08 februarie 2020

Atacurile cibernetice – permanent în umbra conflictelor din Orientul Mijlociu

Ion Roceanu

Orientul Mijlociu este, de mulţi ani, una dintre cele mai tensionate regiuni ale globului, care a generat de multe ori confruntări militare violente, atât la nivel de armate regulate, cât şi prin grupări paramilitare şi teroriste. Acţiunile în mediile fizice sunt de zeci de ani sub lupa analiştilor şi evidenţiate în toate mediile de comunicare. De mai bine de 10 ani s-a observat o accentuată activitate în reţelele informatice ale statelor din zonă, care au devenit fie ţinte, fie sursă a unor acţiuni de amploare.

Sursă foto: Mediafax

Cyber attacks cu efecte prelungite

Operaţii cibernetice de amploare care au vizat organizaţii guvernamentale ori instalaţii industriale sau militare, s-au derulat aproape fără încetare în zona Orientului Mijlociu în ultimii 10 ani care au antrenat grupări profesionale extrem de bine pregătite, atât statale, cât şi non-statale.

Operaţiile cibernetice nu funcţionează exact ca alte acţiuni ale războiului convenţional: două forţe cinetice care se confruntă în acelaşi spaţiu determinat, pe baza principiului acţiunii şi reacţiunii, într-o determinare temporală sincronă având suficiente elemente de cunoaştere reciprocă. Atacurile cibernetice nu se identifică prin confruntarea a două forţe în acelaşi timp, fiind de regulă acţiuni asincrone, greu de atribuit şi nu sunt întotdeauna recunoscute public de nicio parte. Unele dintre aceste acţiuni sunt derulate de către actori statali sau actori non-statali sprijiniţi de state şi pot fi asociate, sau nu, altor evenimente politico-militare.

În anul 2010, un virus extrem de inovativ, Stuxnet a fost utilizat pentru a ataca sistemele informatice pentru controlul proceselor industriale ale instalaţiilor nucleare ale Iranului de la Natanz. Stuxnet este considerat a fi prima armă cibernetică, după unii analişti, sau prima acţiune de terorism cibenetic, după alţii. Nu este clar cine a iniţiat acest atac, dar se opinează ca experţii cyber din SUA şi Israel, precum şi serviciile de intelligence din aceste ţări ar fi contribuit decisiv.

Răspunsul grupărilor cibernetice iraniene a venit imediat. După o serie de acţiuni cibernetice cu impact redus asupra unor ţinte din SUA, Israel, Arabia Saudită şi alte ţări, în anul 2012 acestea au lansat un atac cibernetic de amploare asupra unor capacităţi de prelucrare a ţiţeiului ale companiei de stat saudite ARAMCO şi asupra unor rafinării din Qatar. Acest atac este cunoscut sub numele virusul Shamon, şi a produs foarte multe pagube, atât prin compromiterea datelor din sistemele informatice atacate, cât şi prin  încetinirea producţiei de petrol până la restaurarea completă şi curată a bazelor de date.

Tehnic, aceste două operaţiuni cibernetice sunt deja analizate şi cunoscute. Ceea ce trebuie reţinut, ca o caracteristică comună a ambelor, este că virusii respectivi sau coduri malware similare sunt încă tranzacţionate pe piaţa neagră (DarkNet) reprezentând astfel o permanentă ameninţare pentru toate tipurile de sisteme informatice industriale. Mai mult, în ambele situaţii, este clar că virusul a fost instalat în respectivele sisteme  informatice prin exploatarea vulnerabilităţilor date de resursa umana, intelligence şi insider.

În anul 2015, o acţiune cibernetică de amploare derulată de grupări cibernetice din Yemen şi din Iran, au accesat mai m ulte baze de date ale Ministerului dse Externe al Arabiei Saudite şi au exfiltrat peste 70000 de documente clasificate, publicate parţial ulterior pe reţeaua WikiLeaks.

În august 2018  o companie petrolieră din Arabia Saudită a fost ţinta unui atac cibernetic în scopul  producerii de pagube şi sabotajului industrial. Atacul nu a fost conceput doar pentru a distruge, pur şi simplu, datele sau pentru a opri uzina, ci a fost menit să saboteze operaţiunile firmei şi să declanşeze o explozie, susţin specialiştii de la FireEye

Cel mai probabil, această operaţie cibernetică  a fost pregătită şi desfăşurată de grupuri non-statale siriene cu sprijin rusesc, spun aceiaşi specialişti. Ceea ce îi îngrijorează cel mai mult pe investigatori şi analiştii de informaţii este faptul că atacatorii au compromis sistemele informatice ale echipamentelor ce asigură funcţionarea în siguranţă a instalaţiilor industriale prin controlul tensiunii, presiunii şi temperaturilor. Aceste tipuri de controlere sunt utilizate în aproximativ 18.000 de instalaţii din întreaga lume, inclusiv instalaţii nucleare şi de tratare a apei, rafinării de petrol şi gaze şi uzine chimice, iar acest aspect este unul îngrijorător.

Avem o serie de astfel de acţiuni cibernetice derulate în 2019, dar şi foarte recente, în ianuarie, anul acesta, care pot oferi o serie de concluzii interesante, dar şi utile, pentru  a îndrăzni unele predicţii.

Lovituri de răspuns, dar şi de oportunitate

În 20 iunie 2019, un atac cibernetic de mare amploare, pregătit şi condus de US Cyber Command, conform unui oficial american citat de New York Times, a vizat diferite sisteme informatice ale Iranului, aparţinând, de fapt, grupării paramilitare Gardienii Revoluţiei. Atacul a vizat îndeosebi instalaţiile de supraveghere şi control al traficului naval din zona Golfului. Astfel, prin această acţiune, au fost şterse unele baze de date, reducând temporar capacitatea de a intercepta transporturi petroliere şi de a executa lovituri asupra navelor. Acest atac a survenit la doar o zi după ce Iranul a sechestrat un petrolier britanic în apele Golfului şi la o săptămână după ce a existat suspiciunea că alte două nave au fost vizate de atacuri cu rachete în zonă. Avem astfel de-a face cu un atac cibernetic clar asociat unui alt eveniment politico-militar tensionat din regiune.

La nici două luni, la 14 septembrie 2019, un atac cu drone asupra instalaţiilor petroliere ale Arabiei Saudite de la Abqaiq şi Khurais, revendicat de rebelii yemeniţi, dar considerat ca fiind planificat şi susţinut de Iran, a produs daune majore, creând un alt moment de tensiune internaţională în regiune. La o lună distanţă, în octombrie 2019, agenţia de ştiri Reuters susţine că oficiali americani, sub protecţia anonimatului, au afirmat că SUA au desfăşurat un nou atac cibernetic secret asupra mai multor sisteme informatice iraniene, afectând unele resurse hardware, precum şi capabilităţi de propagandă on-line, dar  fără alte detalii privind malware sau vectori de atac cibernetic.  Despre aceste supoziţii, ministrul comunicaţiilor din Iran, Mohammad Javad Azari-Jahromi, a răspuns: „doar în visele lor". Oficial, ambele părţi au negat aceste operaţii cibernetice.

Recent, au fost publicate analizele unei campanii cibernetice derulate, în cursul lunii ianuarie 2020, în aceeaşi regiune şi continuând logica asocierii cu un eveniment politico-militar major. La începutul lunii ianuarie a fost detectată o campanie de phishing împotriva entităţilor guvernamentale din ţările din Golful Persic. Campania a folosit tensiunea accentuată din regiune în urma uciderii generalului iranian Qasem Suleimani pe Aeroportul Internaţional din Bagdad şi a folosit e-mailuri care pretindeau că sunt de la Ministerele Afacerilor Externe din Bahrain, Arabia Saudită şi Emiratele Arabe Unite. Analiza a fost făcută de Blue Hexagon, o companie care utilizează inteligenţa artificială pentru a detecta şi, mai ales, pentru a anticipa atacuri cibernetice în diferitele reţele informatice globale. Atacul a avut ca sursă iniţială un malware transferat prin resursele Google drive. Fişierul ataşat e-mailului ajungea ca un document parţial blurat, solicitând celui care deschidea acest mail să permită acţiuni suplimentare menţionând fals că va avea acces la conţinut în mod clar. Odată activată opţiunea de continuare, un malware se instalează în computer, iar comanda şi controlul asupra sistemului se putea realiza printr-un cont de Twitter. Acest mod de acţiune şi această tehnică nu este specifică grupurilor cibernetice iraniene, fapt ce a condus la concluzia celor de la Blue Hexagon că, de fapt, această campanie nu este iniţiată de iranieni ca răspuns la uciderea generalului Soleimani, ci are altă motivaţie şi este generată de alte grupuri cibernetice care se folosesc de context.

Pe de altă parte, ţinând cont de unele aspecte tehnice ale campaniei malware astfel derulate, alţi analişti aduc în discuţie probabilitatea ca anumite grupuri cibernetice din estul Europei să fie iniţiatoarele atacului. Pentru niciuna dintre cele două ipoteze nu există o dovadă evidentă şi, cel mai probabil, nici nu vom afla asta prea curând. Vor fi alte şi alte evenimente cibernetice care vor ocupa timpul specialiştilor şi nu vor mai avea răgaz să revină asupra acestui eveniment, decât în măsura în care el se va repeta, fie ca tehnică, fie ca ţintă, ori vor apărea dovezi de implicare a unui actor statal sau a unui grup non-statal sprijinit.

Concluzii preventive

Sunt multe concluzii care pot fi extrase din aceste operaţiuni cibernetice, unele de natură pur tehnică, pe care specialiştii în securitate cibernetică se concentrează, iar  altele sunt de ordin strategic şi operaţional.

Constatăm astfel că în spaţiul cibernetic este o dinamică extrem de mare a acţiunilor, dar, în acelaşi timp, aproape invizibilă, greu de urmărit şi anticipat şi, mai ales, mereu inovativă.

Un alt aspect se referă la asocierea acţiunilor cibernetice cu campanii politico-diplomatice ori cu momente tensionate sau evenimente violente. Este de aşteptat astfel ca, ori de câte ori vom identifica o intensificare a unor acţiuni politico-militare în zonă, acestea să fie ori precedate ori urmate şi de acţiuni în spaţiul cibernetic. Mai mult, s-au intensificat în ultima perioadă acţiunile cibernetice  care vizează sistemele informatice ale instalaţiilor industriale, dar şi cele care asigură serviciile esenţiale către utilizatori (apă, energie, gaze, transporturi etc).

Apreciem că anul 2020 ne va aduce în atenţie şi alte acţiuni cibernetice în Orientul Mijlociu. Cu siguranţă că Iranul nu va înceta să vizeze sistemele informatice ale Arabiei Saudite, probabil si Emiratelor Arabe Unite şi Qatar-ului, fără a exclude alte ţinte statale. Una din ţintele permanente ale grupărilor cibernetice statale iraniene vor continua să fie SUA, susţinute cu siguranţă şi de alte numeroase atacuri avansate permanente (APT-uri).

Poate fi România ţintă cibernetică în această situaţie? Apreciem că poate fi o ţintă atât prin sistemele informatice ale unor instituţii şi agenţii guvernamentale, cât şi prin faptul că pe teritoriul naţional sunt şi alte reţele ale partenerilor strategici. Asupra acestui subiect vom reveni curând cu o analiză extinsă a potenţialelor ameninţări la adresa infrastructurilor cibernetice critice naţionale.