Cine ne atacă? De ce ne atacă? La ce să ne așteptăm? Sunt doar câteva din întrebările la care un ofițer de informații care lucrează în domeniul cyber intelligence este solicitat să răspundă. Iar răspunsurile nu sunt deloc ușor de dat.
De ce? Pentru că, spre deosebire de lumea fizică, spațiul cibernetic oferă mult mai multe și complexe variante și forme de disimulare a intențiilor și acțiunilor unui atacator cibernetic. Mai mult, problematica atacurilor cibernetice prezumate a fi derulate de actori statali depășește cadrul „tehnic” al investigației, fiind încadrată în contextul geopolitic și economic în care se află la un anumit moment țara vizată de un anumit atac.
Așadar, cu ce ne confruntăm? Prima problemă este determinată de definirea „valorii de apărat”. De ce trebuie să definim acest concept? Pentru că dinamismul atacurilor cibernetice, care a crescut exponențial în ultimii ani, în același timp cu complexitatea metodelor de penetrare a infrastructurilor cibernetice și de asigurare a „nedetectabilității” prezenței malițioase, a determinat în mod dramatic schimbarea paradigmei „zidului de apărare care nu poate fi spart” în „asumarea faptului că infrastructurile cibernetice sunt deja penetrate”. Este un adevăr pe care trebuie să-l acceptăm și să ni-l asumăm. Nu există sisteme de protecție perfecte, dar cu siguranță există atacatori foarte determinați să obțină accesul în anumite infrastructuri cibernetice, indiferent cât de bine protejate sunt acestea. Iar această determinare îi face să conceapă și să perfecționeze, în mod continuu, tool-urile de care dispun, astfel încât să poată obține ceea ce își doresc: accesul neautorizat și controlul infrastructurilor cibernetice vizate.
Nu vom putea ține pasul cu atacatorii niciodată
Întrucât există milioane de astfel de infrastructuri, începând de la cele care deservesc entități mici sau private, a căror activitate nu afectează securitatea națională, până la cele care deservesc entități de stat sau private a căror activitate se încadrează în ecuația securității naționale, este important să definim care este „valoarea de protejat” din perspectiva securității naționale. Resursa de care dispunem este limitată, nu vom putea ține pasul cu atacatorii niciodată, iar, dacă ne propunem să protejăm totul, ne vom găsi foarte curând în situația în care vom fi copleșiți.
Odată rezolvată problema „valorii de protejat”, facem pasul spre a doua problemă cu care ne confruntăm: identificarea atacurilor cibernetice. Spre deosebire de atacurile de tip criminal sau extremist, cele prezumate a fi de origine statală sunt mai dificil de detectat. De ce? Pentru că, așa cum arătam mai sus, atacatorii sunt foarte determinați să obțină accesul neautorizat în infrastructurile cibernetice țintă, dar sunt cel puțin la fel de determinați să își asigure prezența nedetectată în aceste infrastructuri pentru o perioadă îndelungată. Iar aici ne referim la ani, nu zile sau luni.
De ce? Simplu. Să ne închipuim infrastructura cibernetică a unui minister de externe, din orice țară a lumii. Accesul neautorizat într-o astfel de rețea este o mină de aur pentru un atacator statal: acces la toate informațiile zilnice referitoare la obiective, strategii, acțiuni, parteneriate ale statului respectiv și nu numai. Accesul și controlul asupra unei rețele informatice permite și utilizarea respectivei rețele în susținerea sau derularea altor atacuri cibernetice… un exercițiu de imaginație ne poate arăta în câte moduri poate un atacator să acționeze în acest sens…
Așadar, cum detectăm atacurile? Printr-un proces tehnic, analitic și de intelligence continuu și dinamic, care integrează informațiile furnizate de diverse surse specializate. Este un proces care necesită cel puțin aceeași determinare, inteligență și minuțiozitate pe care o au atacatorii atunci când își propun să obțină accesul într-o infrastructură cibernetică țintă.
Odată depășit și acest obstacol, trecem spre a treia problemă, și anume, determinarea încetării atacului și investigarea acestuia. Din momentul în care atacatorul a obținut accesul în rețeaua informatică vizată, el va urmări să își extindă prezența și controlul în rețea, astfel încât să aibă acces la toate informațiile de interes și, la nevoie, să le poată exfiltra. Este un proces complex care presupune o adaptare și perfecționare continuă a aplicațiilor malițioase folosite, astfel încât motoarele de detecție antivirus și investigatorii să nu descopere prezența atacatorului. În această situație, cei care investighează atacul au de rezolvat o primă sarcină dificilă: identificarea tuturor stațiilor infectate din rețea, urmată de „curățarea” lor, asigurându-se că infecția nu mai este prezentă în rețea. Pentru un timp, de obicei destul de scurt. De ce? Pentru că atacatorii statali, așa cum spuneam, sunt foarte determinați să dețină accesul neautorizat în anumite infrastructuri și, în astfel de situații, își vor rafina și mai mult variantele de atac și persistență pentru a fi și mai greu de detectat.
Acest aspect ne ajută să observăm diferența de esență dintre amenințările din spațiul fizic și cele din spațiul cibernetic: dacă în spațiul fizic acțiunile și prezența amenințării este ceva mai ușor de identificat, în spațiul cibernetic, mai ales atunci când vorbim de atacatori statali, prezența și activitățile acestora pot trece foarte ușor neobservate, dar cu repercusiuni de multe ori greu de cuantificat.
Și, prin această observație, facem pasul spre ceea ce înseamnă investigarea atacului cibernetic. Îndrăznesc să spun că acest proces are un caracter continuu. Da, pare ciudat, mai ales dacă un atac încetează! Și totuși… Un atac cibernetic statal presupune multe resurse înalt specializate din partea atacatorului pentru: stabilirea și studierea țintelor, crearea, gestionarea și adaptarea infrastructurilor de atac și exfiltrare, conceperea modalităților de infectare, derularea propriu-zisă a etapei de infectare, validarea țintelor infectate, asigurarea persistenței în toate sistemele informatice validate ca fiind de interes, căutarea și exfiltrarea informațiilor de interes, depozitarea acestora, transmiterea către solicitant, analiza și prelucrarea acestora. Investigația unui atac cibernetic urmărește, analizează și încearcă să înțeleagă toate aceste procese complexe. Iar acest lucru necesită timp și resurse. Pe de altă parte, același atacator statal, care, poate, a încetat un atac cibernetic, va iniția un altul, însă o investigație anterioară poate constitui o lecție învățată în ceea ce privește modus operandi al atacatorului. Atacatorii sunt oameni, oamenii nu sunt perfecți, iar acest lucru poate fi în avantajul investigatorului…
Atribuirea atacului cibernetic
Ajungem astfel la cea mai dificilă problemă cu care se confruntă cei care investighează atacurile cibernetice statale: atribuirea atacului cibernetic. De ce este una dintre cele mai dificile probleme? Pentru că spațiul cibernetic oferă posibilități aproape nelimitate de disimulare, astfel încât un actor cibernetic poate să pară foarte ușor a fi un altul. Și atunci?
Să facem un exercițiu: să luăm trei state pe care le vom denumi A, B și C. A și C sunt prietene, dar B este inamic. B, însă, dispune de capacități cibernetice înalt dezvoltate și poate iniția un atac cibernetic care, datorită posibilităților de disimulare, are toate caracteristicile unui atac ce provine din țara prietenă lui A, respectiv C. Ce poate urma este ușor de imaginat.
Atribuirea făcută doar în baza unor presupuneri sau suspiciuni ne expune la un risc mare de autodezinformare și, de asemenea, de dezinformare a partenerilor cu care lucrăm. Acesta este, practic, un alt motiv pentru care investigația unui atac cibernetic este un proces continuu: este vital să înțelegem cine este în spatele unui atac cibernetic. Iar acest lucru înseamnă studiul atent al tuturor indiciilor pe care le furnizează investigația, dar și contextul internațional de la momentul derulării atacului. Astfel, atunci când vorbim despre România și vrem să înțelegem motivele care au determinat includerea țării noastre pe „lista” țărilor vizate de un atacator, este important să începem de la statutul țării noastre de membru NATO, UE și al parteneriatelor politico-economice din care este parte, alături de poziția geografică, resursele de care dispune și obiectivele strategice pe care le are ca stat. Această analiză contextuală are un caracter dinamic, determinat de însuși dinamismul situației geopolitice și economice, și solicită un efort constant al ofițerilor de informații din cyber intelligence și al analiștilor care au datoria de a observa „elementele de finețe” în schimbările care au loc zilnic pe scena geo-economico-politică, asigurând în acest fel „ancorarea în prezent” a investigației atacului cibernetic.
În loc de încheiere, propun spre reflecție un citat din Sun Tzu, „Arta Războiului”, capitolul referitor la Strategia Ofensivă, paragraful 4: „Supremul rafinament în arta războiului este de a dejuca planurile inamicului”.
Abstract
A well-known proverb captures the essence of intelligence: In the land of the blind, the one-eyed man is king. One who is better informed than his adversaries will have the advantage. Intelligence powers everything we do and it can power everything you do as well. When it comes to cyber intelligence, we must gather information about adversary’s behaviour, capabilities, and intentions. More importantly, by understanding the events that shape the beliefs and motivations of threat actors, it is possible to comprehend what drove the adversaries to behave as they did and perhaps to understand what this means for the future.
Autor: Iulian Alecu