România, în faţa inamicilor cibernetici

Dincolo de avantajele indiscutabile, dezvoltarea tehnologică a adus cu sine o serie de vulnerabilităţi, care sunt speculate şi exploatate de diverşi actori, statali sau non-statali. Agresiunile desfășurate în spațiul cibernetic pot afecta disponibilitatea, integritatea și confidențialitatea funcționării sistemelor informatice. Ele vizează perturbarea, indisponibilizarea, distrugerea, degradarea sau controlarea în mod malițios a unui sistem sau a unei infrastructuri informaționale, afectarea integrității datelor sau sustragerea informațiilor restricționate.

Cei mai periculoşi actori în domeniul cibernetic sunt statele. Acestea pot exploata vulnerabilităţile sistemelor informatice pentru a produce daune extinse în orice domeniu (acţiuni de sabotaj) sau pentru a derula campanii de spionaj la scară largă.

Atacurile cibernetice, alături de alte mijloace convenţionale sau neconvenţionale, fac parte din mixul de instrumente prin care actori internaţionali, care dispun de capabilităţi suficient de dezvoltate, poartă conflicte hibride, pentru a obţine avantaje strategice. Spaţiul virtual a devenit, în fapt, un nou teren de confruntare.

De regulă, atacurile cibernetice derulate de actori statali sunt de tipul Advanced Persistent Threat (APT). Prin acest tip de atac, un utilizator neautorizat obţine controlul asupra unui sistem sau al unei reţele şi rămâne nedetectat pentru o lungă perioadă de timp. Scopul nu este compromiterea sistemelor, ci accesarea şi exfiltrarea informaţiilor sensibile pentru organizaţie. Deşi sunt greu de detectat şi de atribuit, aceste atacuri prezintă anumite particularităţi: sunt caracterizate de intensitate, persistenţă şi complexitate tehnologică, sunt motivate politic şi vizează ţinte strategice (din domeniul politic, militar, al securităţii naţionale şi economic), printre rezultatele urmărite fiind exfiltrarea de informații strategice, sabotarea ţintelor vizate, manipularea opiniei publice și influențarea unor procese democratice.

Având în vedere contextul geopolitic actual, dar şi angajamentele de politică externă şi poziţionările punctuale ale ţării noastre, România reprezintă o țintă importantă a agresorilor cibernetici statali. România s-a confruntat cu atacuri de tip APT28, atacul Grupării Epic Turla/Snake/Uroburos sau cel al MiniDuke/TinyBaron/CosmicDuke.

APT28

Descoperit în 2015, atacul era în desfăşurare în Europa încă din 2007. Principalele ţinte ale operaţiunii au fost entităţi din domeniul politic, guvernamental, al telecomunicaţiilor sau industria aerospaţială, din Ucraina, Spania, Rusia, România, SUA şi Canada.

Investigatorii au observat un interes particular în cazul Ucrainei, atacatorii acordând o atenţiei specială acestui stat în perioada 10-14.02.2015, când, la Minsk, avea loc summit-ul liderilor din Ucraina, Rusia, Germania, Franţa şi Belarus pentru negocierea acordului de încetare a focului în regiunea Donbas. După 14 februarie, atenţia atacatorilor s-a mutat asupra Spaniei.

Procesul de identificare a noilor ţinte, marcate cu „vulnerabil“, a fost unul automatizat şi s-a realizat prin scanarea unor adrese IP pre-determinate, dintr-o anumită arie. Abordarea nu a fost una aleatorie, victimele fiind selectate individual. Ulterior, adreselor IP li se acorda un nivel de prioritate.

Scanarea s-a realizat prin 9 boţi (sisteme infectate, utilizate pentru a transmite mai departe software maliţios şi pentru a colecta informaţii), fiecare fiind reprezentat de un sistem individual, aflaţi în reţele diferite, pentru a nu ridica suspiciuni: 3 în SUA, 3 în Marea Britanie şi 3 în Bulgaria.

Pentru infectarea victimelor, atacatorii au apelat la 3 metode distincte: e-mailuri de tipul spear-phishing ( e-mailuri trimise unui grup de utilizatori cu interese comune) ce aveau ataşate fişiere Excel sau Word, phishing websites şi exploatarea unor vulnerabilităţi de tipul zero-day ale programelor Java şi Flash.

Gruparea Epic Turla/Snake/Uroburos

O campanie de spionaj cibernetic extrem de sofisticată a fost descoperită în 2014. Atacul a infectat sute de computere din mai mult de 45 de ţări şi a vizat instituţii guvernamentale (ministere de interne, de externe, servicii de informaţii), ambasade, companii din domeniul militar, educaţional şi farmaceutic.

Majoritatea sistemelor afectate se aflau în Europa şi în Orientul Mijlociu, dar au fost semnalate victime şi în SUA. În România au fost identificate 15 victime, printre care se numără două ministere, două alte instituţii guvernamentale, companii private, precum şi utilizatori de Internet rezidenţial sau mobil. Cel mai mare număr de IP-uri infectate a fost înregistrat în Franţa. Atacatorii au avut ca scop obţinerea de informaţii referitoare la politicile NATO şi UE.

Tehnicile utilizate în cadrul operaţiunii sunt de mai multe categorii:
– e-mailuri de tipul spear-phishing (printre denumirile ataşamentelor utilizate regăsindu-se „NATO position on Syria.scr”, „border_security_protocol.rar”, „Program.scr”, „Note_No107-41D.pdf”);
– social engineering (strategii bazate pe factorul psihologic, victima fiind înşelată cu scopul de a acţiona cu încălcarea procedurilor de securitate obişnuite);
– watering hole (site-uri accesate de regulă de potenţiale victime, care sunt compromise în avans de atacatori şi infectate cu software maliţios). Printre site-urile infectate au fost cel privind Promovarea Antreprenoriatului Rural în Zona de Graniţă / România, cel al Primăriei din Pinor / Spania, Ministerul Afacerilor Externe al Autorităţii Palestiniene. Au fost descoperite mai mult de 100 de site-uri afectate, atacurile exploatând vulnerabilităţi ale programelor Adobe PDF, Adobe Flash, Java şi Internet Explorer (versiunile 6, 7 şi 8).
Ceea ce a îngreunat investigaţia în această operaţiune a fost mecanismul Command&Control (C&C) extrem de rafinat, realizat prin satelit. Serverele C&C (sunt computere care transmit comenzi unei reţele de boţi/zombii) sunt cele mai importante în derularea unui atac cibernetic, acestea controlând întreaga operaţiune. Este deci de înţeles de ce atacatorii încearcă să le ascundă cât mai bine faţă de investigatori, iar grupul Turla a apelat la conexiunea Internet prin satelit pentru a face acest lucru, speculând faptul că traficul de Internet furnizat în acest mod acoperă zone geografice vaste şi nu este criptat.

MiniDuke/TinyBaron/CosmicDuke

Malware-ul a fost descoperit la începutul lui 2013 şi a vizat, în principal, entităţi guvernamentale. Analizele experţilor au relevat un număr de 59 de victime, din 23 de state (România, Belgia, Georgia, Germania, Ungaria, Israel, Japonia, Liban, Muntenegru, Rusia, Ucraina, SUA etc.).

Pentru compromiterea sistemelor vizate, atacatorii au apelat la tehnici de social engineering foarte eficiente, care au presupus transmiterea de documente PDF corupte ţintelor. Materialele PDF erau extrem de bine concepute şi se refereau la un seminar despre drepturile omului, politica externă a Ucrainei şi planuri privind apartenenţa la NATO.

Aceste fişiere PDF au fost infectate cu exploit-uri (Secvență de cod, o succesiune de date sau un set de comenzi, ce profită de o defecțiune sau de o vulnerabilitate cu scopul de a determina un comportament nedorit sau neprevăzut al software-ului, hardware-ului de pe un calculator sau de pe alt dispozitiv electronic) care atacă versiunile 9, 10 şi 11 ale Adobe Reader.

Deşi, ulterior dezvăluirii din 2013, atacatorul din spatele MiniDuke îşi diminuase activitatea sau chiar îşi oprise campania, în iulie 2014, Kaspersky Lab a informat că MiniDuke a reînceput atacurile. Noua platformă (denumită TinyBaron sau CosmicDuke), utiliza un alt troian, capabil să sustragă mai multe tipuri de informaţii (date generale despre reţea, capturi de ecran, date din clipboard, date din Microsoft Outlook şi Windows Address Book, parole din Skype, Google Chrome, Google Talk, Opera, Firefox, informaţii din Protected Storage, Certificate/chei private si parole introduse prin tastatură).

Malware-ul emulează aplicaţii populare construite pentru a rula în fundal, imitând inclusiv icon-urile şi dimensiunile fişierelor. Noua platformă poate fi utilizată nu doar de atacatori APT, ci şi de agenţii de aplicare a legii şi de infractori, în sensul tradiţional.

Spre deosebire de MiniDuke, atacul CosmicDuke a avut ca ţintă un număr mai mare de victime, cu acelaşi scop de exfiltrare a informaţiilor: agenţii guvernamentale, organizaţii diplomatice, sectorul de energie, operatori telecom, furnizori de armament precum şi persoane implicate în traficul şi vânzarea de substanţe ilegale sau cu distribuţie controlată.

Numărul atacurilor, în creştere

Atribuirea atacului cibernetic unei entităţi statale sau non-statale este un proces extrem de dificil de realizat, uneori chiar imposibil. Dificultatea demersului este dată de existenţa unei multitudini de metode de anonimizare a originii atacatorului (utilizarea proxy serverelor, VPN-urilor, tehnologiei satelitare etc.). Sunt luate în calcul indicii precum complexitatea atacului (d.p.d.v. tehnologic, dar şi în termeni de resurse angrenate pentru dezvoltarea programelor), care nu ar putea fi decât rezultatul activităţii unui serviciu de informaţii, sau indicatori lingvistici (eventuale particularităţi lingvistice, greşeli gramaticale sau de scriere etc.).

Este foarte posibil ca numărul atacurilor statale la adresa României sa fie mai mare sau să crească. În prezent există multiple metode de disimulare a software-ului maliţios, ceea ce generează dificultăţi în detectarea atacurilor, sistemele informatice putând să funcţioneze ani, fără ca utilizatorul să realizeze că este victima unui atac cibernetic, în tot acest timp, atacatorul exfiltrând nestingherit informaţii sau producând alte pagube.

Din 2013, 54 de instituţii româneşti beneficiază de Sistemul naţional de protecţie a infrastructurilor IT&C împotriva ameninţărilor provenite din spaţiul cibernetic.

Potrivit statisticilor CERT-RO, în 2016, comparativ cu 2015, a fost înregistrată o creştere cu 61,55% a numărului de alerte procesate automat şi manual (110.194.890) şi un număr de 4.035.445 de incidente. Conform aceluiaşi raport, 5 din cele mai întâlnite categorii de alerte în 2016 au fost: vulnerabilităţi (81,39%), botneţi (12,81%), resurse compromise (5,36%), malware (0,41%) şi atacuri cibernetice (0,02%).

Este posibil ca cifrele să fie în realitate mai mari, deoarece, în România, legislația națională nu prevede obligativitatea raportării incidentelor de securitate cibernetică. Situaţia poate fi soluţionată prin transpunerea in legislaţia naţională, până la 09.05.2018, a Directivei EU 2016/1148 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice (Directiva NIS), care impune, printre altele, şi obligația de notificare a incidentelor din mediul cibernetic.

Precaritatea securităţii sistemelor informatice şi lipsa unei culturi de securitate a utilizatorilor în mediul virtual, creşte nivelul de vulnerabilitate a infrastructurilor cibernetice. În cele mai multe cazuri, un atac cibernetic vizează entităţi (publice, private, guvernamentale) din mai multe state, astfel că, în identificarea, atribuirea atacurilor şi gestionarea consecinţelor, cooperarea internă şi internaţională are un rol extrem de important.

Abstract

Technological developement came up with some vulnerabilities exploited by different states or organisations. The most dangerous threats in the cyberspace come from nation-state actors. Advanced Perstintent Threat (APT) is the main type of attack staged by state-actors.
Romania was targeted by cyber-attacks, such as APT28, Epic Turla, or MiniDuke. Figures show a growing number in cyber-attacks targeting Romania.

Romanian laws should be pursuant to 2016/1148 EU Directive wich „lays down measures with a view to achieving a high common level of security of network and information systems within the Union so as to improve the functioning of the internal market”.

Autor: Diana Olar

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*