O grupare din Rusia a atacat cibernetic timp de mai mulţi ani ţări precum Ucraina, România, Germania sau Spania, pentru a descoperi vulnerabilităţi în sistemele electronice şi pentru a culege date de la figuri politice proeminente, instituţii guvernamentale, servicii de telecomunicaţii şi criminalitate informatică sau companii aerospaţiale, arată un raport al Bitdefender, care a studiat, împreună cu specialişti ai serviciilor secrete, operaţiunea Sofacy, de tip APT (advanced persistent threat, ameninţare cibernetică persistentă), similară celor precum Stuxnet din Iran sau Octombrie Roşu, care a vizat şi România. Cele mai intense atacuri ale acestei operaţiuni au avut loc în februarie 2015, în timpul negocierilor de la Minsk, pentru pacea din Estul Ucrainei, când ruşii au scanat aproape toate IP-urile alocate Ucrainei, dar şi multe din România, pentru a găsi vulnerabilităţi de securitate şi a spiona după informaţii, scrie gandul.info.
O amplă operaţiune de colectare de date a fost organizată începând cu 2007 şi până în prezent, de către „vorbitori de limbă rusă”, cel mai probabil din Rusia, prin intermediul unui atac cibernetic de tip APT (advanced persitent threat), denumit Sofacy sau APT28, arată un raport al companiei de securitate IT Bitdefender, care a investigat această operaţiune împreună cu specialişti ai serviciilor de informaţii.
Ţintele acestei operaţiuni au fost figuri politice proeminente, instituţii guvernamentale, servicii de telecomunicaţii şi criminalitate informatică şi companii aerospaţiale din România, Germania şi Ucraina sau Spania.
În România, gruparea din Rusia a ţintit computere care aparţin unor instituţii guvernamentale sau în strânsă legătură cu Guvernul României, arată raportul Bitdefender, fără să specifice despre ce instituţii este vorba. În timpul celei mai intense activităţi de atac cibernetic, care a avut ca ţintă principală Ucraina, în România au fost găsite 1.287 de IP-uri vulnerabile, pregătite pentru a fi infectate.
Experţii care au analizat operaţiunea de atac cibernetic Sofacy au constatat că vârfurile de intensitate ale atacurilor au coincis cu evenimente de mare interes pentru Rusia: „au fost înregistrate în paralel cu desfăşurarea unor evenimente internaţionale majore, precum tratativele de pace dintre rebelii pro-ruşi şi forţele guvernamentale din Ucraina sau mediatizarea excesivă a construirii avionului militar PAK FA T-50 Fighter, capabil să atingă viteze supersonice (un competitor al modelului F35 al Lockheed Martin)”.
Experţii consideră că atacul a fost realizat de cetăţeni ruşi sau dintr-o ţară vecină care vorbeşte rusa (Belarus), bazându-se pe faptul că 88% din fişierele infectate prin operaţiunea Sofacy au fost realizate în intervalul orar 8.00-18.00, de luni până vineri, corespunzător fusului orar al Rusiei. Acest fus orar corespunde şi Georgiei şi Azerbaidjanului, însă „Rusia este singura ţară care are capacitatea şi resursele necesare pentru un astfel de atac”, arată Bitdefender. Un alt indiciu legat de originea din Rusia a atacului cibernetic este denumirea în limba rusă a unor fişiere folosite pentru a infecta ţintele, denumire care nu putea fi schimbată ulterior.
„APT28 a reuşit să folosească un mecanism subtil de colectare a datelor timp de un deceniu. Investigaţia s-a concentrat pe infrastructura şi particularităţile de operare ale APT28, ceea ce ne-a permis să corelăm ameninţarea cu persoanele care au gestionat-o şi să identificăm ţintele vizate”, arată Viorel Canja, Head of Antimalware and Antispam Labs al Bitdefender.
Negocierile Acordului de pace de la Minsk sau lansarea competitorului rusesc al F-35, vârfuri de atac cibernetic
Raportul Bitdefender arată că gruparea care a realizat această operaţiune de tip APT este extrem de activă şi se concentrează pe regiuni specifice. Cele mai multe victime ale acestei operaţiuni se află în Ucraina, Spania, Rusia, România, SUA şi Canada.
Operaţiunea APT28 a arătat un interes deosebit pentru Ucraina. Astfel, între 10 şi 14 februarie 2015, gruparea a scanat peste 8,5 milioane de IP-uri doar din Ucraina, adică aproape toate cele alocate acestei ţări, pentru a găsi vulnerabilităţi de securitate şi a le penetra. În perioada respectivă, la Minsk, liderii Ucrainei, Rusiei, Belarusului, Germaniei şi Franţei negociau acordul de pace din estul Ucrainei.
În perioada respectivă, după scanare, atacatorii au găsit 1,7 milioane de IP-uri vulnerabile în Ucraina, apoi 4.666 în Rusia, 1.287 în România, 1.272 în Bulgaria, 150 în SUA, 149 în Canada şi 2 în Italia.
Apoi, pe 16 februarie, atacul şi-a mutat concentrarea pe Spania, unde a scanat peste 58.000 de IP-uri, găsind peste 6.000 vulnerabile, cele mai multe din Spania.
Un alt moment de mare interes pentru colectarea de informaţii de la ţintele atacate de Sofacy are legătură cu industria aeronautică şi programele de cercetare a aeronavelor. Momentul coincide cu acoperirea media intensă a avionului rusesc PAK FA T-50 în raport cu competitorul american F-35. „Presupunem că autorii APT28 au încercat să exploreze noile tehnologii dezvoltate de industria aerospaţială, pentru a le integra”, arată raportul Bitdefender.
Cum funcţiona Sofacy: boţi de scanare a IP-urilor în SUA, UK şi Bulgaria, apoi infectare manuală a ţintelor
Operaţiunea a început prin scanarea inteligentă a milioane de IP-uri, în căutarea celor vulnerabile. Acestea erau alese, nu se scana la grămadă pe clase întregi de IP-uri, pentru a nu trezi suspiciuni, apoi erau compilate într-o bază de date. Boţii folosiţi la scanare erau localizaţi câte trei în SUA, Marea Britanie şi Bulgaria.
Dacă operaţiunea de scanare după IP-uri vulnerabile era făcută automatizat, Bitdefender arată că infectarea propriu-zisă se făcea manual, de operatori umani, pe ţinte alese dinainte.
Apoi, existau trei metode de infectare a ţintelor alese: emailuri de tip phishing, cu documente infectate ataşate, de tip Word sau Excel; siteuri de phishing găzduite pe domenii care conţineau mici greşeli de tipar (o literă lipsă sau diferită faţă de domenii legitime, cunoscute); sau iFrames maliţioase care ducea la vulnerabilităţi de tip zero-day (originare) în Java sau Flash.
Astfel, ţinta se infecta cel mai des accesând un URL infectat. Se descărca un mic program pe hard (numit runrun.exe), care apoi descărca un fişier ce era executat la rândul lui de Windows. Astfel, calculatorul infectat intra în contact cu centrul de control şi comandă al hackerilor. Atunci urma partea a doua a infectării, care prin aceeaşi metodă instala un alt fişier prin care calculatorul infectat, prin backdoor-ul creat, contacta trei servere. Astfel, atacatorii aveau acces nelimitat la calculatorul respectiv.
În unele cazuri, operaţiunea se desfăşura manual, arată Bitdefender.
Octombrie Roşu 2013. România, ţinta celui mai mare atac cibernetic din ultimii 20 de ani
România nu este pentru prima oară în centrul unei operaţiuni de atac cibernetic de mare amploare, de tip APT. În 2013, operaţiunea de spionaj cibernetic denumită „Octombrie Roşu”, devoalată de firma de securitate IT Kaspersky, a avut implicaţii mult mai mari asupra siguranţei naţionale a României decât se credea iniţial, conform SRI. Atunci, spionii au vizat informaţii secrete privind politica externă, resursele naturale din Marea Neagră şi secrete economice şi politice din zona Mării Negre.
„Ameninţarea a fost una dintre cele mai mari din ultimii ani, la adresa României şi a aliaţilor săi, pentru că lucrurile au fost puse în contextul Uniunii Europene şi al NATO, în care România este membră. Putem spune că este cel mai mare atac din ultimii 20 de ani. În ultima perioadă, se poate observa o turnură în modul în care acţionează serviciile de spionaj în această zonă: se acţionează prin atacuri de tip cibernetic”, declara în 2013 purtătorul de cuvânt al SRI, Sorin Sava, pentru gândul.
„În afară că s-a urmărit accesul la reţelele naţionale de informaţii, s-au căutat informaţii despre politica externă a României, despre resursele naturale şi politica din zona Mării Negre şi despre spaţiul economic din această zonă”, a mai spus oficialul SRI.
Operaţiunea de spionaj cibernetic se derula de 5 ani, cu precădere în zona Europei de Est şi a fostelor state sovietice. Denumită „Octombrie Roşu”, operaţiunea se folosea de viruşi creaţi de hackeri chinezi, care erau plantaţi în reţelele informatice spionate cu ajutorul unor programe create de hackeri ruşi.
Iniţial, SRI a anunţat că atacul asupra României nu a avut o anvergură atât de mare, spionii reuşind doar accesul la informaţii confidenţiale, nu însă şi la cele secrete. Conform Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT), operaţunea de spionaj a afectat doar 4 adrese de IP ale unor ambasade şi instituţii străine din România.
