Atacurile cibernetice de tip APT – noua dimensiune a spionajului

Accesul facil la tehnologia informaţiei şi a comunicaţiilor reprezintă, în prezent, una dintre premisele bunei funcţionări a societăţii moderne, pe toate coordonatele – economic, politic, social etc. Totuşi, evoluţia tehnologică atrage după sine vulnerabilităţi specifice mediului virtual, care sunt exploatate de alte state, pentru a derula acţiuni ostile, de afectare a securităţii sistemelor informatice și a informațiilor vehiculate prin intermediul acestora.

Acest risc este exponenţial amplificat în actualul context geopolitic, în care spaţiul cibernetic deschide noi canale de spionaj, sabotaj, propagandă sau manipulare. Astfel, implicațiile recunoașterii de către NATO a spațiului cibernetic ca domeniu operațional, efectuată în contextul summit-ului de la Varșovia (Polonia) din 8-9 iulie 2016, marchează o importantă schimbare de paradigmă în privința apărării cibernetice colective. Spațiul cibernetic a căpătat, astfel, aceeaşi importanţă ca cea a mediilor convenţionale de desfăşurare a acțiunilor militare, impunându-se, ca cerinţă obligatorie şi necesară, dezvoltarea capabilităţilor cibernetice ofensive.

Deși, la momentul actual, România se află într-un proces activ de consolidare a securității cibernetice la nivel național, reglementările legislative existente și gradul de operaționalizare al acestora la nivelul majorităţii instituţiilor publice din România nu permit prevenirea și contracararea cu maximă eficiență a unor agresiuni cibernetice de nivel ridicat. Astfel, asigurarea și consolidarea securităţii cibernetice trebuie să reprezinte o preocupare majoră continuă a tuturor actorilor implicaţi, evidențiindu-se, ca prim factor de contracarare a potențialelor amenințări de acest gen, nevoia de îmbunătățire a gradului de cunoaștere și conștientizare a riscurilor și vulnerabilităților specifice spaţiului cibernetic.

Agresiunile cibernetice derulate de către alte state

Din perspectivă cibernetică, principala ameninţare la adresa securităţii naţionale este reprezentată de acţiunile ofensive derulate de către alte state. Acestea vizează reţele IT&C care deservesc infrastructuri vitale securităţii naționale. Prin aceste acţiuni se urmăreşte preluarea și menținerea controlului asupra infrastructurilor IT&C, în scopul exfiltrării de informaţii confidenţiale, de natură strategică (spionaj cibernetic), al sabotării acestora, dar şi pentru utilizarea lor în susținerea sau derularea altor atacuri cibernetice.

Agresiunile cibernetice statale de tip Advanced Persistent Threat (APT) au un impact semnificativ asupra securităţii naționale. Aceste agresiuni sunt executate, de regulă, de o entitate statală ce vizează ţinte din domeniul politic, militar, al securităţii naţionale şi economic. APT au un nivelul tehnologic ridicat, care îi permite să își mențină persistența și nedetectabilitatea pentru o perioadă îndelungată.

România, țintă a agresiunilor cibernetice statale

România reprezintă una dintre ţintele atacurilor cibernetice derulate de către alte state, obiectivul principal al acestora fiind obţinerea de informaţii strategice din domeniile de interes pentru atacator.

Atacatorii au lansat campanii complexe de spear-phishing asupra ţintelor vizate, mesajele transmise conţinând subiecte special concepute pentru a atrage atenţia utilizatorilor în scopul accesării link-urilor ce conţineau malware. Spear-phishing constă în transmiterea de mesaje către un grup de utilizatori care au în comun anumite elemente (sunt angajaţii unei instituţii, companii, departamente etc). E-mailurile sunt concepute astfel încât destinatarul să perceapă expeditorul ca fiind o persoană cunoscută (de la care primeşte de regulă sau aşteaptă corespondenţă). Ataşamentele ce conțin malware au denumiri similare domeniului de activitate al destinatarului.

La începutul lunii mai a acestui an, SRI a reușit identificarea și contracararea unei tentative de atac – asociate agresiunii cibernetice statale SOFACY/APT28/FANCY BEAR – la adresa unei instituții guvernamentale din România. Mesajul transmis în această campanie de spear-phishing către entitatea țintă conținea un atașament, document Word, cu titlul „Trump’s attack on Syria”. În situația în care acesta era descărcat pe un sistem informatic fără măsuri de securitate implementate, ar fi conferit atacatorului controlul de la distanță asupra acestuia și, implicit, asupra fișierelor disponibile pe serverul instituției.

Complexitatea infrastructurilor de atac şi a modalităţilor de extragere a informaţiilor indică angrenarea unor resurse semnificative (umane, financiare şi tehnologice) şi converg către atribuirea atacurilor cibernetice de acest fel unor servicii de informaţii sau structuri militare.

Agresiunea rusă

Unul dintre cele mai importante atacuri cibernetice statale este APT28/SOFACY, care a vizat domeniul militar, organizații non-guvernamentale (ONG-uri), jurnaliști și formațiuni politice din state membre NATO sau UE, începând cu anul 2009. Se consideră că Federația Rusă s-a aflat la originea atacului. Evaluările experților în domeniul securității cibernetice relevă faptul că țintele vizate au fost în concordanță cu obiectivele unui serviciu de intelligence specializat în obținerea de informații cu caracter militar. În anul 2015, gruparea a vizat militari de rang înalt din cadrul statelor membre NATO și persoane/organizații din Georgia, Germania, Polonia, Ucraina și Danemarca. De asemenea, în același an au fost publicate rapoarte în care se menționa că agresiunile derulate de APT28 au vizat inclusiv obținerea datelor de autentificare în mediul virtual folosite de activiști politici din Federația Rusă, bloggeri și politicieni, precum și de jurnaliști din SUA.

Atât în 2015, cât și în 2016, activitatea a fost caracterizată în primul rând de extragerea de informații clasificate și lansarea acestora în spațiul public la momentul oportun, în scopul influențării evenimentelor de pe scena internațională. Evoluția interesului actorului statal de la informații de natură militară la cele ce țin de domeniile politic și strategic, evidențiază rolul atacatorului de suport în derularea „măsurilor active”, în concordanță cu interesele Moscovei. Aceste măsuri corespund doctrinei sovietice de manipulare a opiniei publice. Deși atacul cibernetic în cauză a devenit cunoscut pentru țintele politice din 2016 – compromiterea rețelei DNC și influențarea procesului democratic din SUA –, analizele efectuate de principalele companii de securitate cibernetică indică faptul că principalul obiectiv l-a reprezentat întotdeauna obținerea de informații din domeniul militar în sprijinul operațiunilor militare ale Federației Ruse și obținerea datelor de interes strategic. De exemplu, documentele utilizate în campania de spear-phishing din 2016 au vizat personalul militar al NATO, o amenințare strategică pentru Federația Rusă. De asemenea, atât companiile de securitate cibernetică, cât și comunitatea de intelligence americană, atribuie această agresiune cibernetică GRU – serviciul militar de intelligence al Federației Ruse.

APT28 este un atac cibernetic complex, cu o infrastructură dezvoltată, însă organizațiile își pot reduce riscurile de a fi compromise prin aplicarea unor măsuri de securitate cibernetică cum ar fi scanarea vulnerabilităților, monitorizarea rețelelor, actualizarea serviciilor utilizate și instruirea utilizatorului.

Concluzii

În contextul geopolitic actual, România reprezintă o importantă țintă a agresorilor cibernetici statali. Din investigațiile derulate, se evidențiază faptul că atacatorii au ca obiectiv penetrarea rețelelor de interes strategic (cu predilecție domeniile militar și afaceri externe). În acest sens, se impune dezvoltarea unei cooperări interinstituționale durabile și constante, și totodată, implementarea unui cadrul legislativ adaptat evoluțiilor tehnologice și contextului de securitate actual.

Abstract

Over the last years, the cyber threat became one of the most dynamic threats to Romania’s national security, considering both the number of cyber aggressions targeting public and private institutions and also the technological complexity of the malware applications.

Romania is one of the most targeted countries due to its EU and NATO membership, the geographical position, the resources and the strategic objectives of our country.

The main purpose of the attackers is exfiltrating strategic data. Some countries are interested in deploying and developing cyber operations raising major security risks in the current geopolitical context. The advanced persistent threats (APT) are the most important tool in deploying cyber attacks.

Using APT an unauthorized person gains access to a network and remains undetected for a long period of time. APT attacks target stealing data rather than damaging the network.

Autor: Mihai Georgescu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

*
*