Invatare Atomica

Amenintari cibernetice avansate

Nota curriculara: Continutul acestui modul (securitate cibernetica, etica in spatiul digital) corespunde programei TIC clasa a X-a (OMEN 3393/2017). La clasa a XI-a, TIC include modelare computerizata, prelucrare audio-video, IoT si robotica; Informatica include structuri de date si POO. Modulul M4 Cybersecurity este o grupare tematica proprie LearningHub — continutul tehnic este corect, dar incadrarea pe an poate diferi de orarul scolii tale.
Progres lectie:
0%
🎯

Obiectivul lectiei

Vei intelege cum functioneaza cele mai periculoase amenintari din spatiul cibernetic modern si cum se diferentiaza prin tipul lor, prin vectorul de atac folosit si prin impactul pe care il produc.

Dupa aceasta lectie vei putea:

  • Sa definesti si sa distingui intre ransomware, APT, zero-day exploit si supply chain attack
  • Sa explici ce este un vector de atac si sa identifici principalele categorii de vectori
  • Sa descrii mecanismul de functionare al unui atac APT in etape distincte
  • Sa analizezi de ce vulnerabilitatile zero-day sunt deosebit de periculoase
  • Sa recunosti diferenta dintre un atac direct si un atac prin lantul de aprovizionare (supply chain)
  • Sa aplici un cadru de clasificare pentru evaluarea unui incident de securitate

Incearca singur!

Provocare initiala:

Gandeste-te la urmatoarea situatie: un spital din Romania descopera ca toate fisierele pacientilor au fost criptate si pe ecran apare un mesaj care cere o rascumparare in Bitcoin pentru a le recupera.

Inainte sa citesti lectia, raspunde la aceste intrebari:

  1. Ce tip de atac crezi ca a avut loc?
  2. Cum crezi ca a patruns atacatorul in sistemul spitalului?
  3. Ce optiuni are spitalul acum?
💡 Ai nevoie de un indiciu?

Atacul descris se numeste ransomware (de la englezescul ransom = rascumparare). Atacatorul a criptat fisierele si cere bani pentru cheia de decriptare.

Caile prin care ransomware-ul poate intra intr-un sistem sunt variate: un email cu un fisier atasat malitios, o vulnerabilitate nepatched in software, un angajat care a accesat un link suspect.

Dupa ce termini lectia, revino si compara raspunsurile tale cu ce ai invatat!

1

1. Peisajul amenintarilor cibernetice avansate

O amenintare cibernetica avansata este un atac informatic care combina tehnici multiple, are obiective specifice bine definite si este desfasurat de actori cu resurse importante — grupuri criminale organizate, entitati statale sau hackeri specializati.

Spre deosebire de virusi simpli care se raspandesc haotic, amenintarile avansate sunt intentionate, tintite si adesea persistente in timp.

De ce conteaza? In 2023, costul mediu global al unei breche de date a depasit 4,4 milioane de dolari (sursa: IBM Cost of a Data Breach Report 2023). Amenintarile avansate sunt responsabile pentru cele mai costisitoare incidente.

Actori simpli

Script kiddies, atacuri oportuniste, instrumente gata-facute, fara obiectiv precis

Actori avansati

Grupuri organizate sau statale, obiective clare (spionaj, sabotaj, profit), tehnici proprii

2

2. Ransomware — Rascumpararea datelor

Ransomware este un tip de malware care cripteaza fisierele victimei, blocand accesul la ele, si cere o rascumparare (de obicei in criptomonede) in schimbul cheii de decriptare.

Cuvantul vine din engleza: ransom (rascumparare) + software. Este considerat una dintre cele mai distructive forme de atac cibernetic.

Cazuri reale emblematice:
  • WannaCry (2017) — a afectat peste 200.000 de computere din 150 de tari, inclusiv sistemul NHS din Marea Britanie. A folosit o vulnerabilitate Windows numita EternalBlue.
  • Colonial Pipeline (2021) — a oprit furnizarea de combustibil pe coasta de est a SUA. Compania a platit 4,4 milioane de dolari rascumparare.

Cum functioneaza (mecanism):

  1. Infiltrare: ransomware-ul intra prin email de phishing, vulnerabilitate, sau acces RDP compromis
  2. Executie: se activeaza si incepe sa cripteze fisierele (documente, imagini, baze de date)
  3. Notificare: afiseaza un mesaj cu instructiuni de plata si termen limita
  4. Presiune: adesea ameninta ca va publica datele daca nu se plateste (double extortion)
Atentie: Agentiile de securitate (FBI, CISA, CERT-RO) recomanda sa NU se plateasca rascumpararea — platile incurajeaza atacatorii si nu garanteaza recuperarea datelor.
Aparare principala: backup-uri regulate, offline sau in cloud (cu versioning), care nu pot fi accesate de ransomware.
3

3. APT — Amenintarea Persistenta Avansata

APT (Advanced Persistent Threat) este un tip de atac cibernetic de lunga durata, extrem de sofisticat, in care un atacator obtine acces neautorizat la o retea si ramane nedetectat timp indelungat, cu scopul de a fura date sau de a pregati un sabotaj.

Fiecare cuvant din denumire are sens propriu:

Advanced (Avansat)

Foloseste tehnici sofisticate, instrumente proprii, zero-day exploits, si evita detectia prin antivirus conventional

Persistent (Persistent)

Atacatorul ramane in sistem saptamani, luni sau chiar ani — fara sa fie detectat — colectand informatii

Threat (Amenintare)

Nu e un atac automat, ci condus de persoane reale cu obiective clare: spionaj, furt de IP, sabotaj

Etapele unui atac APT (Kill Chain):

1. Recunoastere

Atacatorul cerceteaza tinta: angajati (LinkedIn, social media), tehnologie folosita, furnizori.

2. Intrare initiala

Adesea prin spear-phishing (email tintit catre un angajat specific) sau exploatarea unei vulnerabilitati publice.

3. Instalarea unui backdoor

Atacatorul instaleaza un mecanism de acces persistent, ascuns, pentru a putea reveni oricand.

4. Miscare laterala

Din prima masina compromisa, se extinde la alte sisteme din retea, escaladand privilegiile.

5. Exfiltrare date / actiune

Copiaza date sensibile in exterior sau executa actiunea finala (sabotaj, criptare, blocare sistem).

Exemplu real: APT29 (Cozy Bear)

Grup APT atribuit Rusiei, responsabil pentru breche majore inclusiv in sisteme guvernamentale SUA. A ramas nedetectat luni de zile in retele compromise inainte ca atacul sa fie descoperit.

4

4. Zero-Day Exploits — Arma invizibila

O vulnerabilitate zero-day (sau 0-day) este o slabiciune in software sau hardware care este necunoscuta producatorului si, implicit, fara patch disponibil. Un zero-day exploit este codul malitios care o exploateaza.

Termenul vine de la ideea ca producatorul a avut zero zile sa se pregateasca — nu a stiut ca vulnerabilitatea exista pana cand a fost exploatata sau raportata.

🔒

Fara patch (Zero-Day)

Producatorul nu stie de vulnerabilitate. Orice sistem cu acel software este expus, indiferent cat de actualizat este.

🔓

Vulnerabilitate cunoscuta (N-Day)

Producatorul a lansat un patch. Sistemele actualizate sunt protejate — raman vulnerabile doar cele neactualizate.

De ce sunt periculoase: Nu exista actualizare de securitate care sa protejeze impotriva unui zero-day. Antivirus-urile traditionale (bazate pe semnaturi) nu le detecteaza. Singurele masuri sunt: monitorizarea comportamentala a sistemelor, principiul privilegiului minim si segmentarea retelei.
Piata zero-day: un fapt ingrijorator

Vulnerabilitatile zero-day se cumpara si se vand pe piete specializate. Un zero-day critic pentru iOS sau Windows poate valora intre 1 si 2,5 milioane de dolari (sursa: Zerodium, broker specializat). Cumparatorii includ agentii guvernamentale, dar si grupuri criminale.

Stuxnet (2010) — cel mai celebru atac cu zero-day: a folosit 4 vulnerabilitati zero-day simultan pentru a sabota centrifugele nucleare iraniene. A fost descoperit abia dupa ce a produs daune fizice.
5

5. Supply Chain Attacks — Atacul prin lantul de aprovizionare

Un supply chain attack (atac prin lantul de aprovizionare) tinteste nu victima finala direct, ci un furnizor sau partener de incredere al acesteia. Atacatorul compromite furnizorul, iar codul malitios ajunge la mii de victime prin mecanisme legitime (actualizari software, biblioteci, hardware).

Analogie: in loc sa sparga direct un seif, hotul corupe fabrica care produce incuietorile — si acum toate seifurile cu acea incuietoare sunt vulnerabile.

Atac direct (traditional)

  • Tinteste victima direct
  • Trebuie sa depaseasca apararea victimei
  • Detectabil la perimetru
  • Scara limitata (o victima odata)

Supply chain attack

  • Tinteste furnizorul victimei
  • Vine dintr-o sursa de incredere
  • Greu de detectat (legitim aparent)
  • Scara masiva (mii de victime simultan)
Cazul SolarWinds (2020) — cel mai amplu supply chain attack cunoscut

Atacatorii (atribuiti grupului APT29/Cozy Bear) au compromis compania SolarWinds, care produce software de monitorizare IT folosit de mii de organizatii. Au injectat cod malitios (SUNBURST) in actualizarile software legitime ale produsului Orion. Rezultat: peste 18.000 de organizatii, inclusiv agentii guvernamentale americane (NASA, Departamentul de Stat, Trezoreria SUA), au instalat actualizarea compromisa — fara sa stie.

Alte forme de supply chain attack:
  • Biblioteci open-source compromise — cod malitios injectat in pachete populare npm, PyPI
  • Hardware backdoors — componente fizice cu functionalitati ascunse introduse in lantul de productie
  • CI/CD pipeline compromise — atacul sistemului de build si deployment al unei companii
6

6. Vectori de atac — Caile de intrare

Un vector de atac (attack vector) este metoda sau calea concreta prin care un atacator obtine acces neautorizat la un sistem sau retea. Nu este tipul amenintarii in sine, ci traseul pe care aceasta il foloseste.

Aceeasi amenintare (ex: ransomware) poate folosi vectori diferiti in atacuri diferite.

🔐 Phishing / Spear-Phishing

Email sau mesaj care pacaleste utilizatorul sa execute cod sau sa predea credentiale. Spear-phishing = tintit la o persoana specifica.

📸 Vulnerabilitati software nepatched

Exploatarea unor slabiciuni cunoscute (CVE) in sisteme neactualizate, sau a zero-day-urilor in sisteme actualizate.

👤 Credentiale compromise

Parole furate, slabe sau refolosite. Atacuri brute force, credential stuffing (lista de parole din alte breach-uri).

🔌 Acces fizic

USB-uri abandonate sau oferite, acces direct la hardware, keyloggers fizice. Subestimat, dar extrem de eficient.

🌐 Retea si protocoale

Wi-Fi insecurizat, atacuri man-in-the-middle, protocoale vechi (RDP neprotejat, Telnet, FTP).

👰 Inginerie sociala

Manipularea psihologica a persoanelor pentru a obtine acces sau informatii (subiectul urmatoarei lectii).

Concept esential — suprafata de atac (attack surface): totalitatea punctelor de intrare potentiale intr-un sistem. Cu cat o organizatie are mai multi angajati, mai multe aplicatii si mai multe dispozitive conectate, cu atat suprafata de atac este mai mare.
Exemplu: Cum se combina tipul de amenintare cu vectorul

Scenariu: Un angajat al spitalului primeste un email aparent de la furnizorul de software medical (phishing = vector de atac), il acceseaza, descarca un fisier, si ransomware-ul (tip de amenintare) se activeaza, criptand toate dosarele pacientilor.

Vector: phishing | Tip amenintare: ransomware | Impact: pierderea accesului la date medicale critice.

Exercitii practice

Exercitiul 1 (Nivel minim) — Clasificare amenintari

Asociaza fiecare descriere cu termenul corect (ransomware / APT / zero-day exploit / supply chain attack):

a) Un grup de hackeri petrece 8 luni in reteaua unui minister, copiind documente clasificate, fara sa fie detectati.
b) O biblioteca JavaScript populara, folosita de 1.000 de aplicatii web, este compromisa cu cod malitios intr-o actualizare.
c) Fisierele unui cabinet medical sunt criptate si pe ecran apare cererea de 3 Bitcoin pentru decriptare.
d) Un cercetator descopera o slabiciune in Microsoft Word pe care producatorul nu o cunoaste inca.

Exercitiul 2 (Nivel standard) — Analiza vector de atac

O companie de energie este atacata. Investigatia descopera ca totul a inceput cand un inginer a primit un email cu un CV in format PDF care parea de la un candidat la un post. La deschiderea PDF-ului, s-a executat cod malitios.

1. Identifica vectorul de atac folosit.
2. Daca atacatorul a ramas nedetectat 3 luni si a copiat planurile de infrastructura, ce tip de amenintare este aceasta?
3. Propune doua masuri de preventie care ar fi putut opri acest atac.

Exercitiul 3 (Nivel performanta) — Comparatie si argumentatie

Un manager IT trebuie sa prezinte consiliului de administratie de ce supply chain attacks sunt mai periculoase decat atacurile directe. Redacteaza un argument structurat de 8-10 randuri care explica: (a) mecanismul unui supply chain attack, (b) de ce este mai greu de detectat si prevenit, (c) un exemplu real si impactul sau. Foloseste terminologia tehnica corecta din aceasta lectie.

Ce ai invatat astazi

  • Ransomware cripteaza datele si cere rascumparare; apararea principala este backup-ul offline
  • APT = atac avansat, persistent, condus de actori cu resurse mari, in etape (recunoastere → exfiltrare)
  • Zero-day = vulnerabilitate necunoscuta producatorului; nu exista patch disponibil la momentul exploatarii
  • Supply chain attack = atacul unui furnizor de incredere pentru a compromite mii de victime indirect
  • Vectorul de atac = calea de intrare (phishing, vulnerabilitati, credentiale, fizic, retea)
  • Suprafata de atac = totalitatea punctelor de intrare potentiale ale unui sistem sau organizatii

Urmatoarea lectie

Vei aprofunda una dintre cele mai eficiente tehnici de atac: ingineria sociala — cum sunt manipulate persoanele pentru a compromite sisteme aparent securizate.

Continua →