Prima pagină » Știri » SRI: România – ținta celui mai mare atac cibernetic din ultimii 20 de ani. Operațiunea „Octombrie Roșu” a vizat secrete politice și economice la Marea Neagră

SRI: România – ținta celui mai mare atac cibernetic din ultimii 20 de ani. Operațiunea „Octombrie Roșu” a vizat secrete politice și economice la Marea Neagră

Anunțul BOMBĂ a fost făcut de SRI. Nimeni nu a fost la adăpost de...

Operațiunea de spionaj cibernetic denumită „Octombrie Roșu”, pe care firma de securitate IT Kaspersky a devoalat-o săptămâna aceasta, a avut implicații mult mai mari asupra siguranței naționale a României decât se credea inițial, conform SRI. Astfel, spionii au vizat informații secrete privind politica externă, resursele naturale din Marea Neagră și secrete economice și politice din zona Mării Negre.

„Amenințarea a fost una dintre cele mai mari din ultimii ani, la adresa României și a aliaților săi, pentru că lucrurile au fost puse în contextul Uniunii Europene și al NATO, în care România este membră. Putem spune că este cel mai mare atac din ultimii 20 de ani. În ultima perioadă, se poate observa o turnură în modul în care acționează serviciile de spionaj în această zonă: se acționează prin atacuri de tip cibernetic”, a declarat purtătorul de cuvânt al SRI, Sorin Sava, pentru gândul.

„În afară că s-a urmărit accesul la rețelele naționale de informații, s-au căutat informații despre politica externă a României, despre resursele naturale și politica din zona Mării Negre și despre spațiul economic din această zonă”, a mai spus oficialul SRI.

Firma de securitate IT Kaspersky a anunțat luni că a descoperit o operațiune de spionaj cibernetic care se derulează de 5 ani, cu precădere în zona Europei de Est și a fostelor state sovietice. Denumită „Octombrie Roșu”, operațiunea se folosea de viruși creați de hackeri chinezi, care erau plantați în rețelele informatice spionate cu ajutorul unor programe create de hackeri ruși.

Inițial, SRI a anunțat că atacul asupra României nu a avut o anvergură atât de mare, spionii reușind doar accesul la informații confidențiale, nu însă și la cele secrete. Conform Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT), operațunea de spionaj a afectat doar 4 adrese de IP ale unor ambasade și instituții străine din România. SRI a demarat investigația asupra acestei operațiuni de spionaj încă din 2011, conform unui comunicat de presă.

Acest lucru nu înseamnă însă că spionii nu au încercat mai mult, susține Sorin Sava. „Au fost doar 4 IP-uri, dar în spatele unui IP se pot afla mii de calculatoare. Intensitatea atacului a fost contracarată datorită ripostei destul de agresive și dure a SRI. Am luat toate măsurile și am informat instituțiile guvernamentale și private să se protejeze. De aceea s-a ajuns doar la informații confidențiale, nu și la cele clasificate. SRI continuă să întreprindă măsuri active pentru identificarea autorilor atacului, pentru că agresorul cibernetic aduce atingere securității naționale a României”, a mai declarat Sorin Sava pentru gândul.

Cum funcționa operațiunea Operațiunea Rocra – „Octombrie Roșu”

Harta obiectivelor spionate de operațiunea Octombrie Roșu (România nu apare „înroșită” pe hartă pentru că doar țările cu 5 sau mai multe atacuri au fost conturate astfel). Clic pentru a mări

Kaspersky Lab, una dintre cele mai puternice firme de securitate IT din lume, cu sediul în Rusia, a dat luni publicității un raport legat de operațiunea de spionaj cibernetic denumită Rocra, o prescurtare rusească pentru Octombrie Roșu.

„Activă de aproximativ 5 ani, campania pare să se fi derulat cu precădere în țări din Europa de Est, statele din zona fostei URSS, precum și state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate și în alte zone, precum Europa de Vest și America de Nord. Principalul obiectiv al atacatorilor a fost acela de a colecta date și documente secrete de la organizațiile afectate, inclusiv informații de importanță geopolitică, date de acces în rețelele securizate sau clasificate și date din dispozitive mobile și echipamente de rețea„, precizează raportul Kaspersky.

Din investigațiile privind rețeaua avansată de spionaj cibernetic „Octombrie Roșu” a rezultat că atacatorii au fost activi cel puțin din 2007 până în prezent și s-au concentrat pe agenții diplomatice și guvernamentale din diferite țări, precum și pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare și companii comerciale și din domeniul aerospațial.

„Atacatorii din rețeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de «Rocra», cu o arhitectură modulară proprie, constând în special în extensii malițioase, module de furt de informații și troieni”, a precizat Kaspersky Lab.

„Pentru a infecta sistemele, atacatorii au trimis un email de tip phishing către victime, care includea un lansator customizat de troieni. Pentru a instala programul malware și a infecta sistemul, emailul includea exploit-uri care erau create pentru vulnerabilități din programele Microsoft Office și Microsoft Excel. Exploit-urile din documentele folosite în emailuri au fost create de alți atacatori și folosite și în alte atacuri care au inclus activiștii din Tibet sau ținte din sectoarele energetice și militare din Asia. Singurul lucru schimbat în documentele folosite de Rocra a fost fișierul executabil, pe care atacatorii l-au înlocuit cu unul creat cu propriul cod”, arată raportul Kaspersky.

Schema simplificată de funcționare a unui atac, conform Kaspersky Lab.

Principalul scop al acestor module infectate este furtul de informație criptată. Fișierele furate sunt cele care provin de la diverse sisteme de criptare, cum ar fi Acid Cryptofiler, cunoscut ca fiind utilizat de organizații din NATO, Uniunea Europeană, Parlamentul European și Comisia Europeană începând din vara lui 2011, pentru protecția informațiilor secrete.

Pentru a controla rețeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite țări, în principal în Germania și Rusia. Analiza Kaspersky Lab asupra infrastructurii de comandă și control (C2) a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal.

„Informația furată din sistemele infectate include documente cu extensiile txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, acidssa. Extensiile «acid*», în particular, par a se referi la software-ul clasificat «Acid Cryptofiler», folosit de mai multe entități din Uniunea Europeană și NATO”, mai arată Kaspersky Lab.

Potrivit statisticilor Kaspersky Security Network, câteva sute de sisteme infectate unice au fost detectate, cu precădere din ambasade, organizații și rețele guvernamentale, consulate și institute de cercetare. Conform datelor KSN, majoritatea infecțiilor au fost identificate în primul rând în Europa de Est, dar au fost identificate și în America de Nord și în țări din Europa de Vest, cum sunt Elveția și Luxemburg.

Analiza realizată de Kaspersky Lab a avut loc între 2 noiembrie 2012 și 10 ianuarie 2013. În această perioadă s-au înregistrat peste 55.000 de conexiuni de la 250 de adrese IP infectate din 39 de țări. Majoritatea adreselor IP infectate au fost identificate în Elveția, urmată de Kazahstan și Grecia.

„Platforma Rocra este unică și nu a fost identificată de către Kaspersky Lab în niciuna dintre campaniile de spionaj cibernetic precedente”, mai arată raportul.

Pe lângă atacarea computerelor tradiționale, malware-ul este capabil să fure informații din dispozitive mobile, cum ar fi smartphone-urile (iPhone, Nokia și Windows Mobile). Malware-ul este, de asemenea, capabil să fure informații de configurare de la echipamentele din rețea, cum ar fi routere și switch-uri și poate recupera fișiere șterse de pe dispozitivele USB.

US-CERT, CERT România și CERT Belarus au ajutat Kaspersky Lab în această investigație.

SRI a analizat virușii lansați asupra rețelelor românești

SRI susține că a reușit să dejoace majoritatea atacurilor din cadrul campaniei Octombrie Roșu, aceasta fiind fără precedent și de o putere remarcabilă.

„Din analiza malware a troianului plasat în sistemele informatice, a rezultat că acesta utilizează metode complexe de operare în calculatoarele infectate, în scopul protecției împotriva programelor antivirus, dar și pentru asigurarea persistenței prin mecanisme robuste de regenerare în cazul descoperii și devirusării. În acest sens, operațiunile derulate de SRI indică faptul că agresorul dispune de resursele necesare pentru valorificarea cu operativitate a informațiilor exfiltrate și preluarea inițiativei pentru lansarea unor noi atacuri cibernetice asupra altor instituții”, au explicat oficialii SRI.

Citește și