APT28 și APT29 sunt indicativele date unor organizații rusești asociate cu serviciile de informații FSB, respectiv GRU. Lor le-au fost atribuite unele dintre cele mai semnificative și mediatizate atacuri cibernetice ale ultimilor ani, inclusiv tentativele de perturbare a alegerilor din Statele Unite, din 2016.
Cele două grupări mai sunt cunoscute și drept Fancy Bear și Cozy Bear, denumiri ce au fost atribuite de compania de securitate cibernetică Crowdstrike, care s-a folosit de nume de animale pentru a face diferența între diversele grupări de hackeri în funcție de guvernul pe care îl deservesc.
Așadar, Bear – Ursul desemnează Rusia, Panda reprezintă China, iar Kitten – Pisoiul e asociat cu organizațiile iraniene.
Primiți cu spam-ul?
Pe lângă atacurile punctuale și cele cu efect pe termen lung, a treia categorie de atacuri cibernetice asociate războiului convențional din Ucraina sunt cele în scop comercial. Sunt și cele mai evidente, pentru că vin direct în căsuța poștală electronică. O metodă sunt solicitările de donații pentru victimele războiului din Ucraina.
Bogdan Botezatu ne-a explicat cum funcționează: „Băieții ăștia își găsesc un lanț de servere de pe care să trimită mesaje. În cel mai bun caz, sunt servere care au fost compromise, au fost sparte de o altă grupare informatică și sunt în controlul temporar al unei grupări care poate trimite astfel de mesaje. Se compune un mesaj lacrimogen, se adaugă un portofel de criptomonedă și se trimite către o listă de adrese de e-mail care a fost furată în breșe de securitate”.
O singură astfel de campanie din miile pe care Bitdefender le monitorizează a strâns în jumătate de zi echivalentul a 12 mii de dolari în Bitcoin.
Astfel de solicitări de donații, ne lămurește expertul în securitate cibernetică, „arareori vin de la organizații mari, pentru că o organizație legitimă nu și-ar permite să trimită spam întregii planete, în condițiile în care persoanele respective, destinatarii, nu sunt înregistrați deja pe o listă a organizației”.
E greu pe mai multe fronturi
În cei doi ani și jumătate care au trecut de la declanșarea războiului împotriva Ucrainei, grupările de hackeri ruși asociate cu guvernul de la Moscova nu au mai dat nicio mare lovitură în Europa și Statele Unite, constată cercetătorul Arsalan Bilal. „Acest lucru demonstrează”, adaugă el, „că Occidentul și-a construit o anumită rezistență în domeniul cibernetic”.
Excepție face atacul din aprilie-mai 2022, asupra site-urilor mai multor instituții românești.
Dar războiul cibernetic dus de regimul de la Kremlin împotriva Occidentului e mult mai complex decât blocarea accesului la niște pagini de internet.
Așa cum ne-a explicat coordonatorul Grey Zone, această ofensivă are două componente: cea tehnică și cea informațională.
Și, dacă pe partea tehnică, țările au învățat să se apere, dezinformarea continuă să fie o armă puternică în mâinile rușilor.
„Există tot felul de actori”, spune Arsalan Bilal, „care promovează un narativ fals în online, prin care reușesc să producă efecte importante atât în Occident, cât și dincolo de granițele lui. Scopul lor este să polarizeze societățile, să îngreuneze procesul de luare a deciziilor în cadrul guvernelor occidentale”.
Bilal duce și mai departe argumentația: „Când ne vom confrunta cu o situație critică, Occidentul va fi incapabil să ajungă la consensul necesar pentru a riposta, să zicem, unei posibile agresiuni din partea Rusiei”.
Din acest punct de vedere, este de părere cercetătorul, statele vestice sunt mult mai puțin pregătite. „Cred că Occidentul nu face suficient pentru a contracara dezinformarea din partea Rusiei”.
Raiul piraților cibernetici e ex-sovietic
Universul infractorilor cibernetici e mare. Și, în lipsa unor reglementări ferme în domeniu, spațiul ex-sovietic e colțul lor de rai. Rusia, Belarus, țări din Asia Centrală sunt locul inițierii a numeroase atacuri cibernetice, în scop pur comercial.
Cele mai frecvente sunt cele de tip ransomware, prin care sistemul informatic țintit nu mai poate fi folosit. Hackerii cer pentru deblocarea lui diverse sume de bani, proporționale cu importanța victimei.
„Ne uităm la orice familie de ransomware și o să vedem că primul lucru pe care îl face virusul acela când ajunge în calculator este să verifice dacă tastatura este setată pe mod chirilic. Dacă e pe chirilic, se dezactivează, hackerii nu lovesc acasă”, ne-a povestit expertul Bitdefender.
De la izbucnirea războiului în Ucraina, ne spune Bogdan Botezatu, aceste grupări comerciale și-au oferit serviciile și regimului de la Moscova.
Dacă și cum se manifestă o astfel de potențială colaborare e greu de confirmat.
În spatele cortinei
Ca să înțelegem cât de sofisticate sunt metodele de atac cibernetic, am stat de vorbă cu informaticianul româno-american Virgil Gligor, profesor la Universitatea Carnegie Mellon din Pittsburgh și pionier în domeniul securității cibernetice.
Ne-a explicat una dintre metodele prin care hackerii pot să atace un site al unei instituții publice. Pentru a-l face inaccesibil utilizatorilor, se folosesc de obicei atacuri volumetrice, explică cercetătorul român.
„Adversarul are la dispoziție așa-numiți boți, programe robotice plasate posibil în mod legitim pe internet. Are, să zicem, 100.000-150.000, un milion și ei sunt coordonați să trimită pachete de date prin legături legitime către ținta respectivă. Website-ul respectiv nu poate procesa toate aceste pachete și este programat să se închidă și să repornească”, ne-a lămurit Virgil Gligor.
Acest ciclu de închidere și repornire se repetă iar și iar, ceea ce înseamnă că utilizatorii nu mai au acces la pagina respectivă. Metoda se numește denial-of-service (DoS).
E atât de răspândită, încât poate fi cumpărată pe dark web ca orice alt serviciu, ne-a spus cercetătorul de la Universitatea Carnegie Mellon.
Există și o metodă mai sofisticată și cu efecte mai ample, care pot ajunge până la paralizarea activității unui oraș bine digitalizat. E o metodă pe care însuși informaticianul româno-american a evidențiat-o în 2013, pentru a atrage atenția asupra vulnerabilităților.
Întrebat de ce nu a recurs Rusia la o astfel de armă cibernetică pentru a deconecta de la internet orașe sau rețele din Ucraina, profesorul Gligor a dat următoarele motive: „Lansarea acestui atac costă mult mai mult decât un atac de tip volumetric, pregătirea e mai complicată și răsplata pe care o ai ca adversar nu e așa de mare. Efectele durează câteva ore, câteva zile, după aceea (rețeaua – n.r.) se reface”.
Tipul atacurilor depinde de țintă, de scop și de cunoștințele hackerului. În cele mai multe situații, spune cercetătorul român, infiltrarea într-o rețea e o chestiune de câteva zeci de minute.
„Multe forme de atac încep prin așa-numite phishing sau spear phishing lansate împotriva administratorului de sistem. (Hackerii – n.r.) găsesc administratorul de sistem, el face o greșeală – spre exemplu folosește internetul să vadă rezultatele la fotbal, apasă pe un buton și primește malware, adică software malițios care bineînțeles infectează calculatorul. Acest loc este ca o trambulină pentru a lansa un atac asupra unei rețele”.
Sistemele mari sunt protejate de firewall-uri, ziduri virtuale care apără interiorul rețelei de pericolele din exterior. Un hacker priceput n-ar avea mari probleme să se infiltreze dincolo de firewall și ar fi capabil să acceseze primul server al organizației-țintă cam în tot atâta timp cât ne ia nouă să urmărim un film de duminică.
„O treime din aceste atacuri”, adaugă Virgil Gligor, „sparg și al doilea server în decurs de 30 de minute”. Așadar, o rețea protejată doar cu firewall-uri e vulnerabilă, iar în ultimii 20 de ani, atacurile care au exploatat această vulnerabilitate au fost masive.