Acordul de recunoaștere a vinovăției încheiat de un hacker, Cosmin Alexandru Nistor, cu procurorii DIICOT – Structura Centrală într-un dosar de infracțiuni informatice și validat de Tribunalul Caraș Severin la sfârșitul lunii martie arată vulnerabilități majore pe linie de infrastructură IT a multor instituții publice din România.
Nistor a fost condamnat la 3 ani de închisoare cu suspendare sub supraveghere.
Astfel, conform procurorilor DIICOT a rezultat că inițial ”în cursul lunilor mai-august 2017, mai multe site-uri, printre care şi unele aparţinând unor instituţii publice din România, au fost compromise de către persoane cunoscute în mediul on-line, sub pseudonimele de „D3v1X” (ideintificat în persoana minorului ########## Louis – #####) şi „Ninja300 HacKer” (ideintificat în persoana inculpatului ###### ######### ######), prin acţiuni constând practic în atacuri cibernetice de tip „SQL Injection” şi respectiv „Defacement” (atac informatic exercitat asupra unui site web prin care este schimbat aspectul vizual al acestuia sau al unor pagini ale acestuia, atac care se realizează de regulă, prin compromiterea server-ului unde este găzduit respectiva pagină web şi înlocuirea paginilor legitime cu unele aparţinând atacatorului/hacker-ului)”.
Ulterior, o serie de atacuri informatice au mai avut loc și în luna martie a anului 2020.
Astfel, au fost ”sparte” zeci de sisteme informatice de tip hosting care găzduiau site-uri web atât din mediul privat cât mai ales se pare din sectorul public din Constanța, Bacău, București, Oradea sau chiar Școala de Poliție Szeged din Ungaria.
NewsOnline redă mai jos ce a reținut Tribunalul Caraș Severin în sentința prin care a validat acordul de recunoaștere a vinovăției. Lecturând veți regăsi și site-urile afectate de atacurile informatice:
Analizând materialul probator administrat în cursul urmăririi penale, instanţa reţine următoarea situaţie de fapt:
În perioada iunie 2016 – august 2017, mai multe sisteme informatice de tip server ce găzduiau (servicii de tip hosting) diferite domenii/site-uri web atât din sectorul public, cât şi privat, printre acestea figurând şi o serie de domenii web ce aparţin unor instituţii publice din România, au fost în mod succesiv şi constant compromise de către persoane cunoscute în mediul on-line, sub pseudonimele de „D3v1X” şi „Ninja300 HacKer”, prin acţiuni concertate constând în atacuri cibernetice de tip „Sql Injection” şi„Defacement” (în scopul identificării şi exploatării vulnerabilităţilor de sistem şi ulterior dobândirii astfel a accesului la site în mod fraudulos, atacuri informatice exercitate asupra unui site web prin care este schimbat aspectul vizual al acestuia sau al unor pagini ale acestuia, atac care se realizează de regulă, prin compromiterea server-ului unde este găzduit respectiva pagină web şi înlocuirea paginilor legitime cu unele aparţinând atacatorutui/hacker-ului).
Ca şi modalitate tehnică de operare, autorii au procedat cu ajutorul unor programe informatice specifice la exploatarea vulnerabilităţilor de securitate ale domeniilor web, după identificarea acestora procedând în continuare la accesarea neautorizată şi prin încălcarea măsurilor de securitate (credenţiale legitime – parola, id-ul/user-ul sau alte date autentice de autentificare), a părţii nepublice de administrare a acestora şi la introducerea şi modificarea ilegală a datelor informatice din conţinutul acestora.
Practic, pe pagina de pornire a site-urilor compromise, autorii aduceau modificări ale aspectului vizual al acestora prin introducerea unor imagini conţinând atât mesaje text cât şi fotografii, imagini prin care autorul işi revendica atacul, atât cu privire la identitatea sa virtuală (nick-name-uri) cât şi cu privire la motivaţia atacului.
Aşadar, în vederea obţinerii accesului in zonele de administrare a site-ului atacat, de regulă autorii se folosesc de aplicaţiile „SQLMAP” şi/sau „HA VU”, ambele având ca scop identificarea de sisteme informatice vulnerabile la atacuri de tip SQL Injection.
După compromiterea şi obţinerea accesului neautorizat la site-ul vizat, atacatorul aducea ulterior modificări datelor informatice, executând atacuri de tip„Deface”, modificare care constă în general în postarea anumitor mesaje, link-uri şi imagini prin care se revendică atacul şi prin care se promovează anumite idei şi doleanţe de grup .
Site-urile astfel compromise afişau astfel pe pagina de start sau pe alte pagini aflate în conexiune, diferite mesaje text (făcându-se referire în primul rând la identitatea virtuală a hacker-ului care îşi revendică atacurile, din România şi în al doilea rând referiri la justificarea atacurilor, respectiv fie în scopul de a atrage atenţia administratorilor de sisteme cu privire la măsurile slabe de securitate cibernetică a server-elor şi luarea măsurilor tehnice necesare remedierii şi îmbunătăţirii securităţii datelor informatice şi nu în scopul ştergerii sau sustragerii de date informatice sau producerii altor pagube, fie în scopul de a emite anumite recomandări publice (exp: legalizarea drogurilor).
În perioada iunie 2016- august 2017, la diferite intervale de timp şi în baza aceleiași rezoluţii infracţionale, inculpatul ###### ######### ######, cunoscut în spaţiul virtual cu alias-ul „Ninja300 HacKer, cu intenţia de a accesa ilegal şi a compromite prin introducerea neautorizată de date informatice şi modificarea fără drept a conţinutului platformelor ţintă, prin aceeaşi modalitate de operare, a exercitat mai multe atacuri informatice de tip „Sql Injection” şi„Defacement” asupra unor site-uri web aparţinând diferitelor persoane juridice publice şi private din România şi Ungaria, fiind afectate atât disponibilitatea cât şi integritatea conţinutului datelor informatice stocate în cadrul respectivelor infrastructuri informatice.
Au format ţinta unor astfel de atacuri informatice din partea inculpatului ###### ######### ######, în perioada menţionată, următoarele site-uri:
-Fundaţia Centrul Cultural Islamic Islamul Azi – site-ul www.islamulazi.ro
-Şcoala Postliceală de Poliţie din Szeged – Ungaria – site-ul www.szrszki.hu
-Direcţia de Sănătate Publică Constanţa – http://www.dspc.ro
-Direcţia Judeţeană pentru Sport şi Tineret – http://dsjconstanta.ro
-http://telegrafonline.ro
– https://declaratia200anaf.ro
– #### ################ S.A. – site-ul www.electromagnetica.ro;
– #### ##### ####### ######## S.A. ~ site-ul www.astra-passangers.ro,
– ######## #### – site-ul www.awrentacar.ro,
– Primăria oraşului Cehu Silvaniei – site-ul www.primaria-cehusilvaniei.ro,
– Primăria comunei Benesat – site-ul www.primaria-banesat.ro,
– ###### „Bucovina”- Judeţul ####### – site-ul www.pompierisv.ro
– Primăria Oraşului ###### – site-ul www.primaria-livada.ro,
– Camera Executorilor Judecătoreşti din ######- site-ul www.cejgalati.ro
Urmare a extinderii cercetărilor, din datele şi probele obţinute a reieşit faptul că inculpatul ###### ######### ######, împreună cu alte persoane, ce făceau parte dintr-un grup cunoscut în mediul online sub pseudonimul Pentaguard, au lansat în perioada 10.03-12.03.2020 atacuri informatice similare celor anterioare, de tip defacement împotriva altor site-uri web aparţinând mai multor instituţii publice şi private din România şi Republica #######.
Astfel, au format ţinta unor astfel de atacuri informatice din partea inculpatului ###### ######### ###### (sprijinit după caz de alţi membrii ai grupului autointitulat Pentaguard), următoarele site-uri, unele dintre acestea fiind totodată şi ţinta unor modificări prin modalitatea tehnică mai sus menţionată (de tip defacement) şi chiar a unui transfer neautorizat de date (cazul paginii frt.ro):
-Consiliul Judeţean Cluj- site www.cjcluj.ro (cu sprijinul numitului ##### #######)
-Federaţia Română de Tenis – site www.frt.ro (accesat împreună cu numitul ##### #####, reuşindu-se inclusiv transferul unor baze de date)
-Consiliul Judeţean Bacău -site-ul „www.csjbacau.ro „
-Agenţia Naţională de Administrare a Bunurilor Indisponibilizate – site-ul
„ www. anabi.just. ro”
-Direcţia de Sănătate Publică Tulcea – site-ul www.dsptulcea.ro
-Casa Judeţeană de Pensii Constanţa – site-ul „www.pensiiconstanta.ro”
-Universitatea Tehnică a Moldovei – tentativă – site-ul „www.utm.md” (împreună cu ##### #####)
-Direcţia de Sănătate Publică a Judeţului ##### – site-ul „www.aspsalaj.ro”
-Liceului Teoretic ###### ###### ###### – tentativă – site-ul www.ltmeliadegl.ro
-Banca Transilvania – tentativă – site-ul www.bancatransilvania.ro
-Site de prezentare a Muncipiului #### – site-ul „www. webcamarad.ro” şi site-ul „reform.gov).
Mai mult, din informaţiile obţinute reieşea faptul că acelaşi ###### ######### ###### intenţiona în aceeaşi perioadă să lanseze inclusiv atacuri informatice de tip „ransomware”, asupra unor instituţii de sănătate publică din România, precum spitale, folosind o inginerie socială prin trimiterea unei aplicaţii maliţioase executabile din familiile „Locky” sau „BadRabbit” (virus informatic), mascate într-un e-mail şi sub forma unui fişier ce aparent ar veni din partea instituţiilor guvernamentale, referitor la ameninţarea Coronavirus-CO ### 19.
Prin această modalitate tehnică, autorul putea determina în mod facil ţinta să deschidă respectivul mail, aplicaţia maliţioasă urmând a se descărca automat în sistemul informatic, producându-se criptarea datelor şi implicit punerea în stare de neîntrebuinţare a platformei informatice.
Prin acest tip de atac, exista astfel posibilitatea blocării şi perturbării grave a funcţionării infrastructurilor informatice ale spitalelor respective, parte a sistemului sanitar, ce jucau un rol determinant şi decisiv în respectivul moment al stării de urgenţă instituită la nivel naţional, pentru combaterea pandemiei cu noul Coronavirus.
Cercetările efectuate nu au evidenţiat însă punerea efectivă în practică a unor astfel de atacuri informatice maliţioase, demersurile întreprinse în acest sens rămânând doar la stadiul de intenţie.
A rezultat de asemenea, faptul că, la data de 21.03.2020, în urma efectuării percheziţiei domiciliare, inculpatul ###### ######### ###### a fost depistat în timp ce deţinea pentru consum propriu şi fără drept (fără prescripţie medicală), substanţe aflate sub control naţional – droguri de risc, respectiv o ţigaretă ce conţinea cannabis în amestec cu tutun (cannabis-drog înscris în tabelul cu nr. III din legea nr. 143/2000).
În drept, faptele inculpatului ###### ######### ######, care în perioada iunie 2016 -august 2017, la diferite intervale de timp şi în baza aceleaşi rezoluţii infracţionale, cu intenţia de a accesa ilegal şi a compromite prin introducerea neautorizată de date informatice şi modificarea fără drept a conţinutului platformelor ţintă, prin aceeaşi modalitate de operare, a exercitat mai multe atacuri informatice de tip „Sql Injection” reuşind accesarea neautorizată a părţii nepublice/de administrare a mai multor site-uri web aparţinând diferitelor pesoane juridice publice şi private din România şi Ungaria, (14 persoane vătămate: Fundaţia Centrul Cultural Islamic Islamul Azi – site-ul www.islamulazi.ro, Şcoala Postliceală de Poliţie din Szeged – Ungaria – site-ul www.szrszki.hu., Direcţia de Sănătate Publică Constanţa – http://www.dspc.ro. Direcţia Judeţeană pentru Sport şi Tineret -http://dsiconstanta.ro, http://telegrafonline.ro. https://declaratia200anaf.ro, S.C. ################ S.A. – site-ul www.electromagnetica.ro, S.C. ##### ####### ######## S.A., – site-ul www.astra-passangers.ro, ######## #### – site-ul www.awrentacar.ro, Primăria oraşului Cehu Silvaniei – site-ul www.primaria-cehusilvaniei.ro, Primăria comunei Benesat, – site-ul www.primaria-banesat.ro, I.S.U. „Bucovina” – Judeţul ####### – site-ul www.pompierisv.ro, Primăria Oraşului ###### – site-ul www.primaria-livada.ro, Camera Executorilor Judecătoreşti din ######- site-ul www.cejgalati.ro), întruneşte elementele constitutive ale infracţiunii de acces ilegal la un sistem informatic în formă continuată, prevăzută de art. 360 alin. 1, 3 Cp., cu aplic. art. 35 alin. 1 Cp.
Faptele aceluiaşi inculpat, care în perioada iunie 2016 – august 2017, la diferite intervale de timp şi în baza aceleaşi rezoluţii infracţionale, după obţinerea accesului neautorizat la site-urile mai sus menţionate, a procedat în continuare la compromiterea acestora, respectiv la introducerea şi modificarea fără drept a conţinutului platformelor ţintă, prin atacuri de tip Defacement (pe pagina de pornire a site-urilor compromise, se aduceau modificări ale aspectului vizual al acestora prin introducerea unor imagini conţinând atât mesaje text cât şi fotografii, imagini prin care autorul işi revendica atacul, atât cu privire la identitatea sa virtuală (nick-name-uri) cât şi cu privire la motivaţia atacului), asupra unor site-uri web aparţinând diferitelor pesoane juridice publice şi private din România şi Ungaria, fiind afectate atât disponibilitatea cât şi integritatea conţinutului datelor informatice stocate în cadrul respectivelor infrastructuri informatice (14 persoane vătămate: Fundaţia Centrul Cultural Islamic Islamul Azi – site-ul www.islamulazi.ro. Şcoala Postliceală de Poliţie din Szeged – Ungaria – site-ul www.szrszki.hu., Direcţia de Sănătate Publică Constanţa -http://www.dspc.ro, Direcţia Judeţeană pentru Sport şi Tineret -http://dsiconstanta.ro, http://teleqrafonline.ro, https://declaratia200anaf.ro. S.C. ################ S.A. – site-ul www.electromagnetica.ro, S.C. ##### ####### ######## S.A. – site-ul www.astra-passangers.ro, ######## #### – site-ul www.awrentacar.ro, Primăria oraşului Cehu Silvaniei – site-ul www.primaria-cehusilvaniei.ro, Primăria comunei Benesat – site-ul www.primaria-banesat.ro, I.S.U. „Bucovina”-Judeţul #######-site-ulwww.pompierisv.ro, Primăria Oraşului ###### – site-ul www.primaria-livada.ro, Camera Executorilor Judecătoreşti din ######- site-ul www.cejgalati.ro), întruneşte elementele constitutive ale infracţiunii de alterarea integrităţii datelor informatice în formă continuată, prevăzută de art. 362 Cp. cu aplic. art. 35 alin. 1 Cp.
Fapta inculpatului ###### ######### ######, care în aceeaşi perioadă, în vederea identificării vulnerabilităţilor şi a obţinerii accesului neautorizat in zonele de administrare ale site-urilor mai sus menţionate, a deţinut şi folosit diverse aplicaţii informatice specifice aplicaţiile, printre care „SQLMAP”, „HAVIJ” etc, având ca scop identificarea de sisteme informatice vulnerabile la atacuri de tip SQL Injection, întruneşte elementele constitutive ale infracţiunii de operaţiuni ilegale cu dispozitive şi programe informatice, prevăzută de art. 365 alin. 2 Cp. (faptă continuuă aferentă celor 14 persoane vătămate).
Fapta inculpatului, care, în perioada 10.03-12.03.2020, după caz, singur sau împreună cu alte persoane, ce făceau parte dintr-un grup cunoscut în mediul online sub pseudonimul Pentaguard, au lansat atacuri informatice similare de tip Sql Inection, reuşind sau după caz încercând accesarea neautorizată a părţii nepublice/de administrare a mai multor site-uri web aparţinând diferitelor pesoane juridice publice şi private din România şi Rep. ####### (12 persoane vătămate: Consiliul Judeţean Cluj – site www.ciclui.ro – cu sprijinul numitului ##### #######), Federaţia Română de Tenis – site www.frt.ro – accesat împreună cu numitul ##### #####, reuşindu-se inclusiv transferul unor baze de date -, Consiliul Judeţean Bacău -site-ul www.csibacau.ro . Agenţia Naţională de Administrare a Bunurilor Indisponibilizate – site-ul www.anabi.iust.ro. Direcţia de Sănătate Publică Tulcea – site-ul www.dsptulcea.ro. Casa Judeţeană de Pensii Constanţa – site-ul www.pensiiconstanta.ro, Universitatea Tehnică a Moldovei – site-ul „www.utm.md” (împreună cu ##### #####), Direcţia de Sănătate Publică a Judeţului ##### – site-ul www.aspsalaj.ro. Liceul Teoretic ###### ###### ###### – tentativă – site-ul www.ltmeliadegl.ro. Banca Transilvania – tentativă – site-ul www.bancatransilvania.ro, site-ul de prezentare a Muncipiului #### – site-ul „www. webcamarad.ro” şi site-ul „reform.gov), întruneşte elementele constitutive ale infracţiunii de acces ilegal la un sistem informatic, în formă continuată, prevăzută de art. 360 alin. 1, 3 Cp. cu aplic. art. 35 alin. 1 Cp.
fapta inculpatului care, în aceeaşi perioadă, după obţinerea accesului neautorizat la unele dintre site-urile mai sus menţionate (respectiv persoanele vătămate: Consiliul Judeţean Cluj – site www.cjcluj.ro, Federaţia Română de Tenis – site www.frt.ro, site-ul „www.aspsalaj.ro” – aparţinând Direcţiei de Sănătate Publică a Judeţului #####), a procedat în continuare la compromiterea acestora, respectiv la introducerea şi modificarea fără drept a conţinutului platformelor ţintă, prin atacuri similare de tip Defacement, întruneşte elementele constitutive ale infracţiunii de alterarea integrităţii datelor intomnatice, în formă continuată, prevăzută de art. 362 Cp. cu aplic. art. 35 alin. 1 Cp.
Fapta inculpatului care, în aceeaşi perioadă, intenţionând să lanseze atacuri informatice de tip „ransomware”, asupra unor instituţii de sănătate publică din România, a deţinut în acest sens aplicaţii specidice maliţioase executabile din familiile „Lockf sau „BadRabbif (viruşi informatici ce asigură criptarea datelor şi implicit punerea în stare de neîntrebunţare a platformei informatice), întruneşte elementele constitutive ale infracţiunii de operaţiuni ilegale cu dispozitive şi programe informatice, prevăzută de art. 365 alin. 2 Cp. (deţinerea în sistem informatic de aplicaţii maliţioase de tip ransomware, în scopul comiterii altor infracţiuni informatice).
Fapta inculpatului care, în aceeaşi perioadă, după accesarea site-ului frt.ro, aparţinând Federaţiei Română de Tenis, l-a sprijinit pe numitul ##### ##### în sustragerea unei părţi a bazei de date stocate pe respectivul domeniu web, întruneşte elementele constitutive ale infracţiunii de complicitate la transfer neautorizat de date informatice, prevăzută de art. 48 alin. 1 Cp. rap. la art. 364 Cp.
