Hackerii ruși vs. dosarul cu șină. Cât de vulnerabilă e România în războiul cibernetic?

Războiul din Ucraina a provocat atacuri informatice asupra României, însă fără consecințe majore. Site-urile unor instituții precum CFR Călători, Poliția de Frontieră  sau ministerul Apărării au fost blocate temporar de hackeri ruși, însă situația a fost rapid rezolvată. 

PressOne a întrebat un specialist în amenințare informatică dacă societatea din România este pregătită să suporte consecințele unui război cibernetic direct, cât de vulnerabilă este, dar și cât de puternici sunt, cu adevărat, hackerii ruși. 

Între timp, Ministerul Digitalizării vrea să interzică folosirea în instituțiile publice a programelor software rusești, precum soluțiile Kaspersky Lab ori ale Group-IB. Proiectul de lege a fost lansat în dezbatere publică.

Bogdan Botezatu este director de cercetare a amenințării informatice la compania Bitdefender și pune în context ultimele evoluții din războiul informatic din regiune.

PressOne: Cum a arătat până acum războiul cibernetic din Ucraina? 

Bogdan Botezatu: Încărcat, dar tolerabil. Sincer ne așteptam la mult mai multe atacuri, dar probabil că părțile implicate în război s-au concentrat mult mai mult pe partea fizică. 

Au fost o serie de șicane, dar nu s-a ajuns la război informatic adevărat. Deși a fost țintită în mod constant, infrastructura critică din Ucraina a făcut față provocărilor. Atacurile venite dinspre Rusia au îngreunat foarte mult anumite procese. De exemplu atacul cu ransomware de la punctele de trecere a frontierei, petrecut în martie. 

Au mai fost atacuri asupra serviciilor de telecomunicații din Ucraina, tot cu scopul de a îngreuna partea operațională. Infrastructura critică a rezistat, iar Ucraina este încă online. 

Aș spune așadar șicane, dar nu război informatic la scară largă. 

PressOne: Ce rol a jucat până acum sistemul Starlink, oferit de Elon Musk?

B.B.: În momentul în care au fost atacate serviciile de telecomunicații s-a prevăzut faptul că va fi o perturbare, iar sistemul Starlink a încercat să asigure continuitate în procesul de comunicații. Au reușit, iar mare parte din antene au fost montate pe puncte mobile, pe mașini convertite și alte sisteme de transport. Au asigurat comunicații în zonele afectate de atacurile cibernetice. 

PressOne: Ce înseamnă, concret, un atac cibernetic?

B.B.:  Un atac cibernetic obișnuit înseamnă orice intervenție cu o amenințare informatică, ceea ce numim în general malware (n.r. software rău intenționat) asupra unui proces. Fie că vorbim de telecomunicații, transporturi sau sisteme care stochează informații pe care o companie sau un utilizator se bazează. 

Un atac cibernetic are menirea de a incapacita respectivele sisteme informatice și de a le face să nu funcționeze, atunci când e nevoie de ele. 

PressOne: Cât de greu e astăzi de stabilit dacă în spatele unui atac cibernetic stă o grupare de indivizi, un grup de hackeri dintr-o garsonieră sau un stat? 

B.B.: Extrem de greu și în același timp foarte ușor. Depinde foarte mult de tipul de atac. De exemplu, atacurile cibernetice care sunt sponsorizate de un actor statal vizează în general ținte de nivel înalt. Entități din industriile critice. 

Toate aceste atacuri sponsorizate de un stat sunt extrem de sofisticate și odată folosite intră în ceea ce noi numim public domain, proprietatea tuturor. Oricine are apoi acces la o amenințare informatică de tipul acesta. O poate desface și vedea ce anume face, cum face. Oricine poate folosi apoi codul sau bucăți din respectiva amenințare informatică, pentru atacuri comerciale. 

În general atacurile sofisticate ajung să fie folosite inițial de actori statali, apoi de actorii comerciali, care nu au capacitatea să dezvolte ei înșiși astfel de amenințări. 

PressOne: Care este frecvența atacurilor asupra României și cum era, din acest punct de vedere, înainte de război?

B.B.: La sfârșitul anului 2021 existau aproape 400 de atacuri unice pe minut. De la începutul lui 2022 am detectat o creștere semnificativă a numărului de atacuri, sunt undeva în jur de 550. 

Sunt cu 150 de atacuri unice pe minut mai multe. Chestia asta nu poate fi legată în mod normal de situația din Ucraina, ci de expansiunea în digital a afacerilor. 

A fost perioada de coronavirus, când foarte multe companii s-au digitalizat forțat. Au fost nevoite să adopte servicii de livrare sau plată prin internet sau să-și extindă businessul fizic în zona de digital. Atacatorii informatici s-au concentrat către acești jucători noi și au avut o suprafață de atac mult mai mare. 

PressOne: Ce sunt atacurile de tip DDoS?

B.B.: Nu sunt în mod necesar distructive. Sunt atacuri care demonstrează puterea și supremația tehnologică a unui adversar. Ele au ca scop principal restricționarea accesului la anumite pagini sau servicii. 

Majoritatea dispozitivelor compromise sunt camere de supraveghere smart, monitoare pentru bebeluși, obiecte conectate la Internet și infectate de atacatorii informatici. Apoi toate aceste dispozitive sunt direcționate către un site. Rezultatul este cam ceea ce vedem de Black Friday la magazine online. 

Pur și simplu atunci când utilizatorii vor să intre pe un anumit site sau pe o anumită resursă, din cauza traficului extrem de mare generat de dispozitivele acestea în mod artificial, ei nu mai au loc să prindă conexiunea cu respectivul serviciu. Un site este astfel indisponibilizat pentru o perioadă de timp. 

Ce s-a întâmplat acum câteva zile a fost o demonstrație de putere, pentru că atacatorii au țintit pagini care nu conțineau informații critice și nu deserveau procese critice. Noi numim tipul ăsta de atac „hacktivism”. Este activism prin hacking. 

PressOne: Chiar și așa, cinic vorbind, pe o scară a gravității de la 1 la 10, cât de grav este un atac de tip DDoS?

B.B.: Dacă se întâmplă asupra unui site de prezență aș spune 3. Dacă se întâmplă asupra unei instituții bancare unde accesul imediat la cash este critic, atunci putem vorbi de un atac de 7 sau mai sus. 

Să zicem că avem o aplicație de home bank din care facem tranzacții pe Bursă, de exemplu. Banii trebuie să circule dintr-un minut în altul, pentru că altfel pierdem prețul cel mai bun pentru o acțiune, să zicem. În momentul în care aplicația băncii nu mai funcționează, putem să ratăm tranzacții. 

Alt exemplu: dacă ținta nu ar fi un serviciu de e-banking, ci un sistem de distribuție a energiei electrice. Un astfel de atac ar putea cauza o problemă de furnizare. Și au fost situații în care atacuri de genul ăsta au perturbat foarte grav un proces de furnizare. 

PressOne: Ce alte metode, similare poate cu DDoS, există? 

B.B.: Atacul DDoS este unic, în felul lui. Dar infractorii informatici mai folosesc câteva metode de atac care au aceeași consecință. Atacurile cu ransomware, de exemplu. 

Ransomware este un tip de atac ce criptează informațiile de pe un sistem electronic. Atunci când un sistem electronic este criptat, în funcție de ce face el în rețea, poate încetini sau opri complet un proces de producție. Un caz specific este ce s-a întâmplat în SUA, în octombrie anul trecut, cu Colonial Pipeline, un mare distribuitor de carburant. 

Colonial Pipeline a suferit un atac cu ransomware. Printre calculatoarele afectate erau și cele ce asigurau sistemul de facturare. Moment în care transportatorul de carburant a decis să oprească furnizarea, ceea ce a dus la lipsuri la pompă. 

„Marea frică a Europei în acest moment este un tip de atac care se numește supply chain attack”

PressOne: ​Toate autoritățile și instituțiile publice din România vor fi obligate să dezinstaleze și să nu mai folosească produse de tip antivirus de la entități ruse sau aflate sub controlul Federației Ruse, precum soluțiile Kaspersky Lab ori ale Group-IB, potrivit unui proiect de lege inițiat de Ministerul Digitalizării. Cum vi se pare această inițiativă? Dar momentul la care ea vine? 

B.B.: Nu pot să comentez pe o situație în care e implicat un competitor, pentru că nu ar fi drept. Pot însă să înțeleg din ce cauză se întâmplă acest lucru. Anumite aplicații software, inclusiv antivirușii, sunt soluții care se actualizează de la distanță, în mod constant. 

Marea frică a Europei în acest moment este un tip de atac care se numește supply chain attack, atac în lanțul de distribuție. Anumite componente ale unei aplicații software ar putea fi înlocuite cu malware, cu amenințări informatice. În momentul în care un utilizator, casnic, industrial sau guvernamental, ar primi actualizarea respectivă, ar instala fără să-și dea seama o aplicație malițioasă pe calculator. 

A fost un caz în Ucraina în 2017, când o aplicație de contabilitate, MeDoc, a fost actualizată de cineva cu o amenințare informatică de tip ransomware. Moment în care toate calculatoarele care aveau aplicația MeDoc au devenit nefuncționale. 

Aplicația respectivă nu numai că infecta calculatoarele pe care se afla softul de contabilitate, dar avea și o componentă care trimitea mai departe infecția, către alte calculatoare din rețea. Infecția s-a întins din Ucraina în România. Și apoi din România cam peste tot în lume. 

La sfârșit știu că a ajuns până în Statele Unite și Norvegia, unde a afectat lanțurile de transport maritim. 

„Ar fi foarte greu pentru statul român să concureze cu zona privată în aducerea de talente”

PressOne: Ce înseamnă până la capăt social hacking? 

B.B.: Social hacking sau activismul acesta este hacking pentru o ideologie sau pentru susținerea unei cauze. Se întâlnește în mod frecvent atunci când grupări organizate de profesioniști în zona de cybercrime încearcă să susțină o cauză, religioasă, ideologică sau legată de anumite evenimente.

Atacatorii informatici se grupează să task force-uri, să zicem. Se coordonează și țintesc să facă rău unei infrastructuri pentru a susține o cauză în care cred. 

PressOne: Presupune și adunarea de date din rețelele sociale?

B.B.: Bineînțeles. Partea aceasta de social hacking are mai multe componente. Uneori se dorește restricționarea accesului la anumite servicii. Alteori se dorește penetrarea unei organizații, cu scopul de a aduna informații. Sau a se ajunge la anumiți oameni cheie, dintr-o anumită organizație. 

Se poate întâmpla prin identificarea țintelor relevante dintr-o companie. Se pornește cu profilurile angajaților, iar site-urile de tip rețea socială ajută foarte mult. 

Ai identificat în primă fază cine ar putea fi țintele relevante. Apoi le cauți adresele de email și începi să le trimiți mesaje de tip spam. Nu spam convențional, mai corect e să le spunem atacuri de tip phishing, prin care oamenii sunt păcăliți să dea clic pe un link. Să ajungă pe o pagină de login, de exemplu și să le dea astfel datele de autentificare în companie atacatorilor informatici. Ei se pot apoi conecta la infrastructura companiei ca și cum ar fi acolo, în interior. 

PressOne: Tocmai în această logică, au dat semne instituțiile de stat din România că urmăresc să-și instruiască personalul pentru a preveni infiltrarea în sistemele informatice prin atacuri de tip social hacking? 

B.B.: Da. Sunt eforturi susținute atât pe partea de training pentru personal, dar și pe partea de soluții de securitate și tehnologie care poate detecta o astfel de tehnologie înainte ca utilizatorul să dea vreun click. 

Războiul din Ucraina a avut un episod 1 în anul 2014, când Rusia a anexat Crimeea. Cam de pe atunci au început și pregătirile instituțiilor statului român și ale celui ucrainean, pentru a face față unui război informatic sau hibrid. 

PressOne: Ce ar trebui să mai facă instituțiile cheie din România pentru a preveni atacurile informatice?

B.B.: Cred că faptul că noi nu suntem complet digitalizați ne ajută, în acest moment. Noi cam dublăm orice tip de interacțiune cu autoritățile guvernamentale de exemplu cu celebrul dosar cu șină. Iar lucrul acesta poate ajută într-un fel. 

Pe măsură ce ne digitalizăm, cred că ar trebui să batem mai mare monedă pe componenta de cybersecurity (n.r. servicii de securitate a datelor). Din păcate, statul român nu are resursele necesare pentru a asigura necesarul de specialiști din interior. 

Așa că singura soluție pe care o văd este un parteneriat public-privat, pentru că din zona privată vine foarte multă inovație. O inovație care se datorează în mare parte cantității uriașe de talente pe care companiile private le achiziționează din piață. 

De exemplu ar fi foarte greu pentru statul român să concureze cu zona privată în aducerea de talente pe cybersecurity. Salariile sunt mult mai mari în sfera privată, așa că singura soluție ar fi creșterea numărului de parteneriate dintre instituțiile de stat și jucătorii mari din zona privată. 

PressOne: Poate un atac cibernetic, ipotetic, să oprească funcționarea unui stat ca România sau a unei țări, în general? 

B.B.: Da. Noi ne bazăm foarte mult pe tehnologie, inclusiv pe zona de infrastructură critică. Și un atac concentrat asupra unei porțiuni bine țintite din infrastructura critică ar putea paraliza de exemplu activitatea într-o regiune sau chiar într-o țară. 

Cum spuneam și înainte, simplul fapt că un atac cu ransomware a lovit niște calculatoare undeva într-un centru de date a dus la o criză majoră de carburant. Gândiți-vă că niște zvonuri aruncate pe social media despre scumpirea benzinei au dus la o situație similară în România. 

Orice tip de dezinformare sau atac concentrat ar putea avea un impact real asupra vieții oamenilor. 

Rusia are capacități foarte mari în zona atacurilor avansate persistente

PressOne: Cât de profunde sunt de fapt atacurile hackerilor ruși?

B.B.: Mai există un tip de atac pe care nu l-am discutat până acum. Se numește atac avansat persistent și este exact așa cum îi spune și numele. Se poate infiltra în unele organizații care sunt semi-închise sau complet închise. În rețele care lucrează cu date confidențiale sau clasificate. 

Se numește persistent pentru că scopul lui este să rămână nedetectat câteva luni sau câțiva ani. Timp în care această amenințare informatică strânge informații cheie pe care apoi le trimite atacatorilor informatici. 

Putem să speculăm organizațiile care ar putea fi țintite. Prospecțiuni geologice, de exemplu. Producători de armament, ministere și ambasade, guverne, actori în aparatul unui stat modern. Aceste atacuri au înlocuit practic spionii clasici. 

Rusia are capacități foarte mari în zona atacurilor avansate persistente. Au câteva divizii care se ocupă de astfel de atacuri din 2010-2012. Una dintre aceste divizii este cunoscută ca APT 28 sau Fancy Bear. 

PressOne: Cum evaluați nivelul de securitate și securizare a datelor din Federația Rusă, după toate scurgerile de date, comparativ cu standardele NATO?  

B.B.: E greu de spus, pentru că, după cum am văzut, au fost scurgeri de informații și din zona Federației Ruse și din zona blocului NATO sau a Uniunii Europene. Până și parlamentul german a fost ținta unui astfel de atac avansat persistent, acum câțiva ani. 

PressOne: Cum ar putea escalada acest război cibernetic? 

B.B.: Escaladările ar putea să meargă în două direcții. În primul rând am văzut deja semne că actorii comerciali din zona Federației Ruse, operatori de ransomware, au început să facă promisiuni guvernului de la Kremlin că îi vor ajuta în „misiunea” aceasta de restabilire a supremației în zona de război cibernetic. 

Cel mai probabil acești actori vor încerca să țintească companii private și publice, pentru a le cripta informațiile și pentru a cauza întreruperi ale proceselor. În al doilea rând cred că actorii statali vor încerca să se infiltreze în continuare în zona de guvern și ministere, tocmai pentru a primi informații cheie despre mișcările adversarilor la momentul zero. 

PressOne: Există și opinia că Putin ar ezita să aprobe atacuri cibernetice la scară mare, pentru că atunci ar urma o serie de sancțiuni problematice în domeniu. Cât de plauzibilă este teoria și ce sancțiuni specifice ar putea exista, astfel încât să sperie Moscova? 

B.B.: Atacurile cibernetice avansate au în general nevoie de aprobare de la cele mai înalte niveluri ale guvernului. De exemplu în SUA există o lege prin care atacurile cibernetice trebuie să fie semnate de președinte. Cred că același lucru se întâmplă în mai multe superputeri din spațiul cibernetic și într-adevăr, ar exista consecințe.

Consecințele acestea ar putea fi sancțiuni sau pot merge până la decuplarea totală a furnizorilor de telecomunicații de Federația Rusă, ceea ce ar duce la o izolare. 

PressOne: Care credeți că este fenomenul mai periculos în lumea de astăzi, hackingul sau dezinformarea? 

B.B.: Cred că sunt două fațete ale aceleiași monede, pentru că scopul lor este să destabilizeze buna funcționare a unei societăți. 

Dezinformarea schimbă complet textura societății care este expusă la mesaje repetate, venite pe mai multe canale. Atacurile cibernetice directe pot cauza în schimb panică majoră și pagube financiare uriașe, într-o perioadă foarte scurtă de timp. Ele sunt complementare, nu se exclud. 

PressOne: Un angajat dintr-o instituție publică din România ar fi adus filme porno pe care le-ar fi urmărit pe calculatorul de la birou. Până la urmă gradul de informare al românilor la ce nivel este și de ce?

B.B.: Cred că această componentă digitală a fost absorbită de către societate într-un ritm foarte alert. Să ne aducem aminte că am început să avem telefoane mobile pe bune undeva în jurul anului 2014-2015. 

Nu există nicăieri un curs de specialitate care să predea copiilor bunele practici în mediul online. Care sunt marile provocări, care sunt riscurile pe care aceștia le pot întâlni în spațiul cibernetic etc. 

Tot spun chestia asta, că la școală, în clasele primare, suntem vizitați de medicul stomatolog care ne învață să ne spălăm corect pe dinți. Suntem vizitați de polițistul de la Rutieră care ne învață să traversăm corect strada. Dar nu suntem vizitați și de specialiști din zona de securitate cibernetică sau de psihologi care să ne explice care este impactul tehnologiei asupra vieții, cum ar trebui să navigăm corect pe Internet, care sunt pericolele și semnele că ceea ce vedem nu e real. 

Cred că ar trebui investit foarte mult în componenta de educație digitală și cibernetică pentru că i-ar ține pe copii și adolescenți în pas cu vremurile pe care le trăim și ar fi și o bază solidă pentru crearea de specialiști în zona cibernetică, pe viitor. 

România are mari probleme în angajarea specialiștilor din zona cibernetică pentru că există o nevoie foarte mare în piață și școala nu scoate suficienți profesioniști capabili să umple golurile cauzate de dezvoltarea accelerată a economiei digitale.