România, ținta unui nou ATAC INFORMATIC. O grupare din Rusia a ATACAT calculatoare ale Guvernului, în căutare de informații
O amplă operațiune de colectare de date a fost organizată începând cu 2007 și până în prezent, de către „vorbitori de limbă rusă”, cel mai probabil din Rusia, prin intermediul unui atac cibernetic de tip APT (advanced persitent threat), denumit Sofacy sau APT28, arată un raport al companiei de securitate IT Bitdefender, care a investigat această operațiune împreună cu specialiști ai serviciilor de informații.
Țintele acestei operațiuni au fost figuri politice proeminente, instituții guvernamentale, servicii de telecomunicații și criminalitate informatică și companii aerospațiale din România, Germania și Ucraina sau Spania.
În România, gruparea din Rusia a țintit computere care aparțin unor instituții guvernamentale sau în strânsă legătură cu Guvernul României, arată raportul Bitdefender, fără să specifice despre ce instituții este vorba. În timpul celei mai intense activități de atac cibernetic, care a avut ca țintă principală Ucraina, în România au fost găsite 1.287 de IP-uri vulnerabile, pregătite pentru a fi infectate.
Experții care au analizat operațiunea de atac cibernetic Sofacy au constatat că vârfurile de intensitate ale atacurilor au coincis cu evenimente de mare interes pentru Rusia: „au fost înregistrate în paralel cu desfășurarea unor evenimente internaționale majore, precum tratativele de pace dintre rebelii pro-ruși și forțele guvernamentale din Ucraina sau mediatizarea excesivă a construirii avionului militar PAK FA T-50 Fighter, capabil să atingă viteze supersonice (un competitor al modelului F35 al Lockheed Martin)„.
Experții consideră că atacul a fost realizat de cetățeni ruși sau dintr-o țară vecină care vorbește rusa (Belarus), bazându-se pe faptul că 88% din fișierele infectate prin operațiunea Sofacy au fost realizate în intervalul orar 8.00-18.00, de luni până vineri, corespunzător fusului orar al Rusiei. Acest fus orar corespunde și Georgiei și Azerbaidjanului, însă „Rusia este singura țară care are capacitatea și resursele necesare pentru un astfel de atac„, arată Bitdefender. Un alt indiciu legat de originea din Rusia a atacului cibernetic este denumirea în limba rusă a unor fișiere folosite pentru a infecta țintele, denumire care nu putea fi schimbată ulterior.
„APT28 a reușit să folosească un mecanism subtil de colectare a datelor timp de un deceniu. Investigația s-a concentrat pe infrastructura și particularitățile de operare ale APT28, ceea ce ne-a permis să corelăm amenințarea cu persoanele care au gestionat-o și să identificăm țintele vizate”, arată Viorel Canja, Head of Antimalware and Antispam Labs al Bitdefender.
Negocierile Acordului de pace de la Minsk sau lansarea competitorului rusesc al F-35, vârfuri de atac cibernetic
Raportul Bitdefender arată că gruparea care a realizat această operațiune de tip APT este extrem de activă și se concentrează pe regiuni specifice. Cele mai multe victime ale acestei operațiuni se află în Ucraina, Spania, Rusia, România, SUA și Canada.
Operațiunea APT28 a arătat un interes deosebit pentru Ucraina. Astfel, între 10 și 14 februarie 2015, gruparea a scanat peste 8,5 milioane de IP-uri doar din Ucraina, adică aproape toate cele alocate acestei țări, pentru a găsi vulnerabilități de securitate și a le penetra. În perioada respectivă, la Minsk, liderii Ucrainei, Rusiei, Belarusului, Germaniei și Franței negociau acordul de pace din estul Ucrainei.
În perioada respectivă, după scanare, atacatorii au găsit 1,7 milioane de IP-uri vulnerabile în Ucraina, apoi 4.666 în Rusia, 1.287 în România, 1.272 în Bulgaria, 150 în SUA, 149 în Canada și 2 în Italia.
Apoi, pe 16 februarie, atacul și-a mutat concentrarea pe Spania, unde a scanat peste 58.000 de IP-uri, găsind peste 6.000 vulnerabile, cele mai multe din Spania.
Un alt moment de mare interes pentru colectarea de informații de la țintele atacate de Sofacy are legătură cu industria aeronautică și programele de cercetare a aeronavelor. Momentul coincide cu acoperirea media intensă a avionului rusesc PAK FA T-50 în raport cu competitorul american F-35. „Presupunem că autorii APT28 au încercat să exploreze noile tehnologii dezvoltate de industria aerospațială, pentru a le integra”, arată raportul Bitdefender.
Cum funcționa Sofacy: boți de scanare a IP-urilor în SUA, UK și Bulgaria, apoi infectare manuală a țintelor
Operațiunea a început prin scanarea inteligentă a milioane de IP-uri, în căutarea celor vulnerabile. Acestea erau alese, nu se scana la grămadă pe clase întregi de IP-uri, pentru a nu trezi suspiciuni, apoi erau compilate într-o bază de date. Boții folosiți la scanare erau localizați câte trei în SUA, Marea Britanie și Bulgaria.
Dacă operațiunea de scanare după IP-uri vulnerabile era făcută automatizat, Bitdefender arată că infectarea propriu-zisă se făcea manual, de operatori umani, pe ținte alese dinainte.
Apoi, existau trei metode de infectare a țintelor alese: emailuri de tip phishing, cu documente infectate atașate, de tip Word sau Excel; siteuri de phishing găzduite pe domenii care conțineau mici greșeli de tipar (o literă lipsă sau diferită față de domenii legitime, cunoscute); sau iFrames malițioase care ducea la vulnerabilități de tip zero-day (originare) în Java sau Flash.
Astfel, ținta se infecta cel mai des accesând un URL infectat. Se descărca un mic program pe hard (numit runrun.exe), care apoi descărca un fișier ce era executat la rândul lui de Windows. Astfel, calculatorul infectat intra în contact cu centrul de control și comandă al hackerilor. Atunci urma partea a doua a infectării, care prin aceeași metodă instala un alt fișier prin care calculatorul infectat, prin backdoor-ul creat, contacta trei servere. Astfel, atacatorii aveau acces nelimitat la calculatorul respectiv.
În unele cazuri, operațiunea se desfășura manual, arată Bitdefender.
Octombrie Roșu 2013. România, ținta celui mai mare atac cibernetic din ultimii 20 de ani
România nu este pentru prima oară în centrul unei operațiuni de atac cibernetic de mare amploare, de tip APT. În 2013, operațiunea de spionaj cibernetic denumită „Octombrie Roșu”, devoalată de firma de securitate IT Kaspersky, a avut implicații mult mai mari asupra siguranței naționale a României decât se credea inițial, conform SRI. Atunci, spionii au vizat informații secrete privind politica externă, resursele naturale din Marea Neagră și secrete economice și politice din zona Mării Negre.
„Amenințarea a fost una dintre cele mai mari din ultimii ani, la adresa României și a aliaților săi, pentru că lucrurile au fost puse în contextul Uniunii Europene și al NATO, în care România este membră. Putem spune că este cel mai mare atac din ultimii 20 de ani. În ultima perioadă, se poate observa o turnură în modul în care acționează serviciile de spionaj în această zonă: se acționează prin atacuri de tip cibernetic”, declara în 2013 purtătorul de cuvânt al SRI, Sorin Sava, pentru gândul.
„În afară că s-a urmărit accesul la rețelele naționale de informații, s-au căutat informații despre politica externă a României, despre resursele naturale și politica din zona Mării Negre și despre spațiul economic din această zonă”, a mai spus oficialul SRI.
Operațiunea de spionaj cibernetic se derula de 5 ani, cu precădere în zona Europei de Est și a fostelor state sovietice. Denumită „Octombrie Roșu”, operațiunea se folosea de viruși creați de hackeri chinezi, care erau plantați în rețelele informatice spionate cu ajutorul unor programe create de hackeri ruși.
Inițial, SRI a anunțat că atacul asupra României nu a avut o anvergură atât de mare, spionii reușind doar accesul la informații confidențiale, nu însă și la cele secrete. Conform Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT), operațunea de spionaj a afectat doar 4 adrese de IP ale unor ambasade și instituții străine din România.