25 iunie 2020

Acţiuni de descurajare cibernetică pentru combaterea Secondary Infektion

Liviu Ioniţă

Compania americană de analiză social-media, Graphika, a publicat, recent, un raport care este „dedicat comunităţii în continuă creştere a investigatorilor online ai operaţiunilor de informaţii din social media” ... jurnalişti, cercetători, analişti, academicieni, cetăţeni privaţi, material ce conţine o „colecţie de operaţiuni de informaţii pe reţelele de socializare”, realizate de către „o entitate centrală din Rusia”. Este vorba de Secondary Infektion, de care Graphika s-a mai ocupat în trecut. Noul raport realizat de compania americană pare a fi o ilustrare a ceea ce SUA încearcă să realizeze în ultima vreme şi anume o descurajare cibernetică stratificată, ceea ce, în linii generale, presupune colaborarea dintre sectorul public şi cel privat în scopul promovării unui comportament responsabil în cyberspaţiu şi reducerii severităţii şi frecvenţei atacurilor cibernetice. Este un gest care se adaugă altora din ultima vreme, aparţinând unor actori publici sau privaţi, de dezvăluire a unor acţiuni ostile din spaţiul cibernetic. De pildă, avertismentul Agenţiei Naţionale de Securitate a SUA din urmă cu câteva săptămâni, ori raportul, de la începutul anului, al firmei de consultanţă Booz Allen Hamilton, ambele expunând public acţiunile cibernetice ale GRU, serviciul de intelligence al armatei ruse.

Sursă foto: Profi Media

Graphika şi expunerea detaliată a Secondary Infektion

Timp de şase ani (2014 - 2020), un „grup misterios” a folosit documente falsificate, realizând 2.500 de postări în şapte limbi, pe 300 de platforme media, în cea mai mare parte de pe conturi de unică folosinţă şi conturi false, cu scopul „semănării conflictului între ţările vestice”.

Este rezumatul raportului realizat de Graphika, potrivit căruia, în acţiunile respective, „cel mai adesea a fost vizată Ucraina”, dar şi alegerile americane, din 2016, şi cele din Franţa, din 2017.

Aşa cum am prezentat în articolul „SeasonGate. O toamnă bogată în scurgeri de informaţii”, publicat de Monitorul Apărării şi Securităţii în luna ianuarie 2020, Graphika este o companie SaaS (software-ul ca serviciu, un model de furnizare a software-ului bazat pe cloud), care, în parteneriat, printre alţii, cu Harvard, Oxford şi DARPA, creează hărţi exploratorii la scară largă a peisajelor de social media, analizează terenul cybersocial (structura reţelelor sociale), ajutându-şi clienţii să înţeleagă modul în care informaţia se propagă prin reţelele sociale şi care este influenţa acesteia.

Potrivit ultimului raport realizat de firma americană, Secondary Infektion este numele dat unei „operaţiuni de informaţii ruse, de lungă durată, care cuprinde mai multe campanii pe reţelele de socializare, coordonate de o entitate centrală, care era deja activă în 2014 şi care încă funcţiona la începutul anului 2020”.

Însă acesta nu este singurul material realizat de Graphika cu referire la Secondary Infektion.

În decembrie anul trecut, Graphika a publicat un material în care a concluzionat că întreaga derulare a evenimentelor circumscrise dezvăluirii celor 451 de pagini (NHS dossier) de către liderul Partidului Laburist reflectă o metodă de operare de origine rusă, sesizată în mod repetat în ultimii ani, fiind vorba de Secondary Infektion, operaţiune a intelligence-ului rus.

La 27 noiembrie 2019, înainte de alegerile generale din Regatul Unit, Jeremy Corbyn făcea publice documente clasificate care detaliau planurile pentru o tranzacţie comercială SUA - Marea Britanie post-Brexit, prezentată drept un complot Tory de vânzare a National Health Service (NHS), sistemul de asistenţă medicală gratuită de stat din Regatul Unit.

Secondary Infektion este numele dat unei operaţiuni ruseşti expusă de Facebook la începutul anului 2019 şi analizată, ulterior, de către Digital Forensic Research Lab (DFRLab), structură a Atlantic Council, Think Tank din domeniul relaţiilor internaţionale, care a încearcat să demonstreze că, în spatele unui şir de tentative, în mare măsură eşuate, de a difuza ştiri false, se află un demers rus, posibil de intelligence, axat pe folosirea unor conturi de internet false, documente falsificate şi zeci de platforme online în scop de dezinformare şi atac la adresa intereselor occidentale.

Aşa cum precizam în articolul menţionat, numele de Secondary Infektion i-a fost atribuit operaţiunii întrucât aminteşte, prin tehnica folosită (de răspândire a unei istorisiri false), de o altă operaţiune, Infektion, din epoca sovietică, atunci când Statele Unite au fost acuzate de crearea virusului SIDA.

Analiza DFRLab a evidenţiat atunci, similar cu cea realizată recent de Graphika, că obiectivul operaţiunii, care constă în postarea de articole pe Facebook, Twitter, Medium, Reddit, şi alte platforme online din Australia, Austria, Germania, Spania, SUA, este divizarea şi discreditarea ţărilor occidentale.

Graphika consideră, însă, că raportul pe care l-a făcut public, recent, ar fi, de fapt, „prima examinare sistematică a campaniilor Secondary Infektion”, fiind dezvăluită „imaginea cea mai cuprinzătoare... obiectivele strategice ale operaţiunii şi priorităţile tactice de-a lungul anilor”.

Se mai arată în materialul companiei americane că, deşi ulterior expunerii operaţiunii de către DFRLab, Secondary Infektion s-a redus brusc, aceasta era încă prezentă la începutul anului 2020, una dintre ultimele sale postări fiind aceea prin care Statele Unite au fost acuzate de crearea Covid-19 într-un laborator secret din Kazahstan.

Acţiunile subsecvente Secondary Infektion au utilizat, în mod constant, „tehnici sofisticate de acoperire a urmelor”, şi au fost centrate pe nouă teme principale: 1. Ucraina ca stat eşuat sau nesigur, 2. agresiunea sau imixtiunea SUA şi NATO în alte ţări, 3. divizări şi slăbiciuni europene, 4. alegeri, 5. migraţia şi islamul, 6. scandalurile de dopaj din Rusia în competiţii sportive, 7. Turcia ca forţă agresivă, destabilizatoare, 8. apărarea Rusiei şi a guvernului său, 9. critici la adresa Kremlinului, cu referire inclusiv la Alexei Navalny şi grupul de investigaţii Bellingcat.

În mod similar cu DFRLab, care concluzionase că, deşi, operaţiunea poate fi atribuită unor actori din Rusia, nu există suficiente dovezi open-source pentru o asociere cu statul rus, analiza Graphika subliniază că deocamdată „nu se cunoaşte nimic despre entitatea centrală din spatele operaţiunii: identitatea sa este singura întrebare apăsătoare care a rezultat din acest studiu”.

Dar, la fel cu ”Agenţia Rusă de Cercetare a Internetului (IRA)” şi informaţiile militare ruse (GRU), Secondary Infektion „a acordat atenţie alegerilor şi a încercat să perturbe aceste procese democratice”, printre altele, în Statele Unite, Franţa şi Suedia, cu scopul „exacerbării diviziunilor între ţări”.

Secondary Infektion se remarcă prin utilizarea documentelor falsificate, uneori „surprinzător de slab realizate, o reminiscenţă a istoriei timpurii a operaţiunilor ruseşti”.

Operaţiunea a vizat mai mulţi lideri occidentali, fiind create scrisori, tweet-uri şi postări pe blog false ale acestora (secretarul de stat american, Mike Pompeo, fostul şef al personalului de la Casa Albă, John Kelly, diverşi membri ai comisiilor pentru afaceri externe şi informaţii ale Senatului SUA, oficiali ai Germaniei, Marii Britanii, Ucrainei, foşti lideri naţionali, printre care Carl Bildt şi Mihail Saakaşvili). Au fost, de asemenea, publicate documente falsificate, imagini şi videoclipuri atribuite unor organizaţii non-guvernamentale: Agenţia Mondială Antidoping (WADA), Organizaţia pentru Securitate şi Cooperare în Europa (OSCE), Comitetul pentru Protecţia Jurnaliştilor (CPJ), Greenpeace.

Secondary Infektion este caracterizată printr-o securitate operaţională ridicată, dar „are tactici, tehnici şi proceduri foarte diferite” de cele ale Agenţiei de Cercetare a Internetului (IRA) sau ale intelligence-ului militar (GRU) din Rusia: „mai puţin implicată ca IRA şi mult mai puţin axată pe operaţiuni militare sau scurgeri autentice ca GRU”.

Este vorba de o operaţiune „persistentă, deliberată şi secretă”, atribuirea ei unor actori ruşi bazându-se „pe mai mulţi indicatori, atât tehnici, cât şi contextuali”. Cu toate acestea, Secondary Infektion rămâne „un actor de ameninţare neidentificat” şi nu există „o imagine clară a capacităţilor şi motivelor sale generale”.

„Întrebările cheie rămân fără răspuns: cine a fost în spatele operaţiunii? Ce încercau să realizeze? De ce nu au fost vizate unele dintre ţintele frecvente ale operaţiunilor de informaţii ruseşti, de exemplu conflictul sirian şi organizaţia umanitară White Helmets?”

Se consideră că expunerea Secondary Infektion, a scopului şi detaliilor acestei operaţiuni, are implicaţii pentru alegerile viitoare, în special pentru alegerile prezidenţiale ale SUA din 2020, iar „apărarea colectivă va fi într-o stare semnificativ mai bună decât în 2016”.

Dacă raportul Graphika expune o entitate rusă necunoscută, în schimb, o altă analiză, realizată la începutul acestui an de către firma Booz Allen Hamilton, indică explicit autorul ameninţării cibernetice: GRU. Ulterior, Agenţia Naţională de Securitate a SUA a emis public un avertisment cu privire la acţiunile Sandworm şi legătura grupării de hackeri cu acelaşi serviciu de intelligence.

 

Paradigma de cunoaştere şi înţelegere propusă de Booz Allen Hamilton

Booz Allen Hamilton, deţinută de fondul de investiţii Carlyle Group, este o firmă de consultanţă tehnologică şi strategie globală cu sediul corporativ în McLean, Virginia, un contractor privat pentru agenţiile de apărare şi intelligence, printre cei mai importanţi clienţi ai firmei fiind Agenţia Naţională de Securitate. În 2013, Edward Snowden lucra pentru echipa din Hawaii a Booz Allen Hamilton (subcontractor NSA), ca administrator de sisteme informatice.

În luna martie, compania a realizat un raport cuprinzător şi, în egală măsură, surprinzător, care detaliază 15 ani (2004 - 2019) de operaţiuni informatice ale hackerilor militari ruşi.

Cel mai mare antreprenor privat al comunităţii de informaţii din SUA, cum este caracterizată Booz Allen Hamilton, a publicat un material care este „o raritate în comunitatea de securitate cibernetică, deoarece se concentrează asupra imaginii cuprinzătoare a modului în care liderii militari din Rusia îşi folosesc unităţile de hacking pentru a-şi susţine politica externă pe tot Globul”.

Un material diferit de majoritatea celorlalte din domeniu, care, de obicei, îşi concentrează investigaţiile pe evenimente izolate, evitând analiza politică şi atribuirea atacurilor unor guverne.

Mai exact, raportul Booz Allen Hamilton se referă la operaţiunile cibernetice desfăşurate de GRU, asociat unor grupări de hacking - APT28 (Fancy Bear) şi Sandworm – fiecare dintre ele considerat o unitate militară diferită în cadrul serviciului rus de informaţii.

Conform raportului de 80 de pagini al Booz Allen Hamilton, operaţiunile cibernetice efectuate de ambele grupuri nu pot fi privite în mod izolat, ci ca parte a unei operaţiuni militare. În cazul celor peste 200 de incidente cibernetice analizate de Booz Allen Hamilton, există aceleaşi tipare care „se potrivesc perfect” Doctrinei militare a Federaţiei Ruse, sunt atribuite GRU, şi care fac parte din mecanismul defensiv al Rusiei de răspuns la schimbările mediului politic.

Printre incidentele analizate se numără: atacuri DDoS pentru a perturba site-urile mass-media cu trei zile înaintea scrutinului din Muntenegru, cu intenţia împiedicării alegerii unui politician favorabil Vestului, acţiuni în Siria realizate prin intermediul grupării Islamic State Hacking Division, operaţiuni de sabotaj cibernetic în Polonia, ca răspuns la prezenţa tot mai mare a NATO în regiune, atacuri cibernetice împotriva ambasadei României în Rusia şi operaţiuni de phishing care au vizat entităţi româneşti, operaţiuni de hacking care au vizat Danemarca, după ce ţara a anunţat că se va alătura sistemului NATO de apărare antirachetă. Operaţiuni similare au avut loc în Marea Britanie, Franţa şi SUA.

Raportul se doreşte a fi „un cadru consistent pentru a explica procesul de gândire al GRU, bazat pe doctrina militară a Rusiei, un document de politici publice”, o modalitate de a arăta „legătura fundamentală dintre activitatea cibernetică atribuită GRU şi misiunea GRU de a monitoriza, neutraliza şi contracara anumite circumstanţe şi acţiuni enumerate public care pun în pericol securitatea militară rusă”.

Concluzia analizei detaliate realizate de către Booz Allen Hamilton este aceea că deşi GRU este „o ameninţare prolifică, capabilă şi hotărâtă”, cunoscându-i metodele şi înţelegându-i motivaţiile se poate anticipa „când, unde şi cum se vor desfăşura atacurile” şi se pot lua măsuri „pentru îmbunătăţirea posturii de securitate”.

Înţelegerea motivelor adversarilor este esenţială pentru „reducerea proactivă şi eficientă a ameninţărilor şi gestionarea riscurilor”. Dimpotrivă, „lipsa de conştientizare a ameninţărilor relevante poate duce la creşterea constantă a costurilor pentru apărare”. Această „paradigmă de securitate agilă şi centrată pe ameninţări urmăreşte în cele din urmă să conducă la eficienţă, anticipând continuu, atenuând, detectând, răspunzând şi recuperând ameninţările în evoluţie rapidă”.

Paradigma de cunoaştere şi înţelegere propusă de Booz Allen Hamilton şi acţiunea de expunere detaliată avansată de Graphika, ambele companii fiind actori privaţi ai mediului de securitate, nu sunt altceva decât punerea în practică a viziunii strategice americane de descurajare a adversarului în spaţiul cibernetic. O descurajare cibernetică stratificată, care pune accent pe colaborarea dintre sectorul public şi cel privat.

Să cunoşti adversarul şi să-i arăţi că îl cunoşti şi astfel, să-l forţezi să-şi schimbe comportamentul. Sau măcar să încerci.