Hackerii au furat date de la Parlamentul României, cerând bani pentru răscumpărare. Astfel de atacuri de tip ransomware sunt lansate atât de infractori, cât și de actori statali.
Atacuri cibernetice asupra instituțiilor de stat ale României. Hackerii fură datele personale ale premierului
Începutul săptămânii trecute a fost marcat de „incidentul cibernetic” petrecut la Parlamentul României, în urma căruia, potrivit declarațiilor oficiale, aproximativ 300 MB de informații digitale au fost descărcate din baza de date a Camerei Deputaților. Gravitatea evenimentului, deși profund minimalizată de autorități, a determinat modificarea în regim de urgență, de către executiv, a legii securității cibernetice. Unul din motivele care au determinat această reacție este că, potrivit mai multor surse, „incidentul” ar fi, de fapt, un atac de tip ransomware, hackerii cerând drept răscumpărare 0,8 bitcoini, adică aproximativ 40.000 de euro. Trecut mai ușor cu vederea, un al doilea incident a avut loc la o zi după atacul asupra bazei de date a Camerei Deputaților, îndreptat fix împotriva instituției care investiga breșa de securitate de la Parlament, anume Directoratul Naţional de Securitate Cibernetică. Site-ul DNSC a fost atacat, în cursul nopții, dar efectele au fost nule, hackerii nereușind nici să descarce vreun fișier, nici să aducă site-ul în stare de nefuncționare, potrivit autorităților.
Evenimentul a adus în atenția publică fenomenul atacurilor cibernetice asupra instituțiilor de stat, despre care ministerul român al Digitalizării spune că, la nivel de țară, sunt în număr de 200 pe zi. În total, potrivit aceleiași surse, România se confruntă zilnic cu un număr între 25.000 și 50.000 de atacuri cibernetice. La nivel mondial, în fiecare zi au loc aproape două milioane de atacuri cibernetice, circa 70% dintre acestea fiind atacuri de tip ransomware. Ele variază de la atacuri asupra calculatoarelor personale până la compromiterea rețelelor marilor companii și chiar ale instituțiilor guvernamentale, paralizând și punând în pericol activitatea și buna funcționare a unor întregi regiuni și chiar țări în ansamblul lor. În spatele acestor atacuri stă, de obicei, un interes financiar, dar crizele politice și conflictele armate din ultimii ani au adus „în arenă” și interesele de stat, atacurile neurmărind neapărat obținerea unor sume de bani, ci mai degrabă blocarea și sabotarea activității adversarului, sub masca unei infracțiuni de drept comun.
De la viruși ascunși pe dischete la atacuri online la nivel global: 35 de ani de evoluție a ransomware-ului
Povestea ransomware-ului începe în a doua jumătate a anului 1989, când 20.000 de oameni din întreaga lume primesc prin poștă câte o dischetă de calculator ce conținea, conform etichetei, un chestionar ce putea fi folosit pentru a determina probabilitatea ca cineva să contracteze virusul HIV. Deoarece cu câteva săptămâni înainte destinatarii coletelor participaseră la o conferință a Organizației Mondiale a Sănătății pe tema SIDA, nimeni nu a suspectat nimic, mai ales că, la vremea respectivă, virușii de calculator erau practic necunoscuți publicului larg. La câteva zile după, victimele au realizat că nu-și mai pot accesa computerele, iar pe ecranele monitoarelor a apărut un mesaj prin care li se cerea să trimită un plic conținând 189 de dolari către o cutie poștală din Panama, dacă doreau schimbarea situației. Virusul care se afla ascuns în fișierul cu chestionarul, denumit ulterior Troianul SIDA, a determinat realizarea primului antivirus comercial din lume. Anchetatorii l-au depistat în cele din urmă pe expeditorul dischetelor – Joseph Popp, un renumit biolog absolvent de Harvard, care, la acea vreme, efectua o serie de cercetări despre SIDA și posibilitățile de tratare a bolii. Acesta și-a justificat gestul declarând autorităților că plănuia să doneze banii de răscumpărare pentru cercetări legate de SIDA. Dacă nu ar fi fost prins, probabil că, oricum, Popp ar fi câștigat puțini bani din înșelătorie, dacă luăm în calcul numai costul achiziționării și expedierii a 20.000 de dischete pe tot globul. Dar ideea lui avea să se dezvolte în cele din urmă într-o industrie de miliarde de dolari și să-i aducă titlul neoficial de „părintele ransomware-ului”.
În ciuda șocului produs de inițiativa lui Popp, a trebuit să mai treacă 15 ani până la următorul atac ransomware, din cauza trasabilității relativ ușoare a destinatarului sumelor de răscumpărare. Odată cu apariția banilor digitali și apoi a criptomonedelor, care au sporit gradul de anonimitate a atacatorilor, precum și simplitatea tranzacțiilor financiare, practica a reapărut la începutul anilor 2000, pe măsură ce internetul a devenit tot mai răspândit și utilizat la nivel de gospodărie. Două dintre cele mai notabile atacuri ransomware de la începutul erei internetului au fost GPCode, în 2004, și Archievus, în 2006. Revoluționare pentru vremea în care au fost lansate, cele două sunt considerate rudimentare după standardele actuale. Creatorii lor s-au concentrat pe cantitate, mai degrabă decât pe calitate, atacând mai multe ținte odată și solicitând taxe mici de răscumpărare, de doar 20 de dolari. Din fericire pentru victime, efectele lor au putut fi ușor anulate, iar eficacitatea lor a fost destul de scăzută.
Anii 2010 au cunoscut însă o dezvoltare puternică a atacurilor de tip ransomware, iar amploarea pe care au luat-o aceste atacuri a creat o „industrie de apărare cibernetică” care valorează, la ora actuală, 8.000 de miliarde de dolari anual și este estimată a ajunge la 14.000 de miliarde de dolari pe an, în 2028. În același tip, fenomenul a dus și la apariția unui nou tip de business, Serviciul de Ransomware sau RaaS (Ransomware as a Service). Acest serviciu oferă, chiar și celor cu abilități tehnice limitate, posibilitatea de a lansa atacuri de tip ransomware, în general asupra unor indivizi. Modelul de business este foarte simplu: creatorul programului îl pune la dispoziția clienților, care îl folosesc pentru a bloca accesul oamenilor la datele personale. Ulterior, aceștia îi plătesc creatorului de software fie o sumă fixă, fie un procent din banii obținuți de la victimă. Modelul permite creatorului de programe malware să își sporească veniturile, dar în același timp îi conferă avantajul de a nu fi implicat direct în infracțiune, asumându-și un risc mult mai mic decât dacă ar lansa el însuși atacurile.
Atacurile de tip ransomware au vizat, de-a lungul istoriei lor, ținte din cele mai diverse, de la oameni simpli, la companii din diverse domenii, cum a fost celebrul atac din 2021, asupra companiei Ultimate Kronos Group, un producător de software de gestionare a forței de muncă, cu ramificații în peste 100 de țări. Atacul a afectat clienți din întreaga lume, generând efecte negative pe mai mulți ani de zile, în condițiile în care datele a zeci de mii de angajați din întreaga lume au fost expuse public, iar sute de firme au înregistrat întreruperi, întârzieri și erori în plata salariilor către angajați. Reprezentanții companiei nu au făcut publică suma plătită pentru recăpătarea controlului asupra propriei rețele informatice, iar autorii atacului nu au fost găsiți.
Hackerii ruși, infractori cibernetici tolerați de Moscova și agenți ideologici ai acesteia
În 2021 a avut loc un alt atac celebru, cel asupra companiei americane Colonial Pipeline, proprietara unui sistem de conducte ce transportă combustibil din Texas către Coasta de Est a Statelor Unite. Atacul a vizat sistemele informatice care gestionează conductele și a cauzat o criză majoră de combustibil în regiune, afectând puternic viața de zi cu zi a oamenilor, dar și a marilor consumatori de combustibil, precum companiile aeriene. Atacul a fost considerat o amenințare la securitatea națională, determinându-l pe președintele Joe Biden să declare stare de urgență. Ancheta FBI a identificat drept responsabil pentru atac un grup de hackeri intitulat DarkSide. Puținele informații disponibile spun că grupul este unul din multele de acest fel care își desfășoară activitatea de pe teritoriul Rusiei fără a fi sancționate de autorități, care le permit să acționeze atât timp cât atacă doar ținte străine. Un argument în acest sens, îl constituie faptul că DarkSide, de exemplu, nu atacă vreodată ținte din Rusia și țările aflate, la un moment dat, în Comunitatea Statelor Independente (structura politică ce se dorea a înlocui URSS), și nici din Siria, unul din cei mai loiali aliați ai regimului de la Kremlin.
Un an mai târziu, în 2022, hackeri ai BlackCat, grupare desprinsă din DarkSide, au vizat serverele operatorului aeroportuar elvețian Swissport, într-un atac despre care se spune că a avut un impact relativ mic, întârziind doar un număr mic de zboruri înainte ca Swissport să-și restabilească controlul asupra computerelor proprii. Cu toate acestea, grupul de ransomware care a revendicat atacul, a pretins că nu doar a criptat fișierele companiei, ci a și furat 1,6 TB de date, pe care încerca să le vândă celor interesați.
Dar poate cel mai răsunător atac pornit din Rusia, care a paralizat timp de mai multe luni o țară întreagă, este cel provocat de gruparea Conti asupra statului Costa Rica. Atacul a țintit, inițial, 27 de organizații guvernamentale, iar pagubele au fost estimate la sute de milioane de dolari. În urma acțiunilor hackerilor, guvernul a fost forțat să închidă mai multe sisteme, ceea ce a dus la întârzierea plăților guvernamentale, la încetinirea și chiar oprirea comerțului, precum și la limitarea mai multor servicii furnizate de stat. Președintele în funcție, Carlos Alvarado, a refuzat să plătească recompensa cerută, de 10 milioane de dolari. Un al doilea atac, la aproximativ o lună distanță, a vizat sistemele informatice ale Fondului de Securitate Socială din Costa Rica (CCSS), cel care organizează asistența medicală. Deconectarea calculatoarelor pe care acesta își desfășura activitatea, au scufundat sistemul sanitar al țării într-un nou tip de dezordine. Nenumărați pacienți s-au plâns de întârzieri în primirea tratamentului, iar CCSS a avertizat părinții ai căror copii erau supuși unor proceduri medicale că ar putea avea probleme în a-și localiza copiii. Au trecut luni de zile până când sistemele au fost restaurate, dar nu înainte ca noul președinte ales al țării, Rodrigo Chaves Robles, să declare stare de urgență. În același timp, atacul rușilor de la Conti a căpătat valențe politice, în momentul în care pagina de internet a grupării a făcut un apel la fiecare cetățean al statului Costa Rica, să meargă să protesteze în fața sediului guvernului. O altă postare, adresată statului Costa Rica și „teroriștilor americani (Biden și administrația sa)”, spunea că „suntem hotărâți să răsturnăm guvernul printr-un atac cibernetic”. Acest aspect trebuie analizat în contextul în care trupele armatei ruse desfășurau, deja, în acele momente „operațiunea militară specială” din Ucraina, iar gruparea de hackeri Conti își declarase susținerea pentru invazia Rusiei în Ucraina încă din 25 februarie 2022. La acel moment, Conti și-a afirmat „sprijinul deplin” pentru guvernul rus și a amenințat că va ataca infrastructura critică aparținând oricui îndrăznește să lanseze atacuri cibernetice împotriva Rusiei. Acesta este și motivul care, suspectează specialiștii, a dus la decăderea și, în cele din urmă, dispariția grupării de pe scena terorismului cibernetic. La două zile după anunțul de susținere a Moscovei în conflictul cu Ucraina, peste 100.000 de fișiere conținând informații vehiculate pe grupurile de comunicare ale Conti au început să fie făcute publice de pe un cont anonim de pe platforma X, experții în domeniu speculând că autorul dezvăluirilor ar fi un informatician ucrainean, membru al grupării, care, în mod evident, nu împărtășea opinia liderilor organizației. La câteva zile după atacul din Costa Rica, site-ul grupării a fost închis, iar platforma pe care aveau loc negocierile de răscumpărare a fost deconectată, în timp ce restul infrastructurii, de la camere de chat, la aplicații de mesagerie și servere, trecea printr-o resetare masivă.
Ransomewareul ca instrument de război hibrid al Rusiei
În ultimii ani, atacurile de tip ransomware țintesc din în ce mai des instituții publice ale diferitelor țări sau elemente de infrastructură critică, cu impact puternic asupra vieții cotidiene. Ele sunt, în proporție covârșitoare, coordonate de alte state, care de multe ori asigură finanțare, protecție și consultanță grupărilor de hackeri.
Atacurile coordonate la nivel de stat au început cu elemente de infrastructură critică, precum transporturile, încă din 2017, când sistemele informatice ale gigantului de transport maritim A.P. Moller-Maersk au fost blocate mai multe zile, cauzând pierderi de aproximativ 300 de milioane de dolari. Atacul a blocat accesul companiei la sistemele pe care le folosea pentru a opera terminale de transport din întreaga lume, fiind necesare peste două săptămâni pentru ca firma să poată recupera controlul asupra propriilor operațiuni informatice.
Atacul asupra Maersk a fost primul dintr-o serie de atacuri coordonate asupra infrastructurii informatice din aproximativ 60 de țări, cele mai afectate fiind Franța, Germania și Ucraina. Aceasta din urmă a fost în acel an ținta unor operațiuni cibernetice masive care au afectat sistemele informatice naționale și rețelele operate de firme private, precum bănci, mass-media sau companii de furnizare a energiei. Atacurile au oprit, de exemplu, sistemul de monitorizare a nivelului de radiații din jurul centralei nucleare de Cernobîl. În același timp, au blocat funcționarea metroului din Kiev, a căilor ferate și a mai multor aeroporturi.
Ancheta serviciilor de securitate ucrainene a concluzionat că în spatele atacurilor s-au aflat agenți ai serviciilor secrete rusești, iar operațiunea era parte a războiului hibrid pe care Moscova îl desfășura la acea oră în Ucraina. Obiectivul rușilor a fost acela de a provoca pagube cât mai mari, atacul fiind mascat într-unul de tip ransomware. Un raport al CIA, din 2018, a atribuit operațiunea serviciului secret al armatei Federației Ruse (GRU), punct de vedere susținut și de ministrul Apărării al Marii Britanii. În același context, secretarul de presă al Casei Albe spunea, în februarie 2018, atribuind atacul armatei ruse, că a fost „cel mai distructiv și mai costisitor atac cibernetic din istorie”. Președintele SUA, la acea vreme, era Donald Trump.
Biroul de Legătură 414 face bani negri pentru regimul nord-coreean prin furturi online și atacuri ransomware
Rusia nu este însă singura țară care susține și finanțează astfel de grupări. În 2017, Serviciul Național de Sănătate din Marea Britanie a fost victima unui atac de tip ransomware, care a provocat pagube de aproape 100 de milioane de dolari. Atacul – care a mai vizat și alte obiective – a blocat pentru mai multe zile funcționarea spitalelor, cabinetelor medicale și farmaciilor din Anglia și Scoția. Investigațiile ulterioare au dezvăluit că atacul ar fi avut legătură cu așa-numitul grup Lazarus, despre care Departamentul de Justiție al Statelor Unite susține că e implicat în operațiunile guvernului nord-coreean de subminare a securității cibernetice globale; totodată, Lazarus generează venituri ilicite pentru Phenian, ocolind sancțiunile occidentale. Un fost agent secret nord-coreean, Kim Kuk-song, care a dezertat în 2014, afirmă că la Phenian unitatea este cunoscută ca „Biroul de Legătură 414”, probabil o aluzie la mesajul de eroare „414 URL Too Long”, afișat atunci când încărcarea unui site în browser devine imposibilă din cauza dimensiunii prea mari a codului pe care serverul trebuie să îl interpreteze. De-a lungul anilor, grupul a fost identificat ca fiind responsabil pentru furtul a sute de milioane de dolari din bănci de pe întreg mapamondul, din Ecuador, Vietnam, Bangladesh, Taiwan, India, Polonia sau Mexic. De asemenea, sute de milioane de dolari au fost furate de gruparea nord-coreeană în criptomonede și alte produse financiare. Principala țintă a Lazarus rămâne însă, Coreea de Sud, care este supusă constant atacurilor, fie asupra mass-media, fie asupra instituțiilor financiare sau infrastructurii critice, precum furnizori de servicii de comunicație sau energie.
În iulie 2022, FBI, Agenția de Securitate Cibernetică și Securitate a Infrastructurii a SUA, și Departamentul american de Trezorerie au lansat un avertisment privind declanșarea de către „actori cibernetici sponsorizați de Coreea de Nord”, a unor atacuri de tip ransomware, care vizează securitatea cibernetică în principal din sectorul de asistență medicală și sănătate publică. De altfel, Agenția americană de securitate cibernetică are și o pagină dedicată avertismentelor asupra pericolului pe care îl constituie Phenianul în ce privește siguranța sistemelor informatice americane, pe care se subliniază că „programul cibernetic al Coreei de Nord reprezintă o amenințare sofisticată și agilă de spionaj și atac cibernetic, ce continuă să se adapteze tendințelor globale în materie de criminalitate cibernetică.”
Ofensiva cibernetică a Chinei împotriva Occidentului
La sfârșitul lunii trecute, Departamentul de Justiție al SUA anunța că, printr-o operațiune autorizată de instanță încă din decembrie 2023, a distrus o rețea de sute de routere personale sau de birou, infectate cu un virus de tip „botnet” de către hackeri sponsorizați de statul chinez. Într-o declarație oficială, directorul FBI, Christopher Wray, a spus că „hackerii din China vizează infrastructura critică civilă americană, pre-poziționându-se pentru a provoca daune în lumea reală cetățenilor și comunităților americane în caz de conflict.” Aceasta este cea mai recentă bătălie dintr-un război cibernetic pe care China și SUA îl duc de ceva vreme.
De la venirea în vârful Partidului Comunist Chinez a lui Xi Jinping, Ministerul Securității de Stat a câștigat mai multă responsabilitate în privința spionajului cibernetic față de armată, și în prezent coordonează mai multe grupuri de hackeri, care își desfășoară activitatea în întreaga țară. Red Apollo, Numbered Panda, Deputy Dog, Zirconium, Periscope Group, Double Dragon, Tropic Trooper sau Volt Typhoon sunt doar câteva dintre aceste grupări. Ultima din listă este și cea considerată a fi responsabilă pentru atacul eșuat de la sfârșitul anului trecut din SUA. Dar atacuri ale hackerilor finanțați, sprijiniți și coordonați de Beijing au fost înregistrate și în Australia, Canada, India, Japonia, Noua Zeelandă, Taiwan, Marea Britanie și chiar la Vatican, când hackerii chinezi au spart rețeaua de calculatoare a Sfântului Scaun, înainte de o rundă de negocieri dintre China și Vatican, în iulie 2020. De pe lista statelor atacate de hackerii chinezi nu putea lipsi, evident, Ucraina. În aprilie 2022, The Times scria că, cu câteva zile înainte de începerea invaziei ruse, o unitate a armatei chineze a lansat atacuri cibernetice împotriva a circa șase sute de site-uri guvernamentale ucrainene, inclusiv cel al ministerului Apărării de la Kiev.
Potrivit Agenției americane de Securitate Cibernetică, „China reprezintă cea mai largă, cea mai activă și cea mai persistentă amenințare de spionaj cibernetic la adresa SUA. China este, cu siguranță, capabilă să lanseze atacuri cibernetice care să afecteze infrastructura critică americană, inclusiv conductele de petrol și gaze naturale sau sistemul feroviar.”
Gărzile Revoluționare Iraniene, atacuri cibernetice împotriva Israelului și Occidentului
Acum câteva zile, Statele Unite au impus sancțiuni împotriva a șase oficiali ai Corpului Gărzilor Revoluționare Islamice din Iran, despre care susțin că sunt responsabili pentru atacurile cibernetice asupra mai multor centrale de apă americane, la sfârșitul anului trecut. Măsura adaugă astfel Iranul pe lista statelor care susțin și finanțează terorismul cibernetic. Cyber Av3ngers este denumirea grupării de hackeri coordonați de Teheran, și s-a făcut remarcată în toamna anului trecut, când a revendicat un atac asupra unor companii din domeniul tehnologiei din Israel. Ulterior, folosind informațiile sustrase din fișierele israeliene, Cyber Av3ngers au folosit tehnici de bază pentru a scana internetul și a identifica dispozitivele fabricate de companiile israeliene atacate anterior. Apoi s-au conectat la aceste dispozitive folosind credențialele implicite ale acestora, care nu au fost niciodată modificate după instalare, reușind să blocheze activitatea mai multor centrale de apă de pe teritoriul american.
Dintre atacurile atribuite grupurilor de hackeri iranieni ar fi de amintit cel din 2017 asupra Parlamentului Britanic, care a durat 12 ore și în urma căruia emailurile a 90 de membri ai parlamentului au fost compromise, atacul la scară largă împotriva mai multor site-uri web ale guvernului israelian, în 2022, ce a determinat Direcția Națională Cibernetică israeliană să declare stare de urgență și despre care se spune că a fost cel mai mare atac cibernetic lansat până atunci împotriva Israelului, precum și atacul de tip ransomware asupra populației israeliene din 2023.
Eforturile Iranului de a deveni o forță în domeniul războiului cibernetic sunt considerabile, având chiar și rezultate notabile, așa cum am văzut mai sus. Cu toate acestea, însă, embargoul impus de statele occidentale și izolarea țării de sistemul tehnologic internațional împiedică Iranul să dezvolte o capacitate de atac cibernetic cu mijloace mai sofisticate din punct de vedere tehnic. Însă alianța din ce în ce mai strânsă între Iran și Rusia ar putea accelera progresul capabilităților cibernetice ale Teheranului și spori amenințările la adresa Occidentului și țărilor din Orientului Mijlociu cu care acesta se află în conflict.
Cum se apără România în cazul unui atac cibernetic la scară largă
Revenind la România și atacurile cibernetice asupra instituțiilor publice, am încercat să aflăm, în limita în care aceste informații sunt cunoscute și pot fi făcute publice, răspunsul la o serie de întrebări pe care le-am adresat celor două camere ale Parlamentului, Guvernului și Președinției României, dar și Directoratului Național de Securitate Cibernetică, Serviciului de Telecomunicații Speciale și Ministerului Cercetării, Inovării și Digitalizării. Întrebările vizau informații legate de ancheta privind cele două atacuri cibernetice din ianuarie, dacă există o localizare geografică a IP-urilor de pe care s-au lansat acestea și dacă există vreo bănuială că atacurile ar fi fost orchestrate de un actor statal ostil României. De asemenea, am dorit să aflăm care sunt instituțiile vizate de cele „200 de atacuri cibernetice zilnice” amintite de ministrul Digitalizării, cine se ocupă de securitatea cibernetică a site-urilor și bazelor de date ale Parlamentului, Guvernului sau Președinției României și, mai ales, ce impact ar avea asupra României un atac cibernetic de proporțiile celui asupra statului Costa Rica, din aprilie - mai 2022. La ora la care publicăm aceste rânduri, emailurile noastre au rămas fără răspuns, singura instituție care ne-a contactat fiind DNSC, care și-a luat angajamentul să răspundă întrebărilor noastre în măsura în care vor putea furniza respectivele informații, „deoarece încă există o investigație în curs de derulare”.
Veridica va publica răspunsurile instituțiilor contactate pe măsură ce le va primi.
UPDATE 8 februarie: Prevalându-se de prevederile art. 12, alin.(1), lit. e, din Legea nr. 544/2001 privind liberul acces la informațiile de interes public, Biroul comunicare cu mass-media şi imagine al Camerei Deputaților ne-a transmis că nu ne poate furniza „identitatea” serviciului/instituției publice sau departamentului care se ocupă de securitatea site-ului și bazei de date a camerei inferioare a Parlamentului, și nici date despre ancheta în curs (cine o face/în ce stadiu al procedurilor se află, etc.). Articolul invocat spune că „informațiile privind procedura în timpul anchetei penale sau disciplinare, dacă se periclitează rezultatul anchetei, se dezvăluie surse confidențiale ori se pun în pericol viața, integritatea corporală, sănătatea unei persoane în urma anchetei efectuate sau în curs de desfășurare” sunt exceptate de la accesul liber al cetățenilor, nespecificând însă nimic despre informațiile legate de un serviciu plătit din bani publici, mai concret asigurarea securității site-ului și bazei de date ale uneia dintre cele mai importante instituții publice din țară.