Ce s-a întâmplat de fapt în cadrul atacului informatic de care vorbeşte SRI?

Ce s-a întâmplat de fapt în cadrul atacului informatic de la finalul lunii februarie când şi România a fost atacată? Sorin Sava, purtătorul de cuvânt al SRI, a declarat că atacul a avut chiar un impact mai mare decât cel al Red October.

„Acest atac este unul cu totul nou faţă de Red October, este realizat însă de o entitate care prezintă caracteristicile unui actor statal. Din estimările SRI, acest atac are un impact mai mare, din cauza nivelului tehnologic superior, care îi perimite să se disimuleze mai bine şi să preia sub control reţeaua compromisă, în scop exfiltrării (opusul infiltrării, n.r.) de informaţii. Potrivit şi estimărilor SRI, atacul are cu certitudine relevanţă în planul securităţii naţionale a României prin profilul entităţilor compromise, motiv pentru care, în prezent, Serviciul, prin echipele specializate de reacţie la atacuri cibernetice, întreprinde măsuri specifice pentru identificarea tuturor entităţilor afectate, evitarea consecinţelor şi stoparea atacului", a spus Sava pentru Mediafax.

Virusul este unul care se foloseşte de vulnerabilităţi deja existente în programele folosite şi extrage date. Potrivit Kaspersky Lab, virusul s-a numit MiniDuke şi a arătat diferit de alte tipuri de atacuri, prin forma pe care a luat-o. Ţările care au fost ţinte ale acestui virus au fost Ucraina, Belgia, Portugalia, România, Cehia şi Irlanda. De asemenea, două think tank-uri şi un furnizor din domeniul medical din SUA au mai fost atacate.

Eugene Kaspersky, fondatorul Kaspersky Lab, a declarat că acesta a fost un tip de virus foarte neobişnuit, deoarece el era folosit la finalul anilor ‘90 şi începutul anilor 2000. Aceste atacuri de la finalul lui februarie au reuşit să treacă peste sandbox-ul sistemelor. Ce sunt acestea? Sandbox-ul este un mecanism de securitate care separă programele care rulează. Este folosit de multe ori pentru a testa cod sau programe neverificate. Practic, un sandbox oferă un spaţiu unde un virus ar putea rula fără să afecteze sistemul, printr-o separaţie clară între acest mecanism şi restul stocării.

Ce mai ştim despre atac?

Potrivit Kaspersky Lab, atacatorii MiniDuke sunt prezenţi în continuare şi au creat fişiere virusate şi pe 20 februarie. Ei trimiteau documente PDF maliţioase către ţintele vizate. Ele păreau să fie credibile, vorbind despre un seminar pentru drepturile omului şi planuri NATO. Toţi viruşii foloseau o problemă din Adobe Reader versiunile 9, 10 şi 11.

Programul era foarte inteligent, dat fiind că după ce se instala în calculator putea “simţi” prezenţa unui antivirus şi rămânea inactiv, netrecând la următoarea etapă. Potrivit Kaspersky, autorii viruşilor ştiau foarte bine ce fac specialiştii în IT.

Într-un interviu exclusiv pentru „Adevărul“, Costin Raiu, directorul de cercetare de la Kaspersky a spus că atacul a fost sponsorizat de un stat, deoarece investiţia a fost enormă. „Este un cod care mergea în arabă, ebraică, engleză şi greacă“.

Acest virus folosea conturi de Twitter fictive pentru a transmite informaţii creatorilor MiniDuke. Prin Twitter se trimiteau link-uri criptate către backdoor-uri, adică portiţele de intrare în sistem. Acestea ofereau acces către centre de comandă şi control care puteau furniza comenzi şi transferuri criptate din sistem, prin intermediul unor fişiere GIF.

Potrivit Kaspersky, malware-ul era conectat la două servere, unul din Panama şi unul din Turcia.