea produce un
dezastru nuclear. Ținta acestui atac a fost sistem ul computerizat al
centralei care era format din terminale ce utilizau sistem e de operare
Microsoft (Windows) și un sistem de control industrial produs de către firma
Siemens. Totodată, nici-una dintre rețe le nu era conectată la internet,
astfel, c el mai probabil, StuxNet a fost introdus în rețea , intenționat sau
fără a se cunoaște acest detaliu, de către un angajat al centralei nucleare.
Odată activat, StuxNet se comporta ca un vierme informatic, adaptându -se
rețelei și schimbându -și proprietățile pentru a nu fi detectat de programele
antivi rus sau firewall, replicându -se până ce identifica softul care controla
sistemul de centrifugă. Acesta însă trimitea seturi de informații către
serverul care îl controla pentru a livr a beneficiarului o mai bună cunoaștere
despre rețeaua centrale i nucleare iraniene în ansamblu . Alterarea
funcționării sistemului de centrifugă a fost realizat prin diminuarea
periodică, a frecvenței de rotație în timp ce acest fapt era ascun s astfel
încât toate echipamentele de protecție să raporteze că sistemul
funcționează la parametrii normali. În cele din urmă, inginerii iranieni au
descoperit viermele StuxNet iar vulnerabilitățile sistemel or au fost
remediat e de către firmele Microsoft și Siemens .
Comportamentul virusului a scos la iveală aportul de resurse investite în
proiectul StuxNet . Astfel , software -ul malițios nu putea fi realizat fără
implicarea unui potențial intel ectual și financiar foarte mare . În plus, modul
în care a fost infliltrat în rețea acest virus indică un posibil aport al
serviciilor de intelligence care au reușit să își stabilească contacte cheie în
interiorul centralei, astfel, această desfășurare de forțe ar fi fost aproape
imposib ilă pentru o simplă grupare de hackeri. Se poate concluziona că
probabil itatea cea mai mare este ca operațiunea să fi fost susținută de un
actor statal ce urmărea încetinirea sau stoparea programului nuclear
iranian. După aceste acțiuni principalii actori statali suspec tați au fost SUA
și Israelul.
2. Importante operațiuni în mediul online au avut ca și posibil actor statal
Rusia . Acestea au fost asupra Georgiei în anul 2008 în perioada conflictului
militar dintre cele două state. Astfel, ca urmare a atacurilor armate din
Ossetia de Sud a fost demarată o campanie din partea Rusiei prin care au
fost atacate site -urile guvernamentale georgiene. Majoritatea actelor au

6
implicat vandalizarea site -urilor țintă prin publicarea de colaje d e poze care
alăturau imaginea lui Adolf Hitler cu cea a președintelui georgian în scop
propagandistic. Alte etape au implicat derularea de atacuri DDoS care au
dus la incapacitarea mai multor site -uri guvernamenta le și media, dar și
lansarea unui site care încuraja publicul să descarce instrumente menite să
perturbe spațiul cibernetic georgian6. De altfel, atacatorii și-au luat și măsuri
de precauție înainte de începerea campaniei online și au blocat un forum
utilizat de hackeri i georgieni, pentru a preîntâmpina mobilizarea acestora
cu scopul de a se răzbuna7. Astfel, războiul din Georgia este posibil prima
manifestare a unei strategii hibride în contextul unui conflict armat dintr e
două state .
Una dintre cele mai mari campanii de spionaj cibernetic descoperit până în
prezent este RedOctober . Astfel, î n anul 2007, o echipă de experți ai
Kaspersky a demarat investigații asupra amenințărilor cibernetice care pot
viza misiuni diplomatice. În mai puț in de o săptămână aceștia au identificat
o rețea de boți (botnet) care , prin natura informațiilor pe care le căuta
prezenta un comportament atipic față de cele descoperite până la acel
moment. În urma investigării detaliate, a fost descoperită și originea
declanșării unei ast fel de rețele, indicată fiind Federația Rusă, deși
servere le care participau la atac au fost identificate în mai multe state
europene. S -a constat că misiunea campaniei RedOctober era de a ținti
instituții diplomatice și guvernamentale, fiind primul program autentic cu
abilitatea de a exfiltra informații clasificate. Era programat să extragă
documente cu extensii din familia „aci d” (.acidcsa, .aciddsk , .acidpvr,
.acidppr , .acidsca , .acidssa), aceasta fiind marcă a software -ului „Acid
Cryptofiler”, utilizat de autorități și insituții, inclusiv din cadrul Uniunii
Europene și NATO8. Datorită a cestei capacități a programului se
presupune că dezvoltatorii lui au fost membrii ai unei comunități de
intelligence cu resurse fizice și tehnice foarte mari.

6 Data Exchange Agency, Cyber Attacks Against Georgia, Ministry of Justice of Georgia, 2011, p. 11
7 Keizer G. (2013), Russian Hacker ‘Militia’ Mobilises to Attack Georgia, Computer World, November,
2013. http:// www.computerworld.com/s/article/9112443/Russian_
hacker_militia_mobilizes_to_attack_Georgia.
8 Operation „Red October”: Indicators of Compromis e and Mitigation Data, Vers. 1.4, Kaspersky LAB
(http://kasperskycontenthub.com/wp -content/uploads/sites/43/vlpdfs/redoctober –
indicatorsofcompromise.pdf)

7

Figura 1. Țările care au fost victimele operațiunii cibernetice ”RedOctober”
conform firmei de securitate cibernetică Kaspersky.
3. China s-a făcut cunoscută pe planul securității și atacurilor cibernetice prin
investițiile și numeroa sele proiecte în moderniza rea capacitățilo r
informatice militare, având drept rezultat atingerea capacității operaționale
și tehnice pentru a demara operațiuni de spionaj cibernetic. Actorii chinezi
reprezintă unii dintre cei mai activi autori ai spionajului economic, astfel că
numeroase companii americane și mulți specialiști în securitate cibernetic ă
au identificat un număr masiv de atacuri informatice lansate din China.
În februarie 2011, un raport9 al companiei de securitate McAfee a relevat
faptul că prin intermediul a mai multor adrese IP localizate în China s -au
exfiltrat date din sistemele computerizate ale companiilor specializate în
domenii de interes economic precum extracția de petrol și gaze naturale,
energie sau petrochimie. Această operațiun e a purtat denumirea de ” Night
Dragon ” și a început în noiembrie 2009, când, angajații companiilor au
devenit țintele ingineriei sociale sau a emai l-urilor de tip spear -phishing.
Scopul intruziunilor a fost de a obține informații sensibile despre companiile
adverse din domeniile anterior menționate.
Începând cu anul 2010 mai multe firme precum VeriSign iDefense,
Mandiant sau Google au identificat și acuzat guvernul Chinez cu priv ire la
implicarea în diferite atacuri cibernetice precum poziționarea financiară a

9 http://www.mcafee.com/in/resources/white -papers/wp -global -energy -cyberattacks -night -dragon.pdf

8
unei companii chinezești la vânzarea către firme americane sau
intruziunea în rețeaua Google.
Se remarcă însă și două operațiuni lansate în 2009 denumite Nitro și
Aurora, acestea având posibil inițiator guvernul chinez.
Operațiunea Nitro viza o serie de atacuri cu scopul de a exfiltra informații
sensibile10, astfel, în prima jumătate a anului 2009 au fost lansate atacuri
asupra unor organizații din China care militau pentru drepturile omului dar
și asupra unor companii din domeniul auto -moto și industria chimică.
Companiile țintă se aflau în topul celor mai bune în domeniul cercetării și
dezvoltării în industria chimică și a materialelor speciale cu aplicabilitate în
construcția de tehnică militară. O vulnerabilitate a aceste operațiuni
demarate, care a dus și la descoperirea și blocarea de către compania de
securitate informatică Symantec a virusulu i, a fost modul de operare , care
era similar cu alte operațiuni cibernetice efectuate anterior de China. Astfel ,
programul software rău intenționat era disimulat în actualizările unui
software de securitate, iar, după instalare , se introducea un virus cal troian
cu rol de „backd oor” pentru facilitarea intruziunii nedetectate în rețeaua
sistemului informatic. În acest timp , virusul capta parolele și cred ențialele
de acces introduse în rețea ua respectivă facilitând accesul la rețea ua
centrală , dar ș i alte informații din sisteme , urmând a fi transmise ulterior la
entitatea care a inițiat atacul.
Scop ul principal al operațiunii Aurora era interes ul politic al guvernului
chinez . La începutul anului 2010 , firme precum Google și Adobe au
raportat mai multe atacuri cibernetice precum spargerea conturilor de
Gmail aparținând unor disidenți chinezi din Statele Unite, Europa și China
dar și asupra a aproximativ 30 de companii care foloseau serviciile Adobe.
O altă investigați e a fost condusă de firma de securitate McAfee și a indicat
că scopul principal al atacurilor a fost de a obține acces la aplicația
Periscope , ace asta ținând evidența versiunilor de software instalate pe
anumite sisteme informatice. Astfel, se viza cunoașterea versiunilor de
software instalate și prin intermediul „vulnerabilităților 0 -day”11 ale acestora
să se producă pagube . La fel ca în cazul Nitro, au fost identificate
elementele de modus -operandi ce au indicat originea atacului ca fiind din
partea Chinei . Astfel , utilizatorul sistemului informatic infestat primea un
mesaj care părea să provină de la o sursă de încredere, iar la accesarea
link-ului scris în acel mesaj era direcționat către un server de unde era
descărcat un progr am malware disimulat într -un fișier asemănător unei

10 Eric Chien and Gavin O’Gorman, The Nitro Attacks, Stealing Secrets from the Chemical Industry,
Symantec Security Respond, 2011,
www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/
the_nitro_attacks.pdf.
11 vulnerabilități pentru car e nu există o altă variantă de software care să remedieze eroarea de
programare a software -ului.

9
fotografii.12 Acest fișier crea o legătură directă, sub forma unui „ back door” ,
între computerul operatorului și un server localizat în Taiwan , astfel se
oferea acces total hackerului la sistemele informatice prezente în rețea.
La rândul lor, oficialii chinezi se tem că SUA a re acces la rețelele lor.
Aceștia consideră că, prin utilizarea produselor dezvoltate de companii
americane, precum Cisco sau Microsoft, NSA (Agenția Națională de
Securitate din SUA) are acces total la rețeaua lor. Acest lucru fiind atribuit
faptului că produsele respective sunt do tate cu breșe de tip „backdoor” ce
permit servic iilor americane să le acceseze.
Atacuri cibernetice la adresa României
Conform datelor oferite de CERT -RO13, în România există numeroase sisteme
informatice ale utilizatorilor privați care infectate cu diverse tipuri de aplicații malware.
Astfel, sunt folosite în cadrul unor rețele de tip „Botnet” și utilizate pentru a iniția
atacuri cibernetice a supra altor sisteme informatice . Totodată, asupra României au
fost efectuate și atacuri cibernet ice, împărțite astfel:
1. Atacuri cibernetice efectuate de entități statale
a. Operațiunea „ RedOctober ”, care a afectat și România, a fost calificată
de către Serviciul Român de Informații drept cel mai puternic atac
informatic din ultimii 20 de ani. Cu toate că acest atac a vizat doar 4
clase de IP -uri, totuși s -au accesat informații sensibile de natură
confidențială ce aveau legătură cu geostrategia României, resursele
naturale și politica externă din zona Mării Negre sau despre spațiul
economic din această zonă.
b. Un alt atac cibernetic asupra României a fost realizat în 2013 cu
ajutorul programului malwa re MiniDuke , specializat în a ataca
organizații guvernamentale și instituții din întreaga lume, unele dintre
ele fiind instituțiile guvernamentale din Ucraina, Belgia, Portugalia,
Cehia și Irlanda dar și institute de cercetare din Ungaria.
c. Operațiunea de spionaj cibernetic Epic Turla a afectat România în
2014 , iar conform celor de la Kaspersky, „operațiunea de spionaj
cibernetic Epic Turla ataca instituții guvernamentale d in România”, țara
noastră având printre cele mai multe sisteme informatice infecta te, în
număr de 15. Printre aceste victime se numărau și două ministere și
două instituții guvernamentale. Epic Turla era specializat în exfiltrarea
de date, inclusiv documentele de procesare t ext, foi de calcul și email –
uri. Conform Kaspersky, malware -ul era interesat de docu mente care
cuprindeau cuvinte cheie precum „NATO”, „dialog energetic UE” și
„Budapesta”.

12 McAfee Labs and McAfee Foundstone Professional Services, Protecting Your Critical Assets,
Lessons Learned from “Operation Aurora,” http://www.mcafee.com/us/r esources/white -papers/wp –
protecting -critical -assets.pdf.
13 Centrul Național de Răspuns la Incidente de Securit ate Cibernetică

10
Pe plan global au fost victime localizate în țări precum Franța, Statele
Unite, Rusia, Belaru s, Germania, România și Polonia, acestea
incluzând ministere și ambasade, ministere de interne, birouri
comerciale, contractorii militari si companiile f armaceutice de afaceri
externe.
Conform aceleași companii, Kaspersky, persoanele care au stat în
spatele dezvoltării malware -ului utilizat în operațiunea Epic Turla sunt
vorbitori de limba rusă și panourile de control ale software -ului foloseau
caractere chirilice ruse iar codul său include a cuvântul rusesc
„Zagruzchick”14. Acest fapt a lansta t ipoteza că în spatele atacului ar fi
Rusia, dar fără a exista dovezi , deoarece vorbitori de limba rusă se pot
regăsi și în alte țări, nu neapărat în Rusia. O altă companie de
securitate s -a abținut să atribuie un stat ca fiind agresor și a menționat
că Rusia s -ar putea număra printre victime.
2. Atacuri cibernetice efectuate de entități criminale
a. Malware -ul „Poliția Română ”, care avea serverul de comandă în
România și dispunea de 25 de limbi predefinte în care se putea afișa
mesajul, a afectat astfel utilizatorii din mai multe state. În România nu a
avut un impact foarte mare , aproximativ 8.900 de sisteme informatice
infectate din totalul de 267.000 la nivel internațional, iar din suma de
158.000 de dolari încasați de către infractori, doar 2.500 au venit din
România. Cel mai mult au contribuit victimele din Statele Unite,
aproximativ 32.000 de dolari . Modul de operare consta în afișarea unui
mesaj de informare în browser -ul victimei prin care era atenționat că
sistemul informatic al acestuia era blocat datorită descărcării de
materiale interzise , iar pentru deblocare este era necesară plata online
a unei ”amenzi”.
b. Troianul „Dyreza ”, activ doar atunci când un utilizator introducea date
confidențiale pe site -urile unor instituții bancare . Acesta fura
credențialele de autentificare ale conturilor utilizatorilor și astfel
efectuau operațiuni neautorizat în cont. Conform BitDefender, într-o
singură zi au fost transmise aproximativ 30.000 de email -uri cu virusul
respectiv, astfel mai multe sisteme informatice din România, Statele
Unite ale Americii, Marea Britanie, Irlanda, Germania, Australia și Italia
au fost afectate.
3. Atacuri cibernetice efectuate de entități extremiste sau teroriste , care au fost
exclusiv de tip „defacement” 15.
a. În 2014 în România au fost înregistrate atacuri cibernetice asupra site –
urilor care aparțin unor insti tuții de învățământ superior și de
administrație publică prin care se promovau mesaje islamiste radicale,

14 ” care înseamnă „boot loader „
15 Atacuri asupra unui website prin care se modifică aparențele vizuale ale paginii. Acestea sunt
atacuri utilizate frecvent ca o altfel de formă de vandalism de către protestatarii din mediul online.

11
anti-israeliene și pro -palestiniene. În 19 septembrie 2014 site-ul web al
Inspectoratului General al Poliției Române a fost ținta unui atac din
partea grupării de hackeri Anonymous România.
b. Anul 2015 a început cu atacuri cibernetice asupra României, astfel
gruparea de hackeri Security Crewz a derulat atacuri asupra site-urilor
web aparținând unor instituții publice, asociații și societăți comerciale .
Aceste atacuri a u vizat promovarea ideologiei Califatului Islamic, mesaj
susținut și de gruparea teroristă ISIS. Aceeași grupare de hackeri a
efectuat cu succes atacuri similiare asupra altor 300 de ținte din
Europa, Statele Unite ale Americii și Emiratele Arabe.
c. Același tip de atac a fost efectuat la data de 14 ianuarie 2015 de către
gruparea tunisiană de hackeri ”FallaGa Team – Tunisian Cyber
Resistance” asupra site -urilor web care aparțin Patriarhiei Române,
aceștia înlocuind conținutul site -urilor web cu mesaje de tip ideolog ic
pro-musulmane respectiv mesaje îndreptate împotriva statului francez.
Ca urmare a ofenselor aduse României de către publicația britanică „Daily
Telegraph” și cotidianul francez „Le Monde” , gruparea de hackeri denumită
„Romanian Național Security” a efectuat atacuri de tip „defacement” asupra site -urilor
celor două publicații . Alte atacuri efectuate de gruparea anterior menționată au fost
asupra site -urilor unor agenții de presă ungurești, inclusiv publicațiile „Magyar Hirlap”,
„Budapest Times” și au fost cauzate de gestului extremist efectuat de către Csibi
Barna .