ANALIZA UNUI ATAC CIBERNETIC

~ OPERAȚIUNEA DARK SEOUL~

 STUDIU DE CAZ: OPERAȚIUNEA „DARK SEOUL”

Într-o lume caracterizată de nenumărate schimbări, informaţia devine un

element incontestabil al puterii în special pentru cel care o deţine, civil sau militar,
individ sau organizaţie. Din acest motiv se poate spune că modul în care este
gestionată informaţia constituie un principiu de baza al acţiunii. Modul în care a
evoluat domeniul tehnologiei informaţiilor şi comunicaţiilor (TIC), descoperirile
recente din acest domeniu, precum şi abilităţile indivizilor sau organizaţiilor de a
manipula informaţia a condus la o schimbare majoră în ceea ce priveşte modul de
abordare a noilor tipuri de conflicte (războaie asimetrice/războaie hibrid).
Acest capitol prezintă un studiu de caz al operaţiunii „Dark Seoul” un atac
cibernetic din aprilie 2013, în care zeci de mii de calculatoare din Coreea de Sud,
aparţinând sectorului bancar şi mass-media, au fost compromise prin utilizarea de
malware distructive.

1. Obiectivele studiului

Obiectivul central al prezentului studiu de caz îl constituie analizarea

riscurilor și amenințărilor virtuale și consecințele produse de acestea asupra
mediului de securitate cibernetic. În acest scop, a fost analizat acest tip de riscuri și
amenințări din mai multe perspective care au contribuit la construirea unei imagini
de ansamblu cu implicații directe și indirecte asupra mediului de securitate
cibernetic internațional.
Prezența riscurilor și amenințărilor aparținând mediului virtual reprezintă un
factor proeminent în planificarea apărării și securității în secolul XXI. Implicațiile
acestui tip de pericole sunt semnificative și subliniază necesitatea evoluției
caracteristicilor de adaptabilitate și flexibilitate ale mediului de securitate pentru a
putea oferi un răspuns oportun și eficace. Asa zisul „război cibernetic” ca formă de
conflict constituie o provocare majoră la adresa concepțiilor referitoare la arta
războiului și modul de structurare convențională a forțelor. Pentru a putea înțelege
corect implcațiile unui conflict cibernetic și pentru a-l gestiona eficient este nevoie
ca întreg ansamblul de cunoștiințe referitoare la desfășurarea conflictului, bazat pe
exemple ale istoriei, să tranzacționeze cu noi informații, elemente și metode de
gândire creativă.
Un alt obiectiv de importanță majoră care stă la baza studiului de caz îl
reprezintă oferirea unor informații concise cu privire la aceste riscuri și amenințări,
iar pe baza lor, întocmirea unui sistem de contracarare eficientă a acestora. Acest
tip de conflict fără o formă bine definită va continua să pună la încercare și să
zădărnicească interesele securității în următoarele decenii.
 Prezentul studiu de caz evidențiază importanța imperioasă de a include
schimbarea în abordarea modului de operare, dezvoltarea permanenta a
programelor de „combatere”, structurarea forțelor, instruirea și educarea
personalului. Pentru a facilita succesul trebuie să se recurgă la o gândire inovativă
și la o adaptare constantă a mediului de securitate.
Conflictele cibernetice nu sunt un element de noutate, dar sunt foarte
diferite. În cadrul acestui tip de conflict, limitele de contur standard se obturează.
Combinația de forțe iregulare și convenționale, integrate operațional sau tactic,
constituie o mare provocare, dar din punct de vedere istoric, nu reprezintă neaparat
un fenomen unic. Majoritatea statelor se confruntă cu astfel de conflicte, atacuri
cibernetice având loc în fiecare minut, chiar și în acest moment, undeva, cineva
„atacă” fără ca noi să ne dăm seama.
Conflictele (atacurile) cibernetice presupun o traiectorie de lungă durată,
bazată pe elemente de înaltă tehnologie. Atacatorii vor învăța să atace mai rapid și
eficient, vor aborda noi metode de a pătrunde în sisteme, vor încorpora noi
tactici ,tehnici și proceduri de atac. Pentru a gestiona eficient atacurile cibernetice
nu trebuie ignorate vulnerabilitățile prezente sau subestimarea imaginației
antagoniștilor noștri, iar prețul pentru delăsare și neglijare devine prea costisitor.
Această monografie evidențiază necesitatea de a accelera propriile capacități de
învățare și adaptare, precum și crearea unor instituții adecvate noului mediu de
securitate.

2. Ipoteze

În cadrul studiului de caz, s-au avut în vedere următoarele ipoteze:

•Atacurile cibernetice au dobândit o creștere semnificativă, vizând toate statele
lumii;
•Într-un mediu caracterizat de iminența amenințărilor cibernetice, guvernele
trebuie să își amplifice performanțele prin îndeplinirea unor cerinte operaținale;
•Pentru a oferi un răspuns eficient este necesară comasarea eforturilor actorilor
la nivel regional și global;
•Ameninţările cibernetice necesită un răspuns atât politic, cât şi militar din
partea principalilor actori la nivel global (NATO).
Metodele folosite în cadrul cercetării au fost indirecte (observaţia,studiul
documentelor, baza documentară sau metoda bibliografică, metoda istorică, studiul
de caz). Prelucrarea datelor şi informaţiilor a fost realizată pe baza unor metode
cantitative şi calitative, iar interpretarea datelor şi informaţiilor s-a făcut având la
bază metode interpretative şi comparative, dar nu au fost neglijate nici alte metode.

3. Abstract al incidentului
 Atacul asupra grupului SONY din 2014 a fost foarte mediatizat, fapt ce a dus
omenirea cu gândul la războiul cibernetic. Însă ce nu ştie marea majoritate a
populației este că asemenea atacuri au loc aproape în fiecare minut. Un stat care se
confruntă cu asemenea atacuri este şi Coreea de Sud, care în primăvara anului
2013, a cunoscut cel mai distructiv atac cibernetic din câte au existat, cunoscut sub
numele de DARK SEOUL. La 20 aprilie 2013, Coreea de Sud a înfruntat un atac
simplu, dar coodronat printr-un program malware, ce a dat zeci de mii de
calculatoare din mass-media şi sectoarele de servicii financiare inoperabile. La
aproximativ ora 14.00, ora coreeană standard, mass-media a început să raporteze
căderi pe scară largă a reţelelor de calculatoare în special la trei mai posturi de
televiziune coreeană, KBS, MBC şi YTN. Întreruperile de reţea nu a afectat în mod
direct emisiunile din programa. Totodată băncile coreene Jeju, Nonghyup, Shinhan
şi Woori, precum şi mai multe filiale au raportat, de asemenea, întreruperile de
largă răspândite care afectează ATM-uri, terminale de plata şi serviciile bancare
mobile. Utilizatorii care încercau să repornească sistemele au constatat că deşi
acestea funcţionau la o inspecţie mai amănunţită hard disk-uri lor părea să fie
complet goale. Indiferent de sistemul de operare, Windows sau Linux, atacul le-a
afectat pe toate.
Serviciile publice şi agenţiile naţionale de securitate au lansat imediat o
investigaţie asupra atacurilor, care a arată că aproximativ 50.000 de sisteme au fost
inoperabile. Guvernul coreean a lansat o declaraţie în care indică faptul că
întreruperile au fost rezultatul unui atac deliberat cu ajutorul software-ului rău
intenţionat şi nu un atac DDoS.
Ceea ce este cu adevărat surprinzător sau fascinant este modul în care a fost
posibil acest lucru. Mai exact un grup de sud coreeni plătiţi de către nord coreeni,
au fost însărcinaţi ca în fiecare zi pentru un anumit timp să împartă pe stradă stik-
uri nou nouţe la toţi marii corporatişti care iesau de la muncă. Cred că oricine este
bucuros când cineva oferă gratis aşa ceva. Nu va pune prea multe întrebări însă va
zice mulţumesc. Ceea ce nu ştiau acei corporatişti este că pe acel stik aparent
sigilat se află un program malware, un virus, care odată băgat în calculatoarele
marilor corporaţii fură datele interne ale acestora. Pare un lucru banal însă situaţia
a fost foarte gravă.
Iniţial s-a crezut că atacul a fost dat de către un simplu hacker, însă
cercetătorii au descoperită că programul malware a fost defapt rezultatul unei
campanii de spionaj cibernetic purtat de guvernul Nord Coreean. Prin analiză
codurilor folosite şi urmărirea malware-ului utilizat într-o serie de incidente
aparent fără legătură, cercetătorii au putut să urmărească evoluţia tehnicilor
intruşilor şi să ajungă la concluzia că atacurile au reprezentat un atac vizat de către
Coreea de Nord.
 4. Tactici, tehnici și proceduri ale atacurilor

Indiferent dacă un atac este direcţionat sau nu, sau dacă atacatorul utilizează
marfă sau instrumente personale, atacurile cibernetice au un segment şi un număr
de etape comune. Unele dintre acestea vor îndeplini obiectivul lor, în timp ce altele
pot fi blocate. Un atac, în special în cazul în care este efectuat de către un adversar
persistent, poate constă în etape repetate. Atacatorul pune în mod constant presiune
pe punctele slabe, exploatându-le la maxim, astfel fiind mai aproape de scopul
final.
Etapele unui atac
O serie de modele de atac descriu etapele unui atac cibernetic (Cyber Kill Chain
produs de Lockheed Martin este un exemplu foarte popular 1). Am adoptat un
model simplificat în această lucrare, care descrie cele patru etape principale
prezente în cele mai multe atacuri informatice:
- Studiu - investigarea şi analizarea informaţiilor disponibile cu privire la ţintă,
în scopul de a identifica potenţiale vulnerabilităţi
- Livrare - ajungerea la un punct într-un sistem în care o vulnerabilitate poate fi
exploatată
- Breșa/Încălcarea - exploatarea vulnerabilităţii/vulnerabilităţi, pentru a obţine o
anumită formă de acces neautorizat
- Infectarea - desfăşurarea activităţilor în cadrul unui sistem care atinge
obiectivul atacatorului.
Atacatorii au demonstrat o varietate de capabilităţi, inclusiv email-uri de
phishing, variante ale BlackEnergy, programe malware şi manipularea
documentelor Microsoft Office care conţineau malware pentru a obţine un punct de
sprijin în tehnologia informaţiei (IT), reţele de electricitate ale companiilor. Ei a
demonstrat capacitatea de a obţine un punct de sprijin şi acreditările de recoltare şi
de informaţii pentru a obţine acces la reţeaua ICS (Industrial Control System).
 STUDIUL
Atacatorii vor folosi toate mijloacele disponibile pentru a găsi
vulnerabilităţi tehnice, procedurale sau fizice pe care le pot exploata. Ei vor
folosi informaţii open source, cum ar fi LinkedIn şi Facebook, servicii de
management/căutare de nume de domeniu, şi social-media. Ei vor folosi un set
de unelte, mărfuri şi tehnici, precum şi instrumente de scanare standard de reţea
pentru a colecta şi pentru a evalua orice informaţii despre calculatoarele,
sistemele de securitate ale organizaţiei şi a personalului. Eroarea de utilizator

1
www.lockheedmartin.co.uk/us/what-we-do/information-technology/cyber-security/cyber-
kill-chain.html
 poate dezvălui, de asemenea, informaţii care pot fi folosite în atacuri. Erorile
comune includ:
· Eliberarea de informaţii despre reţeaua organizaţiei pe un forum de suport
tehnic;
· Neglijenţă privind eliminarea proprietăţilor ascunse din documente, cum ar fi
autorul, versiunea software şi fişier.
Elemente tehnice ale STUDIULUI: Setările implicite ale sistemelor
informatice pot dezvălui o mulţime de informaţii utile despre software-ul care
rulează pe ele, şi modul în care acestea sunt configurate. Ele pot difuza o serie de
protocoale de reţea şi de canale de comunicare care pot fi exploatate în cazul în
care acestea nu sunt eliminate. Atacatorul va indică instrumente de scanare de reţea
de la reţea, pentru a încerca să identifice oricare dintre următoarele caracteristici:
· Porturi deschise
· Servicii deschise
· Setări implicite
· Aplicaţii vulnerabile a sistemelor de operare
· Mărcile şi modelele de echipamente de reţea
 LIVRAREA
În timpul etapei de livrare, atacatorul se va asigura că a ajuns într-o poziţie în
care pote exploata o vulnerabilitate pe care a identificat-o, sau care poate prezenţa
un anumit potenţial. Exemplele includ:
· Încercarea de a avea acces la serviciile online ale unei organizaţii (Atacul din
Ucraina);
· Trimiterea unui e-mail care conţine un link către un site rău intenţionat sau un
ataşament care conţine un cod rău intenţionat (Cazul Sony în 2014);
· Oferind un stick USB infectat (Operaţiunea Dark Seoul în 2013);
· Crearea unui site fals, în speranţa că un utilizator va vizită.
Decizia crucială pentru atacator este de a selecta cea mai bună cale de livrare
pentru software-ul rău intenţionat sau comenzile care vor permite spargerea
sistemelor de securitate. În cazul unui atac DDOS, ar putea fi suficiente pentru că
acestea să facă conexiuni multiple la un calculator, în scopul de a împiedică alte
persoane să acceseze calculatoarele.
 BREȘA
Dauna va depinde de natură vulnerabilităţii şi a metodei de exploatare. În
funcţie de metodă această poate permite să:
· Facă modificări care afectează funcţionarea sistemului;
· Accesul la câştig (conturile online);
· Realiza un control complet al computerului unui utilizator, cu o tabletă sau un
smartphone.
 După ce a făcut acest lucru, atacatorul ar putea pretinde că este victima,
astfel încât să folosească drepturile de acces pentru a intră mai adânc în sistemele
informatice.
Elemente tehnice ale BRESEI: Datorită vulnerabilităţilor multiple în ceea ce
priveşte sistemele IT, există o diversitate extremă de tehnici şi proceduri ale
încălcării/bresei. Cu toate că atacatorii continuă să dezvolte tehnici noi pentru a
expluata vulnerabilităţile, în mare parte aceştia reuşesc datorită erorilor făcute de
utilizator. Unele tipuri de atac sunt mult mai evidente sau mai uşor de detectat
decât altele. Atacurile DDoS sunt adesea repede observate de către utilizatorii
sistemului, deoarece lupta pentru a avea acces sau pur şi simplu nu se poate utiliza
serviciul vizat. Pe de altă parte, cele mai multe programe malware sunt proiectate
să fie ascunse, acestea fiind greu de detectat de către utilizator sau anumite
mecanisme.
 INFECTAREA
În funcţie de motivarea pe care o au, atacatorii pot încerca să exploateze
sistemele, extinzând accesul şi stabilind o prezenţa persistenţa (un proces numit
CONSOLIDARE). Preluarea contului unui utilizator, de obicei, garantează o
prezenţa persistenţa. Preluarea contului de administrator poate reprezenta aşa cum
numesc ei Sfântul Gral, datorită faptului că acest lucru le permite ca doar cu un
singur sistem să instaleze instrumente automate de scanare la mai multe reţele,
preluând controlul mai multor sisteme. Atunci când fac acest lucru ei vor avea o
mare grijă să nu declanşeze procesele de monitorizare a sistemului încercând chiar
să le dezactiveze pentru un timp. În funcţie de obiectivele lor, activităţile pe care le
urmăresc vor fi diferite, dar ele pot include:
· Preluarea informaţiilor care nu s-ar putea accesa, cum ar fi proprietatea
intelectuală sau informaţii sensibile din punct de vedere comercial;
· Modificări în beneficiul lor propriu, cum ar fi crearea de plăti într-un cont
bancar care le controlează;
· Perturbarea funcţionarii normale de afaceri, cum ar fi suprasolicitarea
conexiunii la internet a organizaţiei, astfel încât acestea să nu poată comunica în
exterior, sau ştergerea întregului sistem de operare de la calculatoarele
utilizatorilor.
După infectarea sistemului şi atingerea obiectivului, atacatorii vor îndepărta
cu grijă orice dovadă a prezenţei lor, sau în funcţie de priceprea de care dau dovadă
vor lasă o cale de acces pentru vizite viitoare, sau pentru alte persoane.

4.1 Livrarea în cazul Dark Seoul

 În urmă anchetei s-a stabilit că un malware banal, similar cu majoritatea
atacurilor de acest fel a fost cel care a cauzat atâta panică. Ceea ce este diferit la
acest malware este faptul că hackerii au folosit un număr de vectori diferiţi pentru
livrarea lui. Vectorul cel mai larg raportat a fost în utilizarea software-ului de
management al AhnLab2, software utilizat de marea majoritate a organizaţiilor
afectate. Se pare că atacatorii nu au compromis PMS (pachetul de management al
sistemului de calcul), dar în schimb au furat identităţi fapt care le-a permis să
acceseze cu uşurinţă orice sistem. Odată ce au avut acces, atacatorii au folosit
abilitatea PMS de a instala software-ul cu acces la nivel de sistem, ocolind astfel
nevoia de interacţiune cu utilizatorul sau vizibilitatea. Acest lucru le-a să livreze
malware în toate organizaţiile victima simultan, ascunse printre noul software şi
actualizări livrate de PMS.
Alte rapoarte au indicat faptul că unele victime au primit email-uri de tip
„spear phishing”3 la 19 martie, care conţineau o arhivă HTML rău intenţionată
ascunsă sub o dublă extensie. Cercetările efectuate de McAfee4 a relevat prezenţa
unui acces de la distanţă, un virus troian, denumit astăzi „3RAŢ”, pe mai multe
sisteme victima. Se pare că acest virus a avut un timp de compilare, fapt ce a
permis atacatorilor să aibă acces la reţelele victimelor cu cel puţin o luna înaintea
atacului propriu-zis. Acest lucru a dat atacatorilor timp suficient pentru a efectua
recunoaşteri de reţea, de a identifica sistemul de management al software-ului şi de
a obţine acreditările pentru a iniţia atacul. Virusul a fost folosit pentru a distribui în
mod direct programul malware prin intermediul reţelelor, care au folosit acelaş
software.
Malware - o nouă provocare a organizaţiilor
Una dintre principalele ameninţări ale unui sistem este programul malware
care se răspândeşte de la un calculator la altul, amplificând daunele. Traumele
provocate de astfel de programe pot fi foarte grave, devenint chiar de nesuportat
dacă acesta reuşeşte să ajungă la reţeaua de internet (ICS-Internet Connection
Sharing). Odată ce unul dintre sisteme este infectat, malware-ul se poate extinde cu
uşurinţă, în cele mai multe cazuri neobservat, în medii sensibile de înalta
securitate, generând perioade lungi de nefunctionare a sistemului.

2
AnhLab. Inc, este un furnizor de software de securitate din Coreea de Sud. Acesta vinde
software de calculator, cum ar fi software antivirus, securitate on-line, echipamente de rețea de
securitate, cum ar fi amenințarea avansată (malware), inclusiv atac cibernetic, firewall, IPS,
UTM și software-ul de securitate pentru jocuri on-line și pe web mobil.
3
Spear phishing = este un e-mail trucat, care vizează o anumită organizaţie, şi care solicită
accesul neautorizat la date confidenţiale.
4
McAfee, Inc. este o companie americană de software. Unul dintre cele mai importante
produse ale companiei este softul antivirus McAfee.
 Fig. 11 Atacul cu malware
Sursa: http://asec.ahnlab.com

4.2 Infectarea în cazul Dark Seoul

Indiferent de metodă de livrare, fiecare ţintă a primit un executabil

„dropper”, ce conţinea mai multe sarcini utile menite să extragă resurse din
directorul Windows/Temp. Cercetătorii au observat că au existat mai multe
variante ale malware-ului cu sarcini utile, fiecare având ceva diferit. Mai multe
analize ale atacului au raportat caracteristici diferite ale malware-ului, însă atunci
când toate aceste rapoarte sunt corelate, ele generează variante diferite de
„dropper”, cel puţin două pentru orice sistem de operare5.
Fişierul „dropper A” conţinea un executabil portabil de tipul „Bash scrips 6”
pentru Windows, cu fişiere concepute a şterge întreg hard disk-ul victimei, în mare
parte de la distanţă fără că acesta să fie detectat. Pentru a fi siguri de reuşită,
atacatorii i-au atribuit malware-ului o comandă specială, un „task-kill” pentru a
închide procesele asociate cu programele antivirus AhnLab frecvent utilizate în
Coreea, înainte ca acestea să pornească operaţiunea de curăţare a intrusului.
Fişierul „dropper B”, o altă varianta specială pentru Windows, care la rândul ei ar
5
ASEC Threat Research & Response Blog, Major broadcasters and Bank computer network
failure caused malware analysis, p. 9
6
Un script Bash este un fişier text ce conţine o serie de comenzi.
încerca să închidă un alt set de programe antivirus înainte că acestea să înceapă
operaţiunea de curăţare. Fişierul C este similar cu fişierul B, cu excepţia că acesta
injecta un cod în directorul System32, dezactivând astfel software-ul antivirus 7.
Fişierul unic reprezintă defapt un virus definit că user, astfel încât să păcălească
orice tip de sistem şi să pătrundă în întreg sistemul, făcând imposibilă accesarea
oricărui fişier.

4.3 Analiza atacului (malware-ului)

La scurt timp după ce au fost descoperite atacurile, două grupuri de hackeri

până acuma necunoscuţi şi-au asumat responsabilitatea pentru întreg atacul. În
zilele următoare atacului, s-a creat o imagine de ansamblu a tot ceea ce s-a
întâmplat. Astfel că la început chiar dacă părea un lucru banal, nesofisticat, datorită
produsului, caracterului distructiv al acestuia dar şi coordonării şi planificării în
amănunt a fiecărui detaliu a dus la cel mai mare atac cibernetic din istoria Coreei
de Sud. Când investigatorii au început reasamblarea jurnalelor de trafic de reţea de
la atac, au descoperit că diferite elemente ale atacului au fost lansate dintr-o
varietate de adrese, atât din interiorul cât şi din exteriorul Coreei de Sud. Fără a fi
ceva surprinzător, o serie de adrese care au accesat fişiere RPT 8 şi care au
compromis infrastructura au dus direct către Coreea de Nord. Diferite infrastructuri
au fost folosite pentru fiecare aspect al atacului, exploatând sistemele de gestionare
a software-urilor, altele servind drept comandă şi control pentru implantarea
virusului sau gazdă al programului malware.
În timp ce această abordare a oferit mai multe beneficii pentru atacatori,
aceştia nu au fost lipsiţi nici de anumite dezavantaje. Cu cât mai multe sisteme
utilizate într-un atac, cu atât mai multe locuri pe care un atacator trebuie să le
acopere în urmă lor, precum şi o mai mare probabilitatea că anumite probe
incriminatoare să fie lăsate în urmă. Obţinerea controlului şi menţinerea unei reţele
mari de infrastructură de intruziune este adesea dificilă şi consumatoare de timp,
ceea ce creşte tentaţia de a păstra aceeaşi infrastructură de-a lungul a mai multe
campanii. În luna aprilie 2013, purtătorul de cuvânt al Coreea Agency Internet
Security & Chun Kil-soo a anunţat că 22 dintre adresele folosite în atacuri au fost
folosite de hackerii din Coreea de Nord şi în 2009. În urmă acestei analize s-a
descoperit faptul că aproximativ 18 bucăţi de cod ale virusului au fost folosite în
atacurile nord coreene anterioare. Cercetătorii de la MCAfee LAbs au fost primi
7
ASEC Threat Research & Response Blog, Major broadcasters and Bank computer network
failure caused malware analysis, p. 4-8
8
Fişierul RPT este un fişier de raport realizat de Crystal Reports. Acest fişier utilizează
Microsoft Visual Elements care sortează şi filtrează informaţia în anumite fişiere, în funcţie de
necesităţi.
care au identificat în mod public prezenţa virusului troian 3RAT, lucru care le-a
dezvăluit totodată numele malware-ului precum şi posesorul acestuia.

5. Măsuri defensive

Bazat pe atributele comune ale diferitelor atacuri, instituţiile privind

securitatea cibernetică (CERT) stabilesc cele mai bune practici prentu a consolida
postura de securitate a sistemelor unei organizaţii în cazul unui atac malware.
Deţinătorii de infrastructuri critice şi resurse cheie (Critical Infrastructure and Key
Resources-CIKR), precum şi operatorii ar trebui să lucreze spre un model de reţea
elastic, care presupune că un astfel de atac va avea loc oricând şi al cărui scop este
de a minimiza daunele oferind diferite cai pentru restabilirea funcţiilor critice în cel
mai scurt timp posibil, prin:
- executarea de backup zilnic pentru toate sistemele critice, inclusiv cele offline
şi offsite;
- restaurarea periodică a datelor de rezervă, inclusiv a bazelor de date cheie
pentru a asigura integritatea backup-urilor şi a proceselor existente;
- stabilirea planurilor de comunicaţii de urgenţă;
- identificarea reţelelor critice şi garantarea de fişiere de schimb pentru a
restabili rapid serviciul;
- scanarea şi eliminearea fişierelor ataşate prin e-mail (spam);
- dezactivarea memorării cache pentru datele de contact.
Prevenirea, detectarea sau întreruperea atacului în cel mai scurt limitează
impactul de afaceri şi potenţialul de daune reputaţional. Odată ce atacatorii au
consolidat prezenţa lor, ei vor fi mai dificil de a găsi şi de eliminat. În mod normal
un atacator ar trebui să aibă o motivaţie solidă în a genera un atac. Pentru această şi
pentru a fi siguri de reuşită vor încerca să folosească instrumente şi tehnici care
sunt ieftine şi uşor de folosit.
Reducerea expunerii utilizând controalele esenţiale de securitate
Din fericire, există modalităţi eficiente şi accesibile pentru a reduce expunerea
organizaţiei la cele mai frecvente tipuri de atacuri cibernetice asupra sistemelor
care sunt expuse la Internet. Următoarele controale sunt conţinute în Cyber
Essentials, împreună cu mai multe informaţii despre modul în care să le pună în
aplicare9:
· Firewall-limita şi gateway-uri de internet - stabilirea perimetrului de apărare al
unei reţele, în special al web proxy, filtrare web, verificarea conţinutului şi a

9
Common Cyber Attacks: Reducing The Impact,
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/400106/
Common_Cyber_Attacks-Reducing_The_Impact.pdf
politicilor de firewall pentru a detecta şi bloca descărcările de executabil precum şi
stoparea comunicării directe a calculatoarelor cu internetul;
· Protecţie malware - stabilirea şi menţinerea apărării malware pentru a detecta
şi a răspunde la codul de atac;
· Administrarea patch-urilor - utilizarea celor mai recente patch-uri pentru a
preveni atacurile care exploatează bug-uri de software;
· Filtre anti-spam şi controlul execuţiei - capabile să prevină utilizatorul de
software-urile necunoscute;
· Configurare sigură - să restricţioneze funcţionalitatea fiecărui dispozitiv,
sistem de operare şi de aplicare la minimul necesar pentru mediul de afaceri pentru
a funcţiona10;
· Parolă - să se asigure că o politică a parolei corespunzătoare care să fie
aplicată;
· Controlul accesului utilizatorului - includ limitarea acesului cu aplicarea
principiului privilegiului11.
În cazul în care un stat sau o organizaţie este pasibilă unui atac cibernetic,
este important că acea structura să arate încredere în forţele proprii punând în
practică aceste controale suplimentare ale securităţii cibernetice:
· Monitorizarea securităţii - pentru a identifica orice activitate suspectă sau
neaşteptată;
· Instruirea utilizatorului (educare şi conştientizare) - personalul ar trebui să
înţeleagă rolul lor în menţinerea organizaţiei sigure şi să raportează orice activitate
neobişnuită;
· Gestionarea incidentelor de securitate - punerea în aplicare a unor planuri
prestabilite că un râspun eficient care va reduce impactul atacului.
Toţi aceşti paşi enumeraţi anterior stabilesc caracteristicile unui regim complet de
gestionare a riscurilor cibernetice. există mai multe scheme eficiente şi
cuprinzătoare dar şi standarde deschise pe care organizaţia le poate aplică pentru a
sprijini o strategie de apărare în profunzime, în cazul în care această abordare nu
este deja pusă în aplicare.

5.1 Atenuarea etapelor unui atac

 Atenuarea etapei de STUDIU

Orice informaţie care este publicată sau care se va publică pentru un consum
deschis ar trebui să fie filtrată în mod sistematic înainte de a se posta, pentru a se
asigura că o informaţie valoroasă să nu ajungă în mâinile unui posibil atacator
10
Pentru orientare mai largă privind configurarea sigură vezi următoarele publicaţii:
Principii de securitate: www.gov.uk/government/collections/cloud-security-guidance
11
Aplicabil numai conturilor esențiale pentru activarea utilizatorului.
(cum ar fi software-ul de configurare şi detaliile, numele / rolurile / titlurile
persoanelor fizice şi orice date ascunse). Instruirea utilizatorilor, educaţia şi
sensibilizarea este importantă. Toţi utilizatorii trebuie să înţeleagă informaţiile cu
privire la modul în care sistemele pot dezvălui adevărate vulnerabilităţi. Aceştia
trebuie să fie conştienţi de riscurile reale, de potenţialul acestora precum şi modul
în care operează un atac phishing. Configirarea siguranţei sistemelor de securitate
poate minimiza informaţia pe care dispozitivele cu multiple accese la internet, prin
versiunile lor de software şi incertitudini nu pot garanta lipsa oricărei
vulnerabilităţi.
 Atenuarea etapei de LIVRARE
Opţiunile de livrare pentru un atacator poţi fi semnificativ diminuate prin
aplicarea şi menţinerea unui număr redus de controale de securitate, care sunt chiar
mai eficiente atunci când sunt aplicate în combinaţie. Updatarea datelor de
protecţie a malware-ului pot bloca email-uri rău intenţionate şi să prevină dacă
malware-urile sunt descărcate de pe anumite site-uri web. Firewall-urile şi
serverele proxy pot bloca anumite servicii care nu sunt necesare sau sunt nesigure,
şi de asemenea pot gestiona o lista de site-uri cumoscute că fiind rele. În egală
măsură, abonarea la un serviciu pentru a genera o lista neagră a site-urilor web ar
putea oferi, de asemenea, o protecţie suplimentară. O politică privind gestionarea
parolelor şi aconturilor, poate prevenii utilizatorii de la selectarea unor parole
inutile precum şi blocarea după un anumit număr de încercări eşuate. Măsuri
suplimentare de autentificare pentru accesul la informaţii corporative sau personale
deosebit de sensibile ar trebui să fie incluse în aceste politici.
 Atenuarea etapei de încălcare (BREŞA)
Că şi în cazul stadiului de livrare, capacitatea de a exploata cu succes
vulnerabilităţi cunoscute pot fi atenuate în mod eficient cu doar câteva controale,
care din nou lucrează cel mai bine împreună. Toate tipurile la malware depind de
defectele software cunoscute şi predominante în patch-uri. Protecţie împotriva
programelor malware în cadrul portalelor de internet poate detecta programele
malware cunoscute chiar şi într-un simplu articol sau un e-mail. Aceste măsuri ar
trebui să fie completate de protecţie malware la punctele cheie pe reţeaua internă şi
pe computerele utilizatorilor în cazul în care sunt disponibile. Dispozitivele din
portalul de internet ar trebui să fie utilizate pentru a preveni accesul neautorizat la
serviciile critice sau servicii nesigure, care pot fi cerute pe plan intern de către o
anumită entitate. În egală măsură, portalul ar trebui să fie capabil să detecteze orice
conexiune de intrare sau de ieşire neautorizată. Controale bine implementate şi
întreţinute de acces ale utilizatorilor vor restricţiona cererile, privilegiile şi datele la
care utilizatorii pot avea acces. Configurarea securităţii poate elimina conturi de
software şi de utilizator implicit inutile. Se poate asigura, de asemenea, că parolele
sunt implicit modificate, precum şi orice funcţii automate care ar putea activă
imediat malware-ului (cum ar fi AutoRun) sunt oprite. Instruirea utilizatorilor,
educaţia şi sensibilizarea sunt extrem de valoroase pentru a reduce probabilitatea
de „inginerie socială12”. Cu toate acestea, cu presiunile şi volumul mare de lucru,
nu se poate garanta 100% că în cazul unui atac urmările se pot atenua.
 Atenuarea etapei de INFECTARE
În cazul în care toate măsurile anterioare (studiul, livrarea, breşă), au fost
abordate cu o atenţie deosebită, majoritatea atacurilor care folosesc anumite tehnici
vor fi susceptibile de a avea succes. Cu toate acestea, în cazul în care adversarul
este capabil să utilizeze capacităţi personalizate, atunci trebuie să se presupună că
acesta va dori să sustragă aceste informaţii pentru a intră în sistemele organizaţiei.
În mod ideal, organizaţia ar trebui să aibă o bună înţelegere a ceea ce constituie o
activitate normală în reţea, şi monitorizarea eficientă a securităţii ar trebui să fie
capabilă să identifice orice activitate neobişnuită. Mai pe scurt organizaţia ar trebui
să aplice funcţiile previziuni astfel încât să fie întotdeauna cu un pas înaintea
oricărei ameninţări.
Am fost atacat, eu ce fac?
Nu există nici un lucru care să garanteze securitate 100% asupra unei
organizaţii, unui stat în cazul unui atac cibernetic. Însă, având un plan eficient de
răspuns la incidente de securitate acesta poate contribui la reducerea impactului
atacului, curăţând sistemele afectate şi obţinând într-o oarecare măsură integritatea
sistemului într-un timp scurt. Acolo unde este cazul, ar trebui să se ia în
considerare, de asemenea, serviciile de răspuns la incidente de securitate furnizate
de entităţi precum CERT. Internetul poate fi un mediu ostil. Ameninţarea unui atac
este mereu prezent datorită noilor vulnerabilităţi generate de produsele curente. A
nu face nimic nu mai este o opţiune. Trebuie să învăţăm din gresel şi să stabilim
măcar nişte principii de baza astfel încât să se asigure un mediu sigur.

5.2 Analiza SOWT a operațiunii Dark Seoul

În ceea ce priveşte atacul cibernetic asupra Coreei de Suc din punctul meu de
vedere lucrurile sunt simple. În ciudat atacurilor din 2010 guvernul sud coreean
pare să nu fi luat nici o măsură în ceea ce priveşte securitatea cibernetică, şi spun
asta datorită faptului că şi în atacul din 2013 lucrurile au stat lafel. Atacatorii ştiau
ce au de făcut încă de la început, studiul privind securitatea şi sistemele fiind
practic neschimbate faţă de 2010. Modul în care au acţionat şi în special modul în
care au livrat atacul este foarte banal, însă cu toate acestea atacatorii au profitat de
vulnerabilitatea corporatiştilor împărţind acele stik-uri „maliţioase” în stânga şi în
dreapta profitând la maximum de naivitatea oamenilor. Odată rezolvată şi această
12
Ingineria socială, în contextul securităţii informaţiilor, se referă la manipularea psihologică
a persoanelor, în desfăşurarea de acţiuni sau divulgarea de informaţii confidenţiale.
etapă a împărţirii stik-urilor, livrării malware-ului, era absolut clar că va apărea şi o
breşă, probabilitatea că nici măcar un stik să nu fie activat fiind foarte mică. Şi nu
în ultimul rând, atacul a avut un susces maxim datorită infectării în masă a
sistemelor printr-un virus foarte bine elaborat, căruia este imposibil să-i faci faţă.
Pentru a înţelege mai bine desfăşurarea atacului, precum şi modul în care a
acţionat guvernul corean, am elaborat o analiză SOWT, în care am explicat care au
fost elementele esențiale, ce a fost bine şi ce nu a fost bine din punct de vedere al
managementului riscului din partea statului corean astfel:
 Puncte forte (puterea securităţii)
- Software-urile calculatoarelor şi sistemele hardware sunt protejate prin
firewall-uri şi programe anti-virus ceea ce reprezintă un punct forţe;
- Oprirea alimentării cu energie electrică în tot oraşul reprezintă un alt punct
forţe datorită faptului că în acest mod a fost stopată orice tentativă a
atacatorilor de reporni sistemele şi de a fură alte date;
- Capacitatea marilor companii de securitate privind analiză modului în care
s-a făcut infectarea, precum şi identificarea fişierelor cheie din virus;
 Puncte slabe
- Incapacitatea guvernului de a învaţă din atacurile anterioare;
- Lipsa culturii de securitate din partea angajaţilor care nu trebuia să accepte
acele stik-uri;
- Folosirea aceluiaş program anti-virus, fără patch-uri speciale;
- Lipsa programelor anti-malware, care să protejeze sistemele în cazul unei
infracţiuni;
- Neactualizarea software-urilor privind protecţia sistemelor;
- Lipsa unei politici de generare a parolelor;
- Lipsa back-urilor privind sistemele critice;
- Lipsa investiţiilor în sisteme de securitate (majoritatea corporaţiilor
folosind programul anti-viris creat de AhnLab).

 Oportunităţi
- Crearea de sisteme de securitate în mod regulat, îngreunând astfel modul
de lucru al haker-ilor care sunt nevoiţi să genereze mereu coduri noi pentru a
sparge software-urile;
- Folosirea serviciilor „cloud computing”13;
- Colaborarea cu alte agenţii guvernamentale privind schimbul de informaţii,
ajutor reciproc precum şi lecţii învăţate;
13
Cloud computing este un concept modern în domeniul computerelor și informaticii,
reprezentând un ansamblu distribuit de servicii de calcul, aplicații, acces la informații și stocare
de date, fără ca utilizatorul să aibă nevoie să cunoască amplasarea și configurația fizică a
sistemelor care furnizează aceste servicii.
 - Crearea la nivel mondial al unei agenţii unice de răspuns la incidente de
securitate.
 Ameninţări
- Conştientizarea de apariţia a noi viruşi de calculator care va uşura muncă
haker-ilor;
- Dezvoltarea atacurilor de phishing;
- Protejarea sistemelor prin folosirea celor mai bune software anti-virus,
precum şi updatarea permanentă a acestora;
- Supravegherea oricaei persoane care intră în legătură directă/indirectă cu
organizaţia (angajaţi, clienţi, competitori);
- Orice abatere cibernetică care va fi în lumina reflectoarelor, va atrage mai
mulţi posibil atacatori.
STRENGHT WEAKNESS

 Sisteme de protecție active  Lipsa unei culturi de securitate

 Reacția autorităților
 Rapiditatea analizării atacului
OPPORTUNITY
 Neefectuarea de back-uri
 Ineficiența anti-virusului
 Inexistența prorgamelor anti-
malware
THREAT

 Crearea permanenta a unor noi  Dezvoltarea virușilor

sisteme anit-virus  Supravegherea abeterilor
 Cloud computing  Atacuri phishing
 Colaborarea între toate agențiile
CERT
Un lucru esenţial după părerea mea în astfel de cazuri este crearea şi
dezvoltarea unei echipe de răspuns rapid, un QRF al spaţiului cibernetic care să:
- lucreze într-un centru special 24 din 24, monitorizând astfel toate activităţiile
din domeniul cibernetic (în acest moment cei de la Kaspersky Lab au un astfel de
program de monitorizare);
- actualizeze procedurile de operare în astfel de situaţii;
- conlucreze cu toate agenţiile din domeniu;
- elaboreze şi să implementeze instruiri privind utilizarea programelor de
conştientizare;
- verifice integritatea datelor prin diverse scenarii;
- stabilească nivele executive şi operaţionale la nivelul securităţii tabloului de
comandă;
 - testeze securitatea prin angajarea unor experţi din mediul extern.

5.3 Reacția NATO la incidentele de securitate cibernetică

REPERE:
- apărarea cibernetică face parte din sarcina de baza a NATO privind apărarea
colectivă;
- NATO a aprobat prima să politică de apărare cibernetică, în ianuarie 2008, că
urmare a atacurilor cibernetice împotriva Estoniei;
- NATO este responsabil pentru protecţia propriilor sale reţele de comunicaţii,
dar şi ale partenerilor;
- naţiunile sunt şi rămân responsabile pentru securitatea reţelelor lor de
comunicare, care trebuie să fie compatibile atât între ele cât şi cu NATO;
- aliaţii s-au angajat la îmbunătăţirea schimbului de informaţii, precum şi la
asistenţă reciprocă în prevenirea, atenuarea şi recuperare în urmă atacurilor
cibernetice;
- NATO îşi intensifica cooperarea cu industria;
- NATO sporeşte capacităţile sale pentru educare cibernetică, formare şi
exerciţii.
Conceptul strategic al NATO din 2010 a subliniat necesitatea de a „dezvolta
în continuare capacitatea noastră de a preveni, detecta, apară şi de a ne reveni în
urma atacurilor cibernetice...”14. Ameninţările evoluează rapid atât în frecvenţa cât
şi în rafinament. Ameninţărilor care provin din spaţiul cibernetic fie din state,
hackeri sau organizaţii criminale, printre multe altele, reprezintă o provocare
considerabilă pentru Alianţa şi trebuie să fie tratate în regim de urgenţă.
În acest context, la Summit-ul de la Lisabona din 2010, şefii de stat au
însărcinat Consiliul Nord-Atlantic să elaboreze o politică de apărare cibernetică
revizuită a NATO. Un concept NATO asupra apărării împotriva atacurilor
cibernetice a fost elaborat mai întâi pentru miniştrii apărării în martie 2011, care a
constituit baza conceptuală a politicii NATO revizuite privind securitatea
cibernetică. De ce o politică a NATO? Politică NATO privind securitatea
cibernetică oferă o baza solidă din care aliaţii pot avansa în această direcţie,
precum şi modul în care se poate realiza protecţia reletelor de calculatoare.
Într-o vizită oficială în Coreea imediat după atac, Secretarul general al
NATO din acea perioada domnul Anders Fogh Rasmussen, afirma că NATO şi
Coreea se confruntă cu aceleaşi provocări de securitate, cum ar fi pirateria,
proliferarea armelor de distrugere în masă şi atacurile cibernetice, care pot fi tratate
decât printr-o cooperare sporită. „Dialogul şi cooperarea dintre NATO şi Republica
Coreea sunt puternice. Iar vizită mea este un semnal clar că suntem hotărâţi să
facem parteneriatele chiar şi mai puternice în viitor. Coreea de Nord reprezintă o
14
http://www.nato.int/cps/en/natohq/official_texts_68580.htm
sfidare continuă a voinţei comunităţii internaţionale. Solicit autorităţilor nord-
coreene să înceteze imediat aceste acţiuni destabilizatoare...;Fac apel la Phenian să
se abţină de la orice alte provocări şi să-şi îndeplinească obligaţiile internaţionale
de a pune în aplicare pe deplin toate rezoluţiile relevante ale Consiliului de
Securitate al Organizaţiei Naţiunilor Unite. Perspectiva globală a NATO nu
înseamnă că noi căutăm o prezenţa în regiunea Asia-Pacific." 15, a declarat dl Fogh
Rasmussen.
Consiliul Nord Atlantic

Politica de apărare și Comitetul de

planificare ăntărit

Consiliul de management al spațiului

cibernetic

Capacitatea computerelor NATO de

raspuns laincidente

Fig. 12 Guvernarea spațiului cibernetic în viziunea NATO

Ameninţările cibernetice trec dincolo de graniţele unui stat şi graniţele
organizaţionale. Vulnerabilităţile şi riscurile acestora sunt împărtăşite de toţi.
Recunoaşterea caracterului cu adevărat globală a spaţiului virtual şi a ameninţărilor
asociate, NATO şi aliaţii vor colabora cu partenerii, organizaţiile internaţionale,
mediul academic şi sectorul privat, într-un mod care să promoveze
complementaritatea şi care să evita suprapunerile. NATO va adapta angajamentul
internaţional bazat pe valori comune şi abordări comune. Cooperarea în domeniul
apărării cibernetice ar putea cuprinde activităţi, inclusiv sensibilizarea şi schimbul
de bune practici.
Etape practice
• NATO va elabora cerinţe minime pentru sistemele naţionale de informare care
sunt critice pentru îndeplinirea sarcinilor de baza;
• aliaţii pot oferi, de asemenea, ajutorul lor la un aliat sau la Alianţa în cazul
unui atac cibernetic;
15
http://www.nato.int/cps/en/natohq/news_99519.htm?selectedLocale=en
 • apărarea cibernetică va fi pe deplin integrată în procesul de apărare al NATO;
• autorităţile militare ale NATO vor evalua modul în care apărarea cibernetică
susţine realizarea sarcinilor de baza ale NATO, planificarea pentru misiuni militare
şi efectuarea de misiuni;
• NATO va dezvoltă programe de sensibilizare şi dezvoltarea în continuare a
componenţei cibernetice în exerciţiile NATO.
• NATO şi aliaţii sunt încurajaţi să se bazeze pe expertiză şi sprijinul din partea
Centrul de Apărare de Excelenţă din Tallinn;
• integrarea considerentelor de apărare cibernetică în structurile NATO şi
procesele de planificare pentru a efectua sarcinile de apărare colectivă şi de
gestionare a crizelor;
• concentrarea pe prevenire, capacitatea de adaptare şi de apărare a activelor
cibernetice critice la NATO şi aliaţi;
• dezvoltarea de capacităţi solide de apărare cibernetică şi centralizarea
protecţiei reţelelor proprii;
• dezvoltarea unor cerinţe minime pentru apărare cibernetică a reţelelor critice
naţionale precum şi ale sarcinilor fundamentale;
• acordarea de asistenţă aliaţilor pentru a atinge un nivel minim de apărare
cibernetică şi pentru a reduce vulnerabilitatea infrastructurilor critice naţionale.

3.6 Lecții învățate

În urmă atacurilor operaţiunii Dark Seoul, numeroase bloguri de securitate

au comentat cu privire la lipsa de complexitate tehnică prezentată de atacatori, în
comparaţie cu acţiunile tipice de spionaz cibernetic sponsorizate de anumite state.
Mai mult decât atât, mass-media precum şi alte formaţiuni s-au grăbit să folosească
termenii de terorism cibernetic sau război cibernetic, în timp ce anumiţi cercetători
de securitate au denigrat aceşti termeni exprimându-şi totodată îndoială că aceste
atacuri au fost într-adevăr sponsorizate de un stat. Trebuie făcută o distincţie între
aceşti termeni fie că vorbim de ceva convenţional sau computerizat.
În spionaj, scopul este de a colecta informaţii cu privire la un adversar,
evitând în acelaşi timp de detectarea, care poate duce la pierderea capacităţii de
informaţii. Spionajul este în mod frecvent o operaţie lentă, luând ani pentru a
dezvoltă unui activ care să raporteze informaţiile căutate. În mod ideal, o
operaţiune de spionaj eficientă nu este detectată, iar dacă este, niciodată nu se va
găsi calea spre originea să. Aceste cerinţe au că rezultat dezvoltarea şi întreţinerea
tehnicilor de spionaj (tradecraft), cum ar fi identităţi false, poveşti de acoperire
precum şi canale de comunicare sub acoperire. Toate aceste metode pot fi
consumatoare de timp şi necesită resurse semnificative pentru a greuna mersul
înapoi în vederea aflării sursei.
 În schimb, obiectivul războiului este de a provoca daune unui adversar. În
timp ce securitatea operaţională şi de detectare a pericolelor sunt critice înaintea
lansării unui atac, pentru a asigura elementul surpriză şi a nega şansă oponentului
să se pregătească şi să oprească atacul, scopul trebui realizat inevitabil în timpul
atacului. În timpul atacului şi după acesta, este adesea avantajos să se ascundă ce
aspecte ale atacului sunt posibile, pentru a se crea confuzie în porcesul de luare a
deciziilor adversarilor şi pentru a preveni posibile represalii eficiente. Într-un astfel
de razvoi trebuie să se angajeze, în general, complexitate minimă cu scopuri
maxime. Într-adevăr, nivelul de complexitate al unui atac este frecvent invers
proporţională cu mărimea să distructivă. De exemplu, operaţiile forţelor speciale
necesită pregătire şi sunt eficiente în anumite misiuni, în timp ce un baraj de
artilerie este mult mai puţin sofisticat dar mult mai eficient vizând o gama largă de
ţinte.
Atunci când sunt plasate în acest contexte, cu anumite paralele
convenţionale, atacurile Dark Seoul se încadrează în mod clar în categoria de
război cibernetic, deşi este unul asimetric, cu scopul evident de a provoca daune
unei naţiuni rivale. În acest context, gradul de complexitate al atacului este logic,
având în vedere obiectivele sale operaţionale precum şi numărul mare al acestora.
Un atac coordonat de un adversar sponsorizat de un stat este, probabil, cel
mai dificil dintre toate ameninţările cibernetice pentru orice organizaţie. Atunci
când se confruntă cu o reţea bine securizată, un hacker tradiţional sau hackivist se
poate plictisi sau poate fi frustrat, îndreptându-se spre o ţintă mai uşoar. În mod
similar, un hacker pentru a profită va merge mai departe atunci când se confruntă
cu o provocare care face o ţintă neprofitabilă. Un hacker sponsorizat de stat, cu
toate acestea, este un angajat al guvernului, contractant sau un membru al armatei a
cărui loc de muncă cu normă întreagă este de a cuprinde obiectivul atribuit şi va
continuă să lucreze spre acest scop, până când va reuşi să obţină rezultate
substanţiale.
Atacul Dark Seoul a expus coordonarea şi persistenţa frecvent asociate cu
spionajul cibernetic sponsorizat de stat şi într-adevăr, mai târziu, s-a dovedit că a
fost lansat cu aceleaşi instrumente şi infrastructură folosite de nord coreeni şi în
campaniile precedente. Caracterul pe scară largă a atacurilor, face dificil de
identificat punctul iniţial de compromis, deşi este evident faptul că mai multe
controale diferite de securitate s-au răsturnat în timpul atacurilor. Lipsa
programelor anti-malware a făcut imposibilă detectarea fişierelor „dropper”,
precum şi ştergerea virusului troian, însă ceea ce nu s-a reuşit în acest caz a fost
monitorizarea şi controlul conturilor accesate.
Cheia abilităţii atacatorilor în acest atac a fost reprezentat de proastă
gestionare a patch-urilor generate de AhnLab, care le-a permis acestora să distrugă
zeci de mii de sisteme fără un efort considerabil. Acest acces, folosind datele de
conectare legitime furate, a dat atacatorilor posibilitatea de a instala software-ul
folosind un mecanism de încredere care a fost, în sine scutit de suspiciune. Dacă
personalul din domeniul IT ar fi răspuns la acest incident cu promtitudine cu
siguranţă că atacatorii nu ar fi fost în măsură să afecteze atât de multe sisteme. Este
puţin probabil că atacul să fi fost prevenit, cu toate acestea, dacă personalul le-ar fi
interzis accesul la sistemul de management al patch-urilor se putea întârzia atacul
sau cel puţin forţă acestuia.
Atacurile Dark Seoul demonstrează în mod clar importantă monitorizării
modelelor de acces la cont pentru anomalii. Este o greşeală comună în
monitorizarea reţelei să se concentreze pe încercări nereuşite de conectare şi să
ignore conectările reuşite în urmă tentativelor anterioare. În timp ce conectările
eşuate pot indică cu siguranţă activităţi rău intenţionate, conectările cu succes în
special pe conturi administrative în urmă unor încercări repetate, pot fi mult mai
dăunătoare după cum se poate vedea siin acest atac. Un număr de abordări diferite
pot contribui la atenuarea acestui vector de atac, dar nici unul nu este la fel de
important că să fie conştient de tiparele obişnuite de activitate căutând conectări
care nu se potrivesc modelului. În timp ce detectarea acestor anomalii poate fi
automatizată într-o anumită măsură, nu există personal 100% calificat care să le
inspecteze şi care să dea un verdict final. Unele conectări suspecte ar putea avea o
explicaţie rezonabilă, însă un control este necesar pentru a face această
determinare. În plus, etape, cum ar fi limitarea numărului de conturi administrative,
permiţând doar conectări administrative din sistemele interne poate oferi o
protecţie suplimentară a acestora.