Şeful Centrului Naţional Cyberint al SRI: „Atacurile cibernetice asociate/atribuite Federaţiei Ruse, principala ameninţare la adresa securităţii naţionale“
0Anton Rog, director General al Centrului Naţional Cyberint din cadrul Serviciului Român de Informaţii, a vorbit pentru „Adevărul” despre principalele ameninţări la adresa securităţii cibernetice a României şi despre evoluţia atacurilor cibernetice în contextul războiului din Ucraina.
Cel mai important atac cibernetic de la începutul războiului din Ucraina a avut loc în 13-14 ianuarie, când 70 de site-uri aparţinând unor instituţii publice şi companii din Ucraina au fost atacate.
Conţinutul paginilor web ale instituţiilor publice a fost modificat cu textul: „Ucraineni! Toate datele personale au fost încărcate în mediul online. Toate datele de pe computere sunt distruse, este imposibil să le recuperaţi... Toate informaţiile despre voi au devenit publice, temeţi-vă şi aşteptaţi-vă la ce este mai rău. Acesta este trecutul, prezentul şi viitorul vostru”.
Mesajul a fost tradus în trei limbi: rusă, poloneză şi ucraineană, precizează publicaţia SRI - Buletin Cyberint. Conform CERT Ucraina, bazele de date asociate web-site-urilor nu au fost modificate şi nu au fost extrafiltrate date, arată sursa citată.
Concomitent cu acest atac cibernetic, a avut loc un atac distructiv disimulat sub forma unuia cu motivaţie financiară.
Atacatorul a cerut utilizatorilor 10.000 de dolari într-un portofel electronic de Bitcoin. Concluzia autorităţilor ucrainene a fost că de fapt atacul cibernetic nu a fost motivat financiar, ci doar configurat astfel pentru a crea această aparenţă şi, implicit, pentru a indica drept autori ai atacului grupări independente, neasociate vreunui stat.
Cea mai mare problemă de siguranţă naţională cibernetică a României
În ceea ce priveşte siguranţa cibernetică a României, Anton Rog, director General al Centrului Naţional Cyberint din cadrul Serviciului Român de Informaţii, spune pentru „Adevărul” că de la începutul războiului din Ucraina „nu s-au identificat schimbări majore ale tipurilor de atacuri cibernetice la adresa infrastructurilor de pe teritoriul României.”
Specialistul arată că principala ameninţare cibernetică la adresa securităţii naţionale a României sunt atacurile cibernetice de tip Advanced Persistent Threat (APT) asociate/ atribuite Federaţiei Ruse. APT este „un atac informatic ultra-sofisticat prin care o entitate obţine accesul neautorizat la un sistem-ţintă, atacul rămânând, pentru o perioadă de timp îndelungată, neidentificat. Scopul unui atac de acest tip este de a fura informaţii, de a spiona şi mai puţin de a cauza distrugeri firmei sau persoanei fizice vizate“. Astfel de atacuri vin şi din partea unor actori asociaţi Chinei, spune sursa citată.
Ce a făcut România ca răspuns la activităţile cibernetice ostile din partea Rusiei şi a Chinei? „Ca răspuns la activităţile ostile derulate de aceşti actori, România s-a raliat unor iniţiative de tip blame-andshame bazate pe atribuirea publică a unor atacuri cibernetice către entităţi ruse (spre exemplu, atacul cibernetic derulat de Serviciul de Informaţii Externe al Federaţiei Ruse asupra platformei Orion a companiei Solar Winds). De asemenea, atacurile cibernetice de origine chineză reprezintă o ameninţare semnificativă la adresa securităţii naţionale a României. În acest sens, statul român s-a raliat unei iniţiative de tip blame-and-shame care a constat în atribuirea publică a atacurilor cibernetice derulate de APT40 către Ministerul Securităţii Statului al Republicii Populare Chineze”, a mai spus Rog.
Atacul hackerilor ruşi asupra companiei Solar Winds
Unul dintre cele mai importante atacuri cibernetice la care a reacţionat România este, conform lui Anton Rog, atacul cibernetic derulat de Serviciul de Informaţii Externe al Federaţiei Ruse asupra platformei Orion a companiei Solar Winds. Este vorba despre un atac declanşat în mai 2021 de grupul de hackeri, cunoscut sub numele de Nobelium, şi care a avut ca ţintă peste 150 de organizaţii la nivel mondial, între care agenţii guvernamentale, institute de cercetare, consultaţi şi organizaţii nonguvernamentale.
Aceştia au trimis emailuri de tip phishing, pentru a păcăli oamenii să le pună la dispoziţie informaţii sensibile sau să descarce softuri răuvoitoare, către peste 3.000 de conturi de email, potrivit Microsoft.
Cel puţin 25% dintre organizaţiile vizate sunt implicate în dezvoltarea internaţională, activităţile umanitare şi drepturile omului - a declarat Tom Burt, vicepreşedintele companiei Microsoft pentru securitatea şi încrederea clienţilor.
„Aceste atacuri par a fi o continuare a eforturilor multiple ale Nobelium pentru a viza agenţiile guvernamentale implicate în politica externă, ca parte a eforturilor de colectare a informaţiilor", a transmis Burt.
Au fost vizate organizaţii din cel puţin 24 de ţări, a comunicat Microsoft, cea mai mare parte a atacurilor fiind ândreptate către SUA.
Atacurile au fost descoperite cu trei săptămâni înainte de summitul Biden-Putin de la Geneva din 16 iunie. De asemenea, acestea au avut loc la o lună după ce guvernul SUA a declarat în mod explicit că atacul cibernetic împotriva SolarWinds a fost realizat de serviciul SVR din Rusia, un succesor al operaţiunilor de spionaj străine ale KGB-ului sovietic. Kremlinul a declarat vineri că nu are nicio informaţie cu privire la atacul cibernetic şi că Microsoft trebuie să răspundă la mai multe întrebări, inclusiv legătura dintre atac şi Rusia, potrivit Reuters.
„Cel mai mare şi mai sofisticat atac pe care l-a văzut vreodată lumea”
Potrivit Microsoft, Nobelium a obţinut acces la un cont de marketing prin e-mail utilizat de Agenţia SUA pentru Dezvoltare Internaţională, agenţia de ajutor a guvernului federal. Contul este deţinut pe o platformă numită Constant Contact.
Tom Burt a arătat că Nobelium a folosit contul pentru ”a distribui e-mailuri de phishing care păreau autentice, dar care includeau un link care, atunci când este accesat, introduce un fişier rău intenţionat”. Fişierul conţine un backdoor pe care Microsoft îl numeşte NativeZone, care poate ”permite o gamă largă de activităţi, de la furtul de date până la infectarea altor computere dintr-o reţea”, potrivit lui Burt, care a spus că Microsoft este în curs de notificare a clienţilor care au fost vizaţi.
Un purtător de cuvânt al Constant Contact a declarat pentru CNBC că compania ştie că datele de accesare a contului ale unuia dintre clienţii săi au fost compromise şi utilizate de un actor rău intenţionat pentru a accesa conturile Constant Contact ale clientului.
„Acesta este un incident izolat şi am dezactivat temporar conturile afectate în timp ce lucrăm în cooperare cu clientul nostru, care lucrează cu forţele de ordine”, a spus acesta.
Steve Forbes, expert guvernamental în securitate cibernetică la Nominet, manager de nume de domeniu, a subliniat pericolele acestor tipuri de atacuri: „Atacurile de phishing sunt în esenţă un joc de noroc şi atacatorii îşi joacă şansele”, a spus el într-un comunicat. Dacă vizează 3.000 de conturi, este nevoie ca un singur angajat să facă clic pe link pentru a stabili un backdoor pentru hackeri într-o organizaţie guvernamentală.”
Atacul împotriva SolarWinds, descoperit în decembrie, s-a dovedit a fi mult mai grav decât s-a considerat la început. Atacul a oferit hackerilor acces la mii de companii şi birouri guvernamentale care au folosit software-ul SolarWinds IT.
Preşedintele Microsoft, Brad Smith, a descris acest atac drept ”cel mai mare şi mai sofisticat atac pe care l-a văzut vreodată lumea”. La începutul acestei luni (mai 2021), şeful spionajului Rusiei a negat responsabilitatea pentru atacul cibernetic împotriva SolarWinds, dar a declarat că este ”flatat” de acuzaţiile din SUA şi Marea Britanie că serviciile de informaţii din Rusia se află în spatele unui astfel de atac cibernetic sofisticat.
Citiţi restul interviului în ediţia „Adevărul de Weekend” din 7 mai.
Vă mai recomandăm: