Atac cibernetic masiv al Rusiei asupra SUA: furt continuu de date, materiale, analize şi comunicaţii din instituţiile americane timp de 9 luni

Joi, 17 decembrie, a fost anunţată public identificarea celui mai mare atac cibernetic din istorie la adresa Statelor Unite, dar şi a instituţiilor altor state. Dimensiunea atacului este greu de estimat acum, ca şi costurile unui asemenea atac, care a avut în primul rând scopul de a extrage, timp de mai bine de 9 luni, date din interiorul instituţiilor pe care le-a penetrat.

Atacul atribuit APT 29, o structură de hackeri legată de SVR, serviciul de informaţii externe al Federaţiei Ruse, a revoluţionat lumea cyber prin gradul de sofisticare şi numărul ţintelor vizate. Rezultatul este dezastruos şi reclama o reacţie majoră a SUA, dincolo de banalele avertismente diplomatice sau expulzări de diplomaţi. Deja SUA a retras toate consulatele sale din Rusia, pe motivul limitării numărului de membri ai acestora de către ţara gazdă, fără repercusiuni asupra consulatelor ruse din America. Însă dacă Secretarul de Stat Mike Pompeo a atribuit atacul Rusiei, Preşedintele american Donald Trump a respins comunicatul administraţiei şi a plasat atacul, fără nici o bază, “poate în responsabilitatea Chinei” sau a altui actor, minimalizând impactul şi spunând că a fost informat şi are totul sub control. Comunitatea de Securitate din SUA este, însă, situată între preocupare profundă şi panică.

Cel mai important atac cibernetic din istorie. La întâmplare şi fără motiv?

Rusia a produs cel mai masiv atac cibernetic la adresa Statelor Unite, cel mai probabil fără să fi premeditat nici dimensiunea atacului, nici cantitatea de informaţii şi nivelul de acces la care au ajuns atacatorii în urma atacului. Fireşte, e vorba despre reţele internet, deci cu acces exterior, nu intranet şi nici informaţii clasificate sau componente de securitate critice precum accesul la armele nucleare. Cel mai probabil, hackerii au fost mai preocupaţi de rezultatul acţiunii, făcând artă pentru artă, fiind mai degrabă o încercare aleatorie, la întâmplare, fără un plan, o strategie sau o ţintă fixă, care s-a dovedit mult mai prolifică şi mai profitabilă decât se aşteptau chiar cei care au pătruns în miezul reţelelor instituţiilor americane.

Atacul de hacking a început în luna martie cu penetrarea în cadrul sistemelor de update a unui program popular de software, Orion, produs de compania SolarWinds. Pe această bază, a fost accesată componenta de supraveghere şi monitorizare a reţelelor pentru servicii tehnice la nivelul a câteva sute de mii de organizaţii care utilizau programul şi primeau regulat update-urile din partea producătorului, şi cu ele şi codul infectat. În cadrul operaţiunii, au fost infiltrate sistemele şi reţelele a celor mai multe dintre companiile din Fortune 500 dar mai ales agenţii guvernamentale şi ministere din America de Nord, Europa, Asia şi Orientul Mijlociu.

Astfel, au fost ţintite cel puţin 6 ministere ale guvernului american, între care Departamentul de Stat, energie, comerţ, trezoreria americană şi Administraţia Naţională de Securitate Nucleară. În plus, câteva zeci de firme de securitate şi de tehnologie înaltă au fost afectate, ca şi organizaţii neguvernamentale. 80% dintre ţinte sunt din SUA, dar Microsoft a identificat victime din Canada, Mexic, Belgia, Spania, Regatul Marii Britanii, Israel şi Emiratele Arabe Unite. Dimensiunea reală este încă de stabilit, odată ce noi şi noi ţinte sunt identificate. NATO şi-a făcut propriile evaluări şi susţine că sistemele sale nu au fost afectate, iar zonele ce aveau software de provenienţă SolarWinds au fost carantinate şi izolate.

Atacurile cibernetice sunt ieftine, lesne de negat prin anonimatul relativ al atacatorului şi mai ales au o eficienţă majoră la nivel psihologic. Capacităţile de reacţie sunt limitate iar la nivel internaţional, legislaţia este, de asemenea, foarte vagă, nespecifică şi limitativă. Agenţia specializată a Departamentului de Homeland Security al SUA, Cybersecurity Infrastructure Security Agency(CISA) a subliniat clar faptul că scopul atacului nu este încă pe deplin cunoscut, dar multe componente ale guvernului, agenţii şi administraţii locale, ca şi sistemele sectorului privat sunt în faţa unui risc major. Secretarul de Stat Mike Pompeo a fost primul oficial care a atribuit atacul Rusiei, acuzând Kremlinul via SVR pentru această acţiune ostilă.

Tacticile utilizate de atacatori sunt sofisticate şi nemaivăzute până astăzi, potrivit CISA, de aceea eliminarea ameninţării va fi foarte dificilă şi va dura mult timp. Comunicatul comun al FBI, CISA şi al Directorului pentru Informaţii al Casei Albe(DNI) a anunţat un incident cibernetic semnificativ, o situaţie în dezvoltare, şi susţine că atacul este, încă, în derulare. Potrivit Congresului American, sesizat la nivelul comisiei de control şi supraveghere a comunităţii de intelligence, administraţia americană nu ştia încă, vineri 18 decembrie, cât de profund au penetrat hackerii ruşi ai SVR (din APT 29, unitatea care a penetrat prima site-ul Consiliului Naţional Democrat în 2016, afectând alegerile americane) şi cât de puternic este atacul cibernetic asupra agenţiilor federale.

Amploarea pierderilor şi a costurilor depinde, încă, de cât a stricat şi ce a lăsat în urmă atacatorul rus

Sistemele de specialitate americane nu au putut identifica vreo reţea de informaţii clasificate care ar fi fost compromisă. Aceste reţele funcţionează independent şi sunt izolate de internet, dar faptul că anumite programe se regăsesc şi că şi ele suferă update – uri periodice – e adevărat, făcute de personal specializat şi prin interveniţie fizică directă, nu de la distanţă – le poate expune, în egală măsură. Aici ar fi spaţiul în care, dacă se pătrunde, efectul e catastrofal şi deplin.

Microsoft a fost cel care a dat cea mai recentă şi completă evaluare a breşei de securitate şi impactul său: mai bine de 40 de agenţii guvernamentale, think tankuri, organizaţii neguvernamentale şi companii IT infiltrate de către hackeri, majoritatea în SUA şi state partenere. Nu e vorba despre o operaţiune obişnuită de spionaj, nici măcar în era digitală, ci de “un act cu un nivel de distrugere fără precedent, care a creat o vulnerabilitate tehnologică Statelor Unite şi lumii întregi”.

Intrat în reţea, codul introdus de APT 29 via update-urile de la Orion au atacat Microsoft Office 365, sistemul de operare şi toate produsele din această serie. Pe această direcţie, produsele Microsoft utilizate peste tot în lume ar fi compromise, cu consecinţe majore la nivelul sistemelor de operare, a jocurilor video, infrastructurii de stocare în cloud şi mult mai multor asemenea componente. Microsoft a lansat o formă de update pentru blocarea codului destructiv, dar a insistat că acţiunea e mai vastă pentru că, odată în reţea, codul hackerilor ruşi colectează credenţiale şi date care să deschidă accesul şi mai larg, în continuare, către terţe programe.

Potrivit persoanelor care au trecut prin brieful despre atac, ar fi vorba despre un atac fără precedent şi extrem de rar ce priveşte intermediarul furnizor, atacă reţeaua şi sistemul de operare general Microsoft, culege date şi permite acces tot mai larg la reţele celui care l-a lansat. Pe de altă parte, “modul de acţiune e ca şi cum s-ar închide, ar încerca să fie secret şi disimulat, să acţioneze infim pentru a nu fi detectat, comunicând cu sursa încet şi la nivel redus." Rezultatul este nedectabilitatea sa multă vreme, chiar dacă cantitatea de date ce sunt exfiltrate este relativ mică din cauza vitezei şi a dimensiunii reduse a fluxului de date pe care o reclamă acest model ce se vrea invizibil multă vreme.

În plus, ceea ce nu au reuşit încă să stabilească instituţiile de cyber security americane este dacă, în afara spionajului şi culegerii de date, atacul rus a vizat modificarea, alterarea sau ştergerea unor date, dacă a distrus sisteme sau dacă a lăsat anumite “bombe cibernetice” în sistemele pe care le-a compromis, bombe ce ar putea fi activate ulterior pentru a distruge fie sistemele informatice, fie chiar infrastructura pe care o coordonează. Abia identificarea deplină a acestor elemente va putea fi în măsură să dea dimensiunea reală a atacului şi costurile necesare pentru curăţarea reţelelor, refacerea acestora sau reconstrucţia din temelii, completă, a reţelelor compromise.

Atacatorul rus SVR – ce face cu masa de date extrase?

APT 29 lucrează pentru SVR, au un grad înalt de profesionalism şi cunoaştere a reţelelor americane dar şi a programelor Microsoft. Fără a specula sursele informaţiilor, există la bază o mare probabilitate ca aceste lucruri să fi fost dobândite anterior, din interiorul fiecărei instituţii şi, desigur, a Microsoft. Atacatorii din SVR au ştiut să-şi ascundă urmele folosind adrese americane de internet din fiecare oraş în parte care a fost folosit pentru a genera atacul, pentru fiecare victimă în parte. Au fost create secvenţe de programe care sunt menite să evite detectarea codului maliţios introdus de către sistemele americane de avertizare timpurie şi intruzia a fost stabilită într-un interval temporar care să nu nască suspiciuni suplimentare.

Atacurile au subliniat vulnerabilitatea şi punctul slab al sistemelor americane care vine de la dimensiunea administrativă şi nenumăraţii furnizori privaţi de programe, care lucrează pe bază de contract, şi care au acces la reţele în limita nevoii de aducere la zi a programelor. Dar, potrivit experţilor, elementele noi se tot adaugă şi, pe măsura cunoaşterii substanţei atacului, lucrurile se pot dovedi mult mai grave chiar decât cele identificate acum.

Deja avem de a face cu unul dintre cele mai puternice, nocive şi destructive atacuri, foarte probabil chiar cel mai destructiv atac din ultimii 10 ani, prin prisma dimensiunii ţintelor şi a naturii de spionaj cibernetic a atacului. Este vorba despre cel mai de succes atac cibernetic de infiltrare în administraţia americană şi în corporaţiile private de tehnologie şi cercetare din întreaga istorie.

Atacul a permis accesul hackerilor şi al SVR la reţelele organizaţiilor vizate şi posibilitatea de a extrage, în 9 luni de zile, informaţia din multiple ţinte, inclusiv monitorizarea emailurilor şi a comunicaţiilor interne. Remarcabil ca scop, grad de sofisticare şi impact, cum l-a definit Microsoft, impactul este echivalent cu a înţelege în timp real modul de funcţionare, influenţele în luarea deciziei, opţiunile discutate, decizia însăşi la nivelul celor mai importante instituţii ale statului american.

E adevărat că, potrivit caracteristicilor atacului, este imposibil ca cele câteva sute de mii de reţele ţintă să fi fost exploatate pe deplin, dar câteva sute au fost nu numai penetrate, dar controlate complet. Nu putem şti care reţele au fost doar accesate şi care au fost sau încă sunt sub controlul rus al SVR. În plus, momentul de panică a intervenit atunci când specialiştii americani au realizat că programe terţe sau utilizatori terţi, cu toate credenţialele valabile, pot, în continuare, accesa sistemele pentru care sunt îndrituiţi să le utilizeze, dar nu se ştie dacă aceşti utilizatori nu sunt ei înşişi compromişi de către atacul originar. De aici saltul de la preocupare profundă la panică privind nivelul impactului acestui atac.

Deşi instituţiile guvernului american nu au numit oficial responsabilul de atac, elementele de probă pe care le deţin indică Rusia, SVR şi APT 29 ca sursă a atacului. Andrei Soldatov, expert în serviciile de informaţii ruse, este singurul care susţine că ar fi rezultatul unui efort comun SVR-FSB(ultima fiind agenţia de informaţii interne a Rusiei), în timp ce Rusia a negat orice implicare la nivelul Ambasadorului rus la Washington şi a lui Vladimir Putin. Totuşi, tacticile de infiltrare ale actualei acţiuni ce vizează metoda lanţului de furnizori au trimis către tehnica hackerilor militari ruşi din 2016 prin care au infectat companiile străine ce făceau afaceri în Ucraina, cu virusul NotPetya, cel mai puternic atac cibernetic până astăzi. În plus există şi alte “urme” şi “caracteristici” ale acţiunii care duc spre APT 29.

La nivelul accesului, calităţii şi certificării datelor extrase şi al cantităţii importate e cel mai probabil că nici hackerii nu ştiu încă ce au extras din cauza capacităţii reduse de a evalua şi valorifica aceste date. Însă eliminarea rezultatelor actualului atac şi decontaminarea mediului şi reţelelor în care a pătruns vor fi  provocări cel puţin la fel de importante precum extragerea datelor în sine, potrivit Cybersecurity and Infrastructure Security Agency (CISA). Mai ales că administraţia americană va trebui să acţioneze ca şi cum fiecare reţea ar fi încă sub controlul atacatorilor, ea urmând să fie complet distrusă şi reconstruită de la zero, cu izolarea deplină a reţelelor deja compromise. Sau, cum spunea preşedintele ales Joe Biden, “sunt multe lucruri pe care încă nu le cunoaştem despre atac, dar deja ceea ce cunoaştem e o problemă ce stârneşte  preocupare majoră”.

Atac sau spionaj cibernetic?

Una dintre cele mai importante discuţii între experţi, care implică şi elementele de natură juridică şi posibilităţile de reacţie, este dacă avem de a face cu un atac cibernetic, operaţiune ofensivă destructivă a Rusiei, echivalenta unei agresiuni directe, sau dacă este vorba doar despre spionaj. Unii dintre oficiali vorbesc despre faptul că atacul hackerilor SVR e un element de tip spionaj cibernetic pe care şi NSA – Agenţia de Securitate Naţională a SUA îl face împotriva Rusiei, Chinei şi altor adversari externi.

Practic, vorbim despre un atac dacă cei care intră distrug date, sau utilizează accesul pentru a produce distrugeri în lumea fizică, împotriva infrastructurii critice americane. Altfel, intrarea în reţelele neclasificate ale SUA este doar spionaj. O operaţiune de spionaj de succes, una pe care şi-ar dori să o execute şi SUA. Atât timp cât nu există probe formale că a existat informaţia ştearsă distrusă, manipulată sau modificată, concluzia juridică despre acest atac este că avem de a face cu o operaţiune de colectare de informaţii.

De altfel, oficialii americani au fost foarte atenţi atunci când au descris incidentul de securitate, în ciuda magnitudinii lui. Astfel, nu avem de a face cu cazul atacului Coreii de Nord împotriva Sony Pictures în 2014, când virusul a distrus datele şi computerele, expunând public emailuri private. Nu se află nici în clasa atacului americano-israelian Stuxnet, atac care a distrus centrifugele nucleare pentru îmbogăţirea uraniului de la Natanz. Atacul se apropie de cel al Chinei la adresa Office of Personnel Management (OPM), instituţia responsabilă de rezerva de cadre a guvernului american, atunci când chinezii au obţinut acces la câteva milioane de dosare personale sensibile.

Relevanţa diferenţei o face şi tipul de reacţie pe care încadrarea juridică o determină: în cazul unui atac, există formule de retaliere posibile, sancţiuni şi reacţii în justiţie. În cazul unei operaţiuni de spionaj, ai pierdut datele dar nu ai foarte multe reacţii şi posibilităţi de a sancţiona atacatorul. De fapt, limbajul oficialilor se cantonează la nivelul unei “intruziuni semnificative şi sofisticate” la “o breşă devastatoare”, un “efort malign”, o “intruziune majoră” şi nu un atac. Atacul presupune forţa şi utilizarea forţei. Însă dimensiunea reală a atacului e încă neclară şi urmează a fi stabilită.

E adevărat că, în cazul SVR, nu există o istorie în manipularea sau distrugerea de date, fiind vorba despre un serviciu de spionaj, al cărui principală preocupare este să rămână invizibil, greu de detectat şi, în orice caz, imposibil de a fi acuzat direct. Recentul atac arată că o apărare bună nu e suficientă, că rezilienţa de această generaţie e deja depăşită, că este nevoie să distrugi şi să descurajezi adversarii pentru a purta asemenea atacuri semnificative, potrivit declaraţiilor preşedintelui ales Joe Biden. Contraargumentul vine de la nivelul extins şi adâncimea atacului care a ridicat semne de întrebare vizând capacitatea SVR şi a Rusiei de a prelua comanda sistemelor de computer de la distanţă şi de a altera procese industriale, infrastructură fizică şi alte componente accesate.

Mai periculos decât instrumentele de descurajare ruse la adresa SUA

Atacul este preocupant pentru că se desfăşoară pe o dimensiune cunoscută ca aparţinând prin excelenţă SUA. Se cunoaşte despre atacurile Chinei pe acest domeniu şi capacităţile sale de apărare, dar nivelul actual de sofisticare excede chiar şi cele ştiute pe această dimensiune. Comparaţia reală este cu amplasarea submarinelor cu arme atomice în proximitatea malurilor pacifice ale SUA de către ruşi sau de infiltrarea unor bombe cibernetice menite să permită, la activare, închiderea sistemului energetic american. Deşi le-au identificat, Washingtonul şi autorităţile americane nu le-au eliminat, considerând legitimă componenta rusă de descurajare cunoscută.

Între reacţiile cele mai vehemente pe tema atacurilor, Fiona Hill, fost membru al Consiliului Naţional de Securitate specializat pe Rusia, a subliniat că măsurile de descurajare trebuie să cuprindă neapărat abordarea coerentă a tuturor instituţiilor americane, în primul rând, a puterii şi opoziţiei, abordarea bipartizană şi, mai ales, coeziunea ulterioară cu parteneri şi aliaţi, la nivel internaţional. Conflictul şi disfuncţiile în interiorul administraţiei Trump, între SUA şi aliaţi pe temele legate de Rusia nu ajută la componenta de descurajare, din contra, Moscova şi Kremlinul vor folosi această situaţie pentru a acţiona şi mai departe. Preşedintele trebuie să fie concurent cu toţi ceilalţi actori, din agenţii şi zona tehnică, să lucreze împreună toate instituţiile pentru a asigura descurajarea credibilă.

În discuţie intră şi preocuparea pentru atacurile cibernetice şi pentru toate temele în care administraţia federală ar trebui să fie la zi şi să investească, să le coordoneze. Din contra, Casa Albă a eliminat poziţiile de coordonator pentru securitate cibernetică şi de şef pentru politicile de securitate cibernetică ale externelor americane. Mai mult, potrivit criticilor actualei administraţii – inclusiv din interior – devine frustrant faptul că, în ultimii 4 ani, nu s-a întâmplat nimic serios la nivelul securităţii cibernetice.

Şi la nivelul reacţiilor, administraţia americană trebuie să fie mai prezentă şi să pedepsească Rusia pentru ingerinţa sa în reţelele americane. E vorba mai întâi despre instrumentul sancţiunilor formale la adresa Rusiei pentru aceste elemente, aşa cum a fost cazul la ingerinţa în alegerile americane cu expluzarea masivă de diplomaţi ruşi în perioada Obama, inclusiv de la statele partenere. De asemenea, SUA ar putea expune date concrete despre averea, mişcările financiare ale lui Putin, ale familiei şi ale asociaţilor săi, ar putea să identifice elemente clare şi costisitoare care să aibă impactul dureros asupra Kremlinului şi al Rusiei lui Putin care să arate ca o sancţiune extrem de importantă, o descurajare credibilă în faţa unor asemenea fapte.

Altfel, pentru preşedintele Microsoft, Brad Smith, “ultimul asalt cibernetic este un atac la adresa Statelor Unite şi a guvernului său, a altor instituţii critice, inclusiv a firmelor de securitate”, după ce propria firmă s-a aflat sub atacul SVR. În acelaşi timp, Robert O’Brien, consilierul pentru Securitate naţională al SUA, şi-a întrerupt vizita în Orientul Mijlociu şi Europa şi s-a reîntors la Washington prezidând o reuniune de urgenţă pentru a evalua situaţia. În grupul de lucru pentru răspuns la atacul cibernetic suferit de SUA, Cyber Unified Coordination Group, se mai află FBI, CISA, şi Biroul Directorului Naţional de informaţii, se caută formula coordonată potrivită pentru a contracara “campania semnificativă şi în derulare la adresa securităţii cibernetice” a statului american.