Cel mai mare atac informatic de spionaj loveşte şi România. Hackerii vin de pe filieră rusă. SRI confirmă incidentul

0
Publicat:
Ultima actualizare:
Mai mulţi hackeri au atacat site-urile unor instituţii din România FOTO Shutterstock
Mai mulţi hackeri au atacat site-urile unor instituţii din România FOTO Shutterstock

O campanie globală de spionaj a afectat două ministere şi două instituţii de stat româneşti. Potrivit specialiştilor români, campania are urme ale hackerilor ruşi, din cauza elementelor de cod specifice.

Campania de spionaj cibernetic Epic Turla a fost descoperită, de curând, de către experţii de la Kaspersky. „Operaţiunea se numeşte Epic Turla, fiind cunoscută şi sub numele de Snake sau Ouroboros. Operaţiunea  asta face parte dintr-o campanie mai mare, numită Turla”, explică Ştefan Tănase, senior security researcher Kaspersky.

Este o operaţiune de spionaj cibernetic ce vizează informaţii clasificate. Domeniile de interes sunt variate, dar importanţa lor este foarte mare. „Informaţiile căutate de malware odată ce a infectat un computer sunt informaţii confidenţiale. Cât despre domeniile de interes, caută în principal documente sau emailuri legate de NATO, Uniunea Europeană şi ce ţine de politica de energie a UE. Căutările se fac pe bază de cuvinte cheie”, mai spune Tănase.

La nivel global au fost atacate ministere de Interne, ministere de Comerţ, ambasade şi ministere de Externe, dar şi nişte ţinte educaţionale, de cercetare, dar şi companii private. „România este pe locul şapte ca număr de victime, iar ca site-uri infectate care distribuie acest atac, suntem pe primul loc, cu şase site-uri. Asta înseamnă că, în momentul de faţă, apetitul atacatorilor pentru noi victime în România este foarte ridicat“, explică expertul Kaspersky.

În România au fost atacate două ministere şi două instituţii guvernamentale, câteva instituţii private şi nişte utilizatori rezidenţiali. În total au fost 15 victime. Reprezentanţii companiei de securitate nu au putut spune exact care au fost ţintele din România, însă toate informaţiile au fost transmise mai departe autorităţile române.

Printre site-urile româneşti infectate se numără un site de antreprenoriat rural în zona de graniţă. Pe hackeri îi mai interesează şi comunităţile locale şi comunităţile religioase din Transilvania şi zona de vest. Sunt afectate site-uri ale cultelor ortodoxe din acea regiune. 

Informaţiile căutate de malware odată ce a infectat un computer sunt informaţii confidenţiale. Cât despre domeniile de interes, caută în principal documente sau emailuri legate de NATO, Uniunea Europeană şi ce ţine de politica de energie a UE. Căutările se fac pe bază de cuvinte cheie

SRI confirmă atacul

Atacurile de acest tip nu pot fi prevenite, susţin experţii în securitate. Ce contează, însă, este reacţia de după. „Important în cazul incidentelor de acest gen este cât de pregătit eşti să reacţionezi odată ce ai aflat că ai fost infectat. Tot ce poţi face până atunci este să îţi ţii toate aplicaţiile şi sistemul de operare actualizate la zi şi să speri că nu eşti luat în vizor. Atacatorii au, teoretic, resurse nelimitate şi timp nelimitat pentru a încerca noi modalităţi de infecta fără să fie detectaţi“, a declarat Tănase.

Purtătorul de cuvânt al SRI a confirmat atacul. „"Da, pot să confirm faptul că vorbim despre un atac cibernetic şi SRI, în calitate de autoritate naţionala în domeniul cyber inteligence, derulează în prezent investigaţii ce vizează anumite instituţii din România. Doar unele din aceste atacuri sunt de natură să afecteze securitatea naţionala a României. În momentul de faţă nu pot să fac foarte multe declaraţii, dar pot să spun că aceste atacuri au ca sursă grupări de criminalitate informatică, chiar actori statali, au ca sursă grupări extremiste-teroriste. Ţinând cont că aceste acţiuni sunt încă în derulare, nu pot intra în detalii", a explicat Sorin Sava.

De la ruşi vine malware-ul?

Câteva detalii găsite în codul sursă indică către o grupare de hackeri din Rusia, sau dintr-o ţară vorbitoare de limbă rusă.

„Nu avem cum să ştim exact de unde originează operaţiunea, dar ar putea fi dintr-o ţară vorbitoare de limbă rusă. În codul malware-ului am găsit unele linii şi unele module care au nume ruseşti. De exemplu, există un modul numit «zagruzchik», care este echivalentul rusesc al cuvântului bootloader.

De asemenea, în momentul în care malware-ul este activat de la sediul de comandă şi control, codul se schimbă în caractere chirilice. Asta nu înseamnă neapărat că operaţiunea vine din Rusia, ci doar că cei din spatele ei sunt vorbitori de limbă rusă“, explică Tănase.

Costurile acestei campanii se ridică la câteva sute de milioane de dolari şi în spate se află, cel mai probabil, un stat. „Un atac de o asemenea sofisticare are în spate o entitate puternică. Nu este făcut de amatori, într-un garaj. Iar costurile de investiţie sunt uriaşe“, spune Costin Raiu, Director de Cercetare şi Analiză la Kaspersky.

Un atac de o asemenea sofisticare are în spate o entitate puternică. Nu este făcut de amatori, într-un garaj. Iar costurile de investiţie sunt uriaşe

Ţintele sunt predominant din Europa şi din Orientul Mijlociu, iar Franţa are cel mai mare număr de victime, adică 25. Au mai fost atacate ţări precum Germania, SUA, Iran, chiar şi Rusia. Sunt aproximativ cinci sute de victime la nivel global, din toate aceste ţări. 

Dacă gruparea este, într-adevăr, de origine rusă, acesta este al doua campanie rusească descoperită în acest an. În urmă cu aproximativ o lună, experţii în securitate au dezvăluit existenţa operaţiunii Energetic Bear.

Modul de atac

Diferenţa dintre o campanie de spionaj cibernetic şi una de infracţionalitate cibernetică stă în ţinte. Dacă hackerii care conduc acţiuni de infracţionalitate cibernetică vor să fure bani de la orice persoană de pe Internet, cei care conduc acţiuni de spionaj au ţinte clare şi scopul lor este furtul documentelor. De aceea, uneltele folosite şi abordarea diferă.

„În momentul în care vrei să infectezi o anumită persoană sau persoanele dintr-o anumită arie, ai mai multe variante. Îi poţi trimite un email cu un ataşament infectat. În cazul acesta, persoana respectivă trebuie să acceseze ataşamentul, să-l descarce în computer. O altă metodă este folosirea unui atac de tip watering-hole. Practic, preiei controlul câtorva site-uri, le injectezi un script maliţios, iar scriptul se descarcă automat în PC când ţinta accesează site-ul. Şmecheria este că nu orice calculator se infectează în acest caz. Diferenţa între o operaţiune de spionaj şi operaţiunile de cybercrime este că respectivul script realizează profilarea utilizatorilor. Doar în momentul în care utilizatorul este interesant pentru hackeri, când este o posibilă ţintă, se încarcă scriptul în computer. Identificarea se face în special după IP, adresă care este diferită în cazul instituţiilor“, spune Tănase.

Epic Turla este primul stadiu al infecţiei, unealta cu care ei verifică dacă au infectat computerul care trebuie. După care, vine un alt malware, iar cele mai importante victime sunt infectate cu un root-kit. În funcţie de ce necesităţi au pe computerul victimei, nu m-ar mira ca hackerii să poată introduce şi un modul de webcam sau de microfon. Ei au acces total la sistemul infectat

După ce utilizatorul a fost identificat drept fiind important, hackerii utilizează o serie de alte unelte pentru a-şi duce operaţiunea la bun-sfârşit, având control asupra întregului sistem infectat. „Întreaga campanie este construită în jurul unor unelte modulare. Epic Turla este primul stadiu al infecţiei, unealta cu care ei verifică dacă au infectat computerul care trebuie. După care, vine un alt malware, iar cele mai importante victime sunt infectate cu un root-kit. În funcţie de ce necesităţi au pe computerul victimei, nu m-ar mira ca hackerii să poată introduce şi un modul de webcam sau de microfon. Ei au acces total la sistemul infectat“, explică Costin Raiu.

Odată ajuns în sistem, malware-ul poate exploata vulnerabilităţile unor programe precum Flash Player, Internet Explorer, Java. Ţintele afectate rulau sistemul de operare Windows, dar este posibil să existe malware special pentru Mac sau Linux. Încă nu au fost detectate versiuni de mobil ale malware-ului, însă specialiştii în securitate sunt convinşi de existenţa acestora.

„Vârful piramidei“

Costin Raiu spune că Epic Turla este cea mai sofisticată campanie de spionaj cibernetic descoperită până în acest moment. „Această campanie este în vârful piramidei. Dacă este să luăm toate campaniile de spionaj şi să le punem într-o piramidă, avem următoarea dispunere: la bază sunt campaniile chinezeşti, care sunt multe, dar nu sunt sofisticate, după care avem campania Energetic Bear, care este destul de complexă, apoi Red October şi apoi Turla. Acesta este vârful sofisticării. Poate că cei de la NSA au campanii mai sofisticate, însă acelea nu au fost analizate până acum“, spune el.

Uneltele folosite sunt diverse şi foarte avansate din punct de vedere tehnologic, iar activităţile lor au fost aproape invizibile timp de doi ani de zile. „De exemplu, hackerii au un sistem de fişiere virtual prin care lucrează în computerul victimei fără să umble direct în hard-disk. Adică victima nu va găsi niciodată pe hard fişierele stocate de ei. Disk-urile acelea virtuale conţin toate uneltele şi datele furate, pe care le arhivează şi le trimit la centrul de control“, spune Raiu.

„Într-o instituţie guvernamentală există computere publice şi computere care fac parte din reţeaua clasificată, care nu sunt conectate la Internet. Se întâmplă adesea să existe servere de date accesibile din ambele reţele. Ei infectează acele servere, în felul următor: din reţeaua conectată la Internet sparg acele servere, după care din ele se duc în reţeaua clasificată şi infectează un computer. Acolo, instalează un set de module care creează o conexiune virtuală între Internet şi reţeaua clasificată. Malware-ul din reţeaua clasificată vorbeşte cu un modul special aflat pe serverele de baze de date, acel modul vorbeşte cu unul instalat pe un computer cu acces la Internet şi acela vorbeşte cu serverele de comandă şi control al hackerilor. Această activitate este aproape invizibilă“, a completat specialistul Kaspersky 

Ce este Energetic Bear?

Campania Energetic Bear a vizat numeroase ţinte, printre care s-au numărat operatori ai reţelelor de distribuţie energetică, mari firme generatoare de electricitate, operatori ai conductelor de petrol, precum şi furnizori de echipamente industriale din domeniul energetic. Majoritatea companiilor care au fost vizate sunt localizate înStatele Unite, Spania, Franţa, Italia, Germania, Turcia şi Polonia, chiar şi România. Grupul Energetic Bear are resurse vaste şi dispune de o varietate de unelte malware, fiind capabil să lanseze atacuri prin intermediul mai multor vectori. Grupul este din Rusia şi a devenit operaţional în 2011. Grupul a atacat initial companii de apărare şi aviaţie din Statele Unite şi Canada şi s-a reorientat la începutul anului 2013 spre companii din domeniul energetic din Europa şi Statele Unite.
 

Evenimente



Partenerii noștri

Ultimele știri
Cele mai citite