SRI despre operațiunea de atac cibernetic „Octombrie Roșu” asupra României: S-au urmărit informații confidențiale, nu secrete

Purtătorul de cuvânt al SRI a declarat, pentru Mediafax, că atacul cibernetic „Octombrie Roșu” mediatizat de către firma de securitate cibernetică Kaspersky a fost investigat de SRI încă din 2011, iar acesta a vizat accesul la rețele informatice de interes național și culegerea de „informații confidențiale”, nu clasificate.

Firma rusească Kaspersky a descoperit o operațiune de spionaj cibernetic de anvergură, care se desfășoară de 5 ani și care vizează în special instituții oficiale și diplomatice. În România, au fost vizate 4 instituții străine, conform Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT). Conform Kaspersky, în spatele acestei operațiuni s-ar afla hackeri de origine chineză, care au colaborat cu kackeri din Rusia.

„Recentul atac cibernetic «Octombrie Roșu» mediatizat de către firma Kaspersky a făcut obiectul investigațiilor SRI începând cu anul 2011. SRI a identificat activitățile acestor entități cibernetice ostile ce urmăreau obținerea accesului la rețele informatice de interes național și culegerea de informații confidențiale. Atenție, nu este vorba de informații clasificate, ci de informații confidențiale”, a declarat purtătorul de cuvânt al SRI, Sorin Sava.

El a adăugat că atacul cibernetic „a determinat reacția Serviciului de informare a autorităților vizate și întreprinderea măsurilor de contracarare a atacului, precum și restabilirea funcționării normale a acestora”.

Potrivit purtătorului de cuvânt al SRI, rețelele vizate de atacurile „Octombrie Roșu” aparțin „unor instituții guvernamentale, dar și din domeniul privat”.

„SRI întreprinde măsuri pentru stabilirea identității agresorului cibernetic întrucât activitățile acestuia aduc atingere securității naționale”, a menționat oficialul SRI.

Potrivit lui Sava, atacurile investigate în ultimii ani de SRI permit estimarea că amenințarea cibernetică este una dintre cele mai mari și dinamice la adresa securității naționale și partenerilor externi, iar aceasta trebuie tratată ca o „prioritate a statului român”.

„Securitatea cibernetică reprezintă o dimensiune a securității naționale, iar această zonă revine SRI și noi avem o colaborare în acest sens cu celelalte instituții ale statului, dar și cu mediul privat, fiind vorba de firme, universități”, a mai spus Sava.

Compania Kaspersky Lab, specializată în produse pentru securitatea informatică, a detectat o campanie de spionaj cibernetic care vizează de cinci ani țări din Europa de Est și foste state sovietice, printr-un program creat de experți rusofoni.

Campania, care are numele de cod „Octombrie roșu”, vizează „reprezentanțe diplomatice, administrații și institute de cercetare științifică”, explică grupul Kaspersky Lab.

Pe cine spionau hackerii în România

Patru IP-uri ale unor instituții și ambasade străine din București au fost vizate, potrivit unui comunicat al CERT.

„Sunt patru IP-uri în România. Investigația este încă în desfășurare. În momentul în care am identificat aceste patru victime, am luat toate măsurile necesare pentru reducerea efectelor atacurilor”, a declarat, pentru TVR, Dan Tofan, director tehnic la Centrul Național de Răspuns la Incidente de Securitate Cibernetică.

Este vorba despre agenții guvernamenatle și ambasade acreditate din Bucuresți. În afara anchetei Centrului Național de Răspuns la Incidente de Securitate Cibernetică, instituțiile vizate derulează propriile investigații.

„Aceste atacuri devin din ce în ce mai ascunse și trec ani până când victimele află că informațiile lor au fost furate”, a explicat, pentru TVR, expertul Costin Raiu, de la Kaspersky Lab.

Cele mai multe atacuri au fost depistate în Rusia, Kazahstan, Azerbaidjan, Belgia, India și Afganistan.

Ce urmărea campania „Octombrie Roșu”

Kaspersky Lab a anunțat pe site, că a identificat operațiunea „Octombrie Roșu”, o campanie avansată de spionaj cibernetic care țintește instituții guvernamentale și diplomatice din întreaga lume.

Raportul de cercetare care identifică „o foarte discretă campanie de spionaj vizând ținte din domeniile diplomatic, guvernamental și științific din mai multe țări”, a fost dat publicității luni de către Kaspersky Lab.

„Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în țări din Europa de Est, statele din zona fostei URSS, precum și state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate și în alte zone, precum Europa de Vest și America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date și documente secrete de la organizațiile afectate, inclusiv informații de importanță geopolitică, date de acces în rețelele securizate sau clasificate și date din dispozitive mobile și echipamente de rețea”, a precizat sursa citată.

O echipă de experți a Kaspersky Lab a lansat o investigație în octombrie 2012, ca urmare a unei serii de atacuri împotriva unor servicii diplomatice la nivel internațional. Pe parcursul investigaței a fost descoperită și analizată o amplă rețea de spionaj cibernetic.

Conform raportului de analiză al Kaspersky Lab, „Operațiunea Octombrie Roșu, pe scurt «Rocra», a avut o activitate susținută încă din anul 2007 și este în continuare activă în ianuarie 2013”.

Din investigațiile privind rețeaua avansată de spionaj cibernetic „Octombrie Roșu” a rezultat că atacatorii au fost activi cel puțin din 2007 până în prezent și s-au concentrat pe agenții diplomatice și guvernamentale din diferite țări, precum și pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare ți companii comerciale și din domeniul aerospațial.

Cum erau furate informațiile, prin exploatarea de vulnerabilități din Word sau Excel

„Atacatorii din rețeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de «Rocra», cu o arhitectură modulară proprie, constând în special în extensii malițioase, module de furt de informații și troieni”, a precizat Kaspersky Lab.

Potrivit sursei citate, informația furată din rețelele infectate a fost deseori folosită pentru a obține acces la sisteme adiționale. De exemplu, parolele de acces și numele de utilizatori furate au fost compilate într-o listă specială și utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locații.

Pentru a controla rețeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite țări, în principal în Germania și Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă și control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.

„Informația furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile «acid*», în particular, par a se referi la software-ul clasificat «Acid Cryptofiler», folosit de mai multe entități din Uniunea Europeană și NATO”, a adăugat Kaspersky Lab.

Potrivit statisticilor KSN, câteva sute de sisteme infectate unice au fost detectate din datele primite de KSN, cu precădere din ambasade, organizații și rețele guvernamentale, consulate și institute de cercetare. Conform datelor KSN, majoritatea infecțiilor au fost identificate în primul rând în Europa de Est, dar au fost identificate și în America de Nord și în țări din Europa de Vest, cum sunt Elveția și Luxemburg.

Analiza sinkhole realizată de Kaspersky Lab a avut loc între 2 noiembrie 2012 și 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de țări. Majoritatea adreselor IP infectate au fost identificate în Elveția, urmată de Kazahstan și Grecia, a mai precizat sursa citată.

Kaspersky Lab a mai arătat că atacatorii au creat o platformă de atac multifuncțională, care include mai multe extensii și fișiere malițioase dezvoltate pentru a se adapta rapid la configurații diferite și pentru a colecta informații din echipamentele infectate.

„Platforma Rocra este unică și nu a fost identificată de către Kaspersky Lab în niciuna dintre campaniile de spionaj cibernetic precedente”, a precizat sursa citată.

Principalul scop al acestor module este furtul de informație criptată. Fișierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi Acid Cryptofiler, cunoscut ca fiind utilizat de organizații din NATO, Uniunea Europeană, Parlamentul European și Comisia Europeană cu începere din vara lui 2011, pentru protecția informațiilor secrete.

Pe lângă atacarea computerelor tradiționale, malware-ul este capabil să fure informații din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia și Windows Mobile). Malware-ul este, de asemenea, capabil să fure informații de configurare de la echipamentele din rețea, cum ar fi routere și switch-uri și poate recupera fișiere șterse de pe dispozitivele USB.

US-CERT, CERT România și CERT Belarus au ajutat Kaspersky Lab în investigație.

Fondat în 1997, Kaspersky Lab este un grup internațional care are activități în peste 100 de țări și 2.300 de angajați.