Atentatul împotriva revistei satirice franceze Charlie Hebdo ce a avut loc la Paris, la 7 ianuarie 2015, în care au fost ucise 12 persoane, a reprezentat pentru întreaga lume – inclusiv pentru specialiștii din serviciile de informații – o confirmare a evaluărilor precedente conform cărora terorismul reprezintă una din cele mai mari amenințări la adresa securității statelor.
„Franța, chiar dacă a făcut față atacurilor teroriste, chiar dacă știe că dispune de agenți de securitate capabili de acte de curaj, nu a terminat cu amenințările pe care trebuie să le înfrunte“, a declarat, imediat după eveniment, președintele Francois Hollande. De altfel, mai mulți analiști de securitate au avertizat, la acel moment, că atacul terorist din capitala Franței ar putea constitui „un punct de turnură“, un moment pe care Uniunea Europeană trebuie să-l trateze cu grijă pentru a evita declanșarea unui adevărat război al culturilor şi civilizaţiilor.
Recrudescența fenomenului terorist de la începutul anului 2015 a generat inclusiv o creștere fără precedent, la nivel internațional, a numărului de agresiuni cibernetice motivate ideologic.
Un număr important de membri ai grupării hacktiviste Anonymous International au lansat operațiunea #OpCharlieHebdo, prin intermediul căreia au derulat atacuri cibernetice îndreptate împotriva „celor care atacă democrația și libertatea de expresie“, afectând infrastructuri informatice utilizate de membrii unor grupări teroriste, blocând conturi de social media și publicând informații personale ale unora dintre aceștia. Hacktivismul este o asociere a cuvintelor „hack“ și „activism“ şi constituie un curent activist ai cărui aderenți folosesc sistemele informatice drept mijloc de promovare a mesajelor ideologice și de protest împotriva unor decizii sociale și politice.
Conform așteptărilor, situația a produs o coagulare a forțelor unor grupări de hacking islamiste, care au lansat o contraofensivă, denumită operațiunea #OpFrance, îndreptată împotriva instituțiilor franceze. Franța a devenit, astfel, ținta unor atacuri de natură cyber-teroristă, aproximativ 19.000 de website-uri aparținând unor entități publice și private fiind compromise de către hackeri prin alterarea conținutului acestora și înlocuirea paginilor principale cu mesaje ce exprimă susținerea pentru Statul Islamic (defacement), respectiv prin indisponibilizarea infrastructurilor (atacuri de tip DDoS). În ceea ce priveşte capabilitățile folosite în aceste atacuri, acestea nu au excelat printr-un înalt nivel tehnologic, însă și-au dovedit eficacitatea prin prisma amplorii și a impactului psihologic în rândul țintelor.
Ulterior, aria geografică a acestor agresiuni cibernetice s-a extins, membrii grupărilor de hacking islamiste corelându-și agresiunile cu situația geopolitică din zonele de interes, cu evoluțiile și conflictele din Orientul Mijlociu (expansiunea grupării teroriste Daesh, „războiul rece„ cu Iranul, războiul civil din Siria, relațiile tensionate între Israel și Autoritatea Palestiniană).
Concomitent cu diversificarea țintelor vizate, s-a remarcat dezvoltarea și creșterea vizibilității grupărilor de hacking islamiste și a acțiunilor acestora. Grupări precum „Fallaga Team“, „AnonGhost“, „Gantengers Crew“, „CyberCaliphate“, „Middle East Cyber Army“ (MECA), „El Moujahidin“, etc. au fost semnalate, în 2015, ca autoare ale unui număr important de atacuri de complexitate redusă, majoritatea de tip defacement sau DDoS, scopurile principale fiind identificarea vulnerabilităților de securitate cibernetică, perfecționarea și testarea propriilor capabilități și promovarea de mesaje ideologice cu caracter islamic.
O situație diferită din punct de vedere al complexității agresiunii cibernetice s-a înregistrat, însă, la 8 aprilie 2015, când sistemele informatice al postului de televiziune francez TV5 Monde au fost ținta unei serii de atacuri de natură cyber-teroristă, revendicate de membrii grupării de hackeri „CyberCaliphate“, care și-au afirmat apartenența la Statul Islamic. Atacatorii au preluat controlul sistemului informatic intern și a infrastructurii de emisie TV, fapt ce a condus la oprirea emisiei a 11 canale operate de postul francez pentru aproximativ 3 ore.
De asemenea, gruparea a preluat controlul asupra conturilor de Facebook, Twitter și Youtube ale TV5 Monde, acestea fiind utilizate pentru difuzarea unor mesaje de propagandă fundamentalistă specifică organizației teroriste ISIS, fapt care a indus ideea că în spatele atacului s-ar afla această organizație teroristă.
Ulterior, în cursul anchetei a reieșit faptul că atacul a debutat la sfârșitul lunii ianuarie 2015 cu o campanie de tip „phishing“, prin transmiterea de mesaje electronice către jurnaliști ai canalului de televiziune TV5 Monde și infectarea sistemelor informatice ale postului francez prin accesarea acestor mesaje. Una din aplicațiile considerate „vinovate“ a fost o variantă a njRAT (Bladabindi), dată fiind recrudescența aplicației malițioase în mediul online și mai ales popularitatea acesteia în rândul hackerilor din zona Orientului Mijlociu.
Ulterior, din alte surse deschise a rezultat posibilitatea ca în spatele atacului să se fi aflat o grupare (APT28) susținută de un actor statal, ca urmare a identificării unor elemente de similitudine cu alte acțiuni ale respectivei grupări.
Ceea ce a reținut atenția specialiștilor din domeniul securității cibernetice a fost, de această dată, complexitatea tehnologică ridicată şi efectele de anvergură ale agresiunii cibernetice, comparativ cu cele realizate anterior de membrii şi simpatizanţii grupărilor de hackeri islamişti.
Agresiuni cibernetice asupra unor website-uri româneşti
Pe fondul acțiunilor desfășurate de grupările de hackeri islamiste la nivel internațional, la începutul anului 2015 s-a înregistrat o creştere semnificativă a numărului de agresiuni cibernetice, majoritatea de tip defacement, inclusiv asupra unor website-uri aparţinând unor entităţi publice sau private din România.
Astfel, au fost înregistrate mii de agresiuni cibernetice asupra site-urilor aparținând unor entități private autohtone, care au afectat integritatea și disponibilitatea conținutului site-urilor atacate prin înlocuirea cu mesaje de propagandă islamiste. Același tip de agresiuni cibernetice au fost derulate și asupra site-urilor unor instituții publice, din domenii precum administrație publică, învățământ, cercetare și sănătate.
Printre autorii agresiunilor au fost membrii unor grupări de hacking islamiste precum: „AnonGhost“, „FallagaTeam“, „Arab Warriors Team“, „Middle East Cyber Army“, „El Moujahidin“, „Team System DZ“, „Top Team“, „Cyberizm Digital Security Team“ etc.
Distribuţia agresiunilor nu a relevat un tipar anume, fiind vizate entităţi cu obiecte de activitate diverse, fără a se urmări în mod specific afectarea website-urilor aparţinând instituţiilor guvernamentale sau ale unor organizaţii ori societăţi comerciale de importanţă strategică sau relevante în plan ideologic.
Scopul principal al agresiunilor cibernetice asupra website-urilor autohtone a urmărit creşterea vizibilităţii pentru grupările autoare şi promovarea, sub diferite forme, a unor mesaje de propagandă islamistă, de tip „graffitti cibernetic“ (imagini cu conţinut grafic explicit, bannere cu referinţe la Califatul Islamic, îndemnuri pro-palestiniene şi anti-israeliene etc.).
În derularea atacurilor cibernetice au fost exploatate vulnerabilităţi ale unor platforme open-source de dezvoltare a paginilor web (WordPress şi Joomla) sau au fost utilizate instrumente de hacking adaptate (sisteme de operare personalizate).
Concluzii
Până în prezent, acţiunile hackerilor islamişti nu au relevat deţinerea unor capabilităţi tehnice care să le permită realizarea de agresiuni cibernetice cu efect distructiv sau de afectare a funcţionalităţii unor infrastructuri critice, aceştia dispunând însă de cunoştinţele şi instrumentele tehnice necesare derulării de atacuri asupra unor ţinte cu un nivel scăzut de securitate cibernetică (website-uri ale unor instituţii publice, ziare, televiziuni etc.).
Agresiunile cibernetice realizate de membrii şi simpatizanţii grupărilor de hackeri islamişti se înscriu în modalităţile de acţiune aferente noii filozofii a organizaţiilor teroriste, care susţin iniţiativele unor grupuri sau indivizi ce acţionează izolat şi vizează realizarea de atacuri împotriva unor ţinte cu un nivel de protecţie redus („soft targets“), care nu necesită alocarea de resurse semnificative, dar asigură un impact mediatic important.
Numărul mare de agresiuni cibernetice derulate de aceste grupări evidenţiază existenţa unor vulnerabilităţi ale sistemelor informatice deţinute de entităţi publice şi private românești, pe fondul unui nivel scăzut de securitate cibernetică. Aceste vulnerabilităţi facilitează derularea de atacuri de către entităţi ostile şi se pot materializa în riscuri la adresa confidenţialităţii, integrităţii şi disponibilităţii informaţiilor vehiculate în reţeaua proprie.
La acest moment este dificil de estimat potenţialul pe care îl au grupările de hackeri islamişti în termeni de tehnologii utilizate, ţinte şi efecte vizate, având în vedere că interesul ridicat al acestora pentru activităţi de hacking poate determina o evoluţie imprevizibilă a fenomenului pe termen mediu.
ABSTRACT
The ”Charlie Hebdo” tragedy, portraying the recrudescence of terrorism at the beginning of 2015, led to a growth in the number of ideologically motivated cyber aggressions worldwide. Together with the diversification of targets, there has also been a development and growth in visibility of Islamic hacking groups and their actions. They have not excelled through a high technological level, but they have proven their effectiveness through the amplitude and the psychological impact on their targets. The high number of cyber attacks carried out by these groups demonstrates the existence of multiple vulnerabilities of IT networks belonging to public and private Romanian entities, generated by a low level of cyber security. This situation could enable hostile entities to attack and affect the confidentiality, integrity and availability of data within particular networks. It is currently difficult to estimate the potential of Islamist hacking groups from the perspective of technologies used, their targets and impact, taking into consideration that a higher interest of Islamist terrorists for hacking activities could lead to an unpredictable evolution of the phenomena on the medium-term.
Autori: Daniel Costan, Ciprian Florea şi Oana Iordan
