Cine sunt agresorii cibernetici

Societatea secolului al XXI-lea este puternic influențată de dezvoltarea fără precedent din domeniul IT&C, marcând începutul erei informaționale. „Democratizarea” tehnologiei și accesul liber la informație reprezintă o schimbare majoră comparat cu era industrială, când puterea economică a unui stat reprezenta un element esențial.

Intensificarea gradului de utilizare a Internetului generează, pe de o parte, creștere economică și schimbări sociale importante, dar este asociată și cu o intensificare a activităților ilegale derulate în spațiul cibernetic.

Spațiul cibernetic, considerat în prezent de teoreticieni drept al cincilea domeniu în care se poate desfășura un război, după sol, mare, aer și spațiu, oferă agresorilor cibernetici o mare diversitate de obiective și o serie de caracteristici specifice – dinamism extrem, conectivitate, anonimat, lipsa de trasabilitate – care fac dificilă atribuirea agresiunilor.

Amenințarea cibernetică reprezintă una dintre cele mai dinamice amenințări actuale la adresa securității naționale și poate veni din partea unei diversități de agresori cibernetici care folosesc metode adaptate permanent evoluțiilor tehnologice.

Principalele forme de manifestare a amenințărilor cibernetice la adresa securității naționale a României sunt reprezentate de agresiunile cibernetice derulate de patru categorii de agresori cibernetici – actori statali, grupări de criminalitate cibernetică, grupări extremiste (hacktiviste) și grupări teroriste.
De altfel, principalele categorii de actori care generează amenințări în spațiul cibernetic sunt prezentate și în Strategia de securitate cibernetică a României, care se referă în acest context la:
– „persoane sau grupări de criminalitate organizată care exploatează vulnerabilitățile spațiului cibernetic în scopul obținerii de avantaje patrimoniale sau nepatrimoniale;
– teroriști sau extremiști care utilizează spațiul cibernetic pentru desfășurarea și coordonarea unor atacuri teroriste, activități de comunicare, propagandă, recrutare și instruire, colectare de fonduri etc. în scopuri teroriste;
– state sau actori non-statali care inițiază sau derulează operațiuni în spațiul cibernetic, în scopul culegerii de informații din domeniile guvernamental, militar, economic ori al materializării altor amenințări la adresa securității naționale”.

Agresorii cibernetici dețin capabilități tehnologice și resurse diferite folosite pentru derularea de atacuri cibernetice, având motivații diferite: politice, economice sau ideologice. Astfel, dacă vorbim de actori statali, aceștia au resursele necesare pentru derularea unora dintre cele mai sofisticate atacuri cibernetice și, de cele mai multe ori, au și timpul necesar pentru a derula campanii de infiltrare în sisteme informatice de interes, în timp ce la polul opus se situează grupările extremiste și teroriste care dețin un nivel tehnologic redus, derulând de regulă atacuri cibernetice care nu afectează grav infrastructurile cibernetice atacate, ci creează mai mult prejudicii de imagine.

Amenințarea reprezentată de actorii statali are cel mai ridicat nivel de impact asupra securității naționale. Atacurile cibernetice derulate de actori statali au ca țintă domenii strategice: afaceri externe, apărare și securitate națională, economie, cercetare, energetic și resurse naturale. Sunt vizate îndeosebi instituții ale statului (ministere, reprezentanțe diplomatice, structuri guvernamentale, servicii de informații, structuri militare), dar și companii naționale sau private de interes strategic, trusturi media etc.

Motivația acestor atacuri este una politică, urmărindu-se preluarea și menținerea sub control a infrastructurilor cibernetice atacate, accesarea și exfiltrarea de informații sensibile sau confidențiale relevante care să ofere atacatorului avantaje politice, economice, militare, de securitate etc. (spionaj cibernetic).

Atacurile cibernetice desfășurate de actori statali au un nivel crescut de complexitate tehnologică, fiind, de regulă, de tip APT (Advanced Persistent Threat), sunt focalizate pe ținte exacte, de interes, și se caracterizează prin preocuparea pentru disimularea implicării statului, un aspect important urmărit fiind ca atacul să rămână nedescoperit pe o durată cât mai mare, fără a afecta funcţionalitatea infrastructurii cibernetice compromise, pentru a permite exfiltrarea cât mai multor date de interes.

Așa cum se stipulează și în Raportul CERT-RO cu privire la alertele de securitate cibernetică procesate în anul 2014, „entități din România au fost ținta unor atacuri informative direcționate și complexe, de tip apt, lansate de către grupuri care au capacitatea și motivația necesară pentru a ataca în mod persistent o țintă în scopul obținerii anumitor beneficii (de obicei, acces la informații sensibile)”.

Atacurile cibernetice derulate de grupări de criminalitate cibernetică au un nivel mediu în ceea ce privește impactul asupra securității naționale și vizează cu predilecţie domeniul financiar-bancar și al economiei digitale. Acest tip de atacuri s-a diversificat în ultima perioadă, atât în ceea ce privește țintele vizate (instituții ale statului, de la entități financiar-bancare, operatori de comunicații și, nu în ultimul rând, persoane fizice), modul de operare, nivelul tehnologic, cât mai ales în ceea ce privește gradul de automatizare al atacurilor, permițând acestor grupări să își extindă aria de manifestare și să își maximizeze câştigurile.

Motivația acestor atacuri este exclusiv economică, obiectivul grupărilor de criminalitate cibernetică fiind reprezentat de obținerea de beneficii financiare imediate sau obținerea de informații care să le asigure câștiguri financiare pe viitor. Atacurile vizează compromiterea confidenţialităţii datelor gestionate de sistemele informatice asociate serviciilor financiar-bancare şi fraudarea platformelor de comerţ electronic.

Pentru derularea atacurilor cibernetice, grupările de criminalitate cibernetică folosesc din ce în ce mai mult rețele de tip botnet. În conformitate cu același Raport al CERT-RO, „46% din alertele de securitate cibernetică primite de instituție vizează sisteme informatice din România, victime ale unor atacatori care au reușit preluarea de resurse în cadrul unor rețele de tip botnet prin exploatarea unor vulnerabilități tehnice și infectarea sistemelor cu diverse tipuri de aplicații malware”.

De asemenea, în ultima perioadă a fost constatată o tendință accentuată de creștere a utilizării atacurilor de tip ransomware, care vizează nu doar utilizatorii individuali, ci și entități publice sau private și pot avea un impact major asupra victimelor.

Următoarele două categorii de agresori cibernetici – grupările hacktiviste și grupările teroriste – sunt caracterizate prin derularea unor atacuri cibernetice motivate ideologic, care în prezent au un impact scăzut asupra securității naționale. Atacurile cibernetice motivate ideologic se remarcă prin puternic impact mediatic, dat fiind că acestea nu sunt atacuri persistente, disimulate, ci sunt atacuri cibernetice asumate și expuse mediatic.

Atacatorii vizează accesarea ilegală a sistemelor informatice

Evoluția grupărilor hacktiviste este una dinamică, potențată de existența unor evenimente pe scena politică, economică sau socială care prezintă interes pentru agenda acestor grupări, atacurile derulate de către aceste grupări fiind o reacție la astfel de evenimente. Acest tip de grupări dispun de potențialul necesar pentru a se relansa și coagula rapid în jurul unor idealuri comune.

Țintele vizate sunt diverse, fiind predilecte infrastructurile informatice și paginile web aparținând unor instituții publice și guvernamentale, instituții de învățământ, dar și cele ale unor entități private.

Prin derularea de atacuri cibernetice, atacatorii vizează accesarea ilegală a sistemelor informatice și a bazelor de date asociate, indisponibilizarea acestora, exfiltrarea unor date confidențiale și publicarea acestora în mediul online, precum și alterarea conţinutului paginilor web prin inserarea de imagini şi mesaje. Atacurile cibernetice derulate de asemenea grupări, de regulă de tip defacement sau DoS (Denial of Service), nu au un grad ridicat de complexitate şi nu necesită cunoştinţe avansate de hacking, de cele mai multe ori, membrii acestor grupări folosind instrumente disponibile liber în mediul online.

În ceea ce privește ultima categorie de agresori cibernetici – grupările teroriste, trebuie precizat că în țara noastră nu s-au înregistrat agresiuni cibernetice efectuate de către acestea, spațiul cibernetic fiind îndeosebi utilizat pentru activități de propagandă, radicalizare, recrutare și finanțare.

Forma de manifestare identificată până în prezent este reprezentată de atacurile cibernetice de tip defacement realizate de hackeri sau grupări de hackeri simpatizanți ai ideologiilor islamist-radicale sau care provin de pe spații cu religie preponderent musulmană.

Astfel de atacuri au urmărit afectarea disponibilității și integrității rețelelor, prin alterarea conținutului, paginilor web atacate, cu scopul de a promova, sub diferite forme, mesaje și imagini de propagandă, de tip graffitti cibernetic.

Țintele acestor atacuri cibernetice, caracterizate printr-un nivel de complexitate redus, sunt reprezentate de paginile web ale unor entități private, dar și ale unor instituții publice locale, caracterizate printr-un nivel scăzut de securitate cibernetică, cel mai probabil criteriu de selecție fiind dat de tipurile de vulnerabilităţi identificate şi exploatate de agresori, ca urmare a derulării unor operaţiuni de scanare.

Concluzionând, trebuie subliniată importanța pe care o cunoaștere comprehensivă a agresorilor cibernetici (motivație, mod de operare, capabilități deținute și folosite și, implicit, ținte vizate) o poate avea în evaluarea corectă a amenințării cibernetice și a riscurilor conexe, inclusiv în realizarea unei politici eficiente de prevenire, combatere și contracarare, căci, așa cum spunea Benjamin Franklin, „investiția în cunoaștere aduce cea mai bună dobândă”.

Abstract

The increased level of use of cyberspace generates economic growth and important social changes, but it is also associated with an increase in the illegal activities carried out in the cyberspace by different cyber aggressors, be they state or non-state actors. The most important threats to Romania’s cyber security are the cyber attacks perpetrated by four categories of cyber aggressors: state actors, cyber criminal organizations, extremist (hacktivist) groups, and terrorist groups.

Autor: Oana Iordan

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*