12 iunie 2020

GRU – prima victimă a cyber-strategiei SUA „Naming and shaming”

Liviu Ioniţă

Mass media relatează, aproape zilnic, despre incidente produse în spaţiul cibernetic, ceea ce acreditează ideea că, deşi nu există propriu-zis un război, nici de pace nu poate fi vorba în mediul vulnerabil al reţelelor care conectează oameni şi economii din întreaga lume. Recent, Agenţia Naţională de Securitate a SUA (NSA) a emis un avertisment public cu privire la acţiunile grupării Sandworm şi legătura acesteia cu GRU, serviciul militar rus de intelligence. Presa de peste Ocean a descris anunţul NSA ca fiind unul neaşteptat. Însă, în contextul schimbărilor din ultima vreme ale politicii SUA referitoare la cyber-spaţiu, decizia agenţiei americane de a indica explicit un serviciu de informaţii străin implicat într-un atac cibernetic, nu este atât de neobişnuită. Dimpotrivă, ea se înscrie în eforturile destinate securizării spaţiului cibernetic, fie ele acţiuni ofensive, fie activităţi de descurajare.

Sursă foto: Profi Media

Sandworm – „un actor agresiv şi periculos”

Agenţia Naţională de Securitate a Statelor Unite a emis un avertisment potrivit căruia hackerii ruşi exploatează o vulnerabilitate de pe serverele de e-mail.

Grupul din spatele atacului informatic, cunoscut sub numele de Sandworm, face parte din Centrul principal pentru tehnologii speciale (GTsST) al Direcţiei Generale de Informaţii din cadrul Statului Major General al armatei ruse (Serviciul de informaţii al armatei ruse / GRU).

Atacatorii au vizat software-ul gratuit Exim, un agent de transfer de mesaje (MTA), dezvoltat la Universitatea Cambridge, utilizat, în principal, de mediile Unix / Linux si de IPS (Internet Service Providers - furnizori de servicii internet), dar şi de reţele mici sau de staţii de lucru individuale. Sandworm a exploatat CVE-2019-10149, o vulnerabilitate de execuţie a comenzilor de la distanţă a anumitor versiuni Exim, descoperită încă de anul trecut.

NSA nu a precizat pe cine au vizat hackerii ruşi, ce sectoare de afaceri au fost cel mai afectate sau câte organizaţii au fost compromise, dar a îndemnat utilizatorii să facă actualizări la cea mai recentă versiune Exim.

În prezent, Sandworm, alături de Turla, este considerat unul dintre cele mai avansate grupuri de hackeri sponsorizate de stat.

Între 2011 şi 2014, Sandworm a desfăşurat o campanie cibernetică prelungită, prin care s-a reuşit să se obţină acces la unele sisteme de control industriale din SUA.

De asemenea, Sandworm este grupul de hackeri care a dezvoltat malware-ul BlackEnergy, cel care a provocat întreruperea masivă de energie din Ucraina, în 2015 şi 2016. Grupul a intervenit şi în alegerile prezidenţiale din SUA din 2016, prin sustragerea şi expunerea e-mailurilor Comitetului Naţional Democrat şi accesarea bazelor de date cu alegători.

Sandworm a dezvoltat şi ransomware-ul NotPetya, lansat în 2017 cu ţintă Ucraina, dar care a provocat daune de miliarde de dolari în SUA şi în alte 64 de ţări.

Un an mai târziu, mai întâi Londra, apoi Casa Albă şi, ulterior, Australia, Estonia, Danemarca şi Lituania au emis declaraţii prin care au atribuit Rusiei atacul NotPetya. Şi, în acelaşi an, o operaţiune Sandworm, folosind malware-ul cunoscut sub numele de Olympic Destroyer, a afectat temporar sistemele digitale la Jocurile Olimpice de iarnă de la PyeongChang.

În februarie 2020, Centrul Naţional Britanic pentru Securitate Cibernetică, din cadrul Agenţiei Guvernamentale pentru Comunicaţii (GCHQ), dar şi Departamentul de Stat al SUA, au acuzat GRU şi Sandworm de atacul cibernetic asupra Republicii Georgia, din 2019, acţiune care a dezafectat site-urile guvernamentale şi a întrerupt emisiile de televiziune.

Considerat „unul dintre, dacă nu chiar cel mai agresiv şi potenţial periculos actor” implicat în acţiuni de hacking (John Hultquist, FireEye), Sandworm a reuşit de această dată accesarea unui server de poştă vulnerabil, care reprezintă „un punct nevralgic puternic pentru hackeri, deoarece le poate permite să sape mai adânc în reţea odată ce serverul este compromis" (Jake Williams, fost hacker NSA şi fondator al firmei de securitate Rendition Infosec).

 

O plângere publică neobişnuită

În condiţiile în care Statele Unite au atribuit şi condamnat anterior acţiunile Sandworm, de ce este considerat anunţul NSA ca fiind o „plângere publică neobişnuită”?

Afirmaţia „neobişnuit de specifică”, cu indicarea GRU, poate semnala „îngrijorarea” agenţiilor de spionaj americane, care „devin tot mai insistente în dezvăluirea interferenţei Moscovei pe măsură ce se apropie alegerile prezidenţiale”.

Este, de asemenea, o declaraţie făcută în contextul în care preşedintele Trump şi-a reînnoit afirmaţiile potrivit cărora ancheta care a vizat activităţile Rusiei a făcut parte dintr-o „farsă” a democraţilor menită „să-l paralizeze”, punând public sub semnul întrebării culpabilitatea Rusiei în hacking-urile electorale.

Foşti oficiali ai NSA consideră că acuzarea explicită a unei agenţii ruse de informaţii poate fi un semn că, „cel puţin deocamdată, intelligence-ul poate funcţiona în afara presiunii politice a preşedintelui”.

Avertismentul NSA atrage atenţia lumii asupra operaţiunilor de spionaj cibernetic din Rusia, şi, pe lângă faptul că solicită administratorilor Exim să-şi corecteze serverele, face ca operatorii Sandworm să îşi piardă, cel mai probabil, accesul la multe dintre serverele pe care le-au hackerit în ultimele nouă luni.

Din 2018, NSA, ca şi US Cyber ​​Command, comandament al cărui statut a fost ridicat la nivelul de combatant command, şi-a intensificat eforturile pentru identificarea şi descurajarea imixtiunilor ruseşti.

Tot în 2018, adoptată după 15 ani, Strategia de Securitate Cibernetică a introdus conceptul de defend forward (un posibil echivalent în limba română: apărare proactivă) - acţiune care precede perturbarea ori oprirea unei activităţi cibernetice potenţial dăunătoare. La prezentarea documentului strategic, consilierul de securitate naţională din acea perioadă, John Bolton, a anunţat că au fost autorizate operaţiunile cibernetice ofensive.

Alte două documente, emise cu puţin timp înaintea aprobării strategiei, dovedeau, la rândul lor, conturarea unei noi politici a Casei Albe, care relaxează regulile privind utilizarea armelor digitale şi în conformitate cu care „mâinile nu mai sunt legate aşa cum erau în Administraţia Obama” (John Bolton).

Este vorba de Viziunea strategică a US Cyber Command şi de o directivă clasificată, Memorandumul Prezidenţial de Securitate Naţională 13 (NSPM 13), care permit efectuarea operaţiunilor cibernetice ofensive şi defensive, fără aprobarea preşedintelui.

 

Ce spun noile reguli ale jocului?

Se pot realiza acţiuni de defend forward şi se pot face pregătiri de război, construind o forţă mai letală (a more lethal force), în timp ce competitorii sunt descurajaţi.

Cum se va face asta? Prin obţinerea şi menţinerea superiorităţii (superiority through persistence) în domeniul cyber-spaţial, destinată influenţării comportamentului adversarului, asigurării strategice şi operaţionale, creării de avantaje necesare apărării intereselor naţionale. Superioritatea prin persistenţă preia şi menţine iniţiativa în cyber-spaţiu, prin implicare continuă (continuously engaging), concurând în mod permanent cu adversarii şi provocându-le incertitudine strategică (Viziunea US Cyber Command).

Atât US Cyber Command, cât şi Departamentul Apărării tratează defend forward ca strategie complementară, dar distinctă de descurajarea cibernetică, acele acţiuni care „afectează calculele unui adversar” şi sunt destinate să „convingă adversarii să nu efectueze atacuri cibernetice sau acţiuni intruzive costisitoare”.

Descurajarea implică faptul că, având o capacitate cibernetică de temut şi voinţa de a o folosi, se generează un „feedback negativ” şi se va stabiliza o criză potenţială.

Conceptul de descurajare cibernetică, născut în anii 90, a fost supus mai multor critici:

● riposta în cyber-spaţiu este mai greu de executat;

● informaţiile care conduc la atribuirea unui cyber-atac necesită un consum mare de timp pentru a acoperi numeroase reţele şi actori;

● semnalizarea este la fel de problematică, având în vedere secretul operaţiunilor cibernetice şi dificultatea de a discerne între comportamentul ofensiv şi cel defensiv. În plus, dată fiind diversitatea actorilor din domeniu, persoane fizice, grupuri de hackeri non-statali şi operatori militari,

●  presupunerea că toţi actorii din cyber-spaţiu acţionează raţional nu este valabilă. (Max Smeets, cercetător la Centrul pentru Studii de Securitate, afiliat Universităţii Stanford)

Înfiinţată în 2019, pentru „a dezvolta un consens asupra abordării strategice a apărării Statelor Unite în cyber-spaţiu”, Cyberspace Solarium Commission a dezvoltat o nouă abordare pentru asigurarea intereselor americane în domeniul cyber-spaţiului: descurajarea cibernetică stratificată. Strategia Cyberspace Solarium Commission, care pune accent pe colaborarea dintre sectorul public şi cel privat, urmăreşte să „adapteze teoria descurajării raţionale la realitatea conectivităţii secolului XXI şi să reducă severitatea şi frecvenţa atacurilor, schimbând calculul cost-beneficiu pentru actorii care decid dacă vor ataca în cyber-spaţiu”.

Lucrând cu partenerii săi, Statele Unite vor promova un comportament responsabil în cyber-spaţiu şi vor folosi instrumente non-militare pentru a izola actorii maligni. Prin politicile care susţin această postură de descurajare, Statele Unite îşi păstrează capacitatea de a impune costuri adversarilor din spaţiul cibernetic, asigurându-se că are capacitatea de defend forward.

Spre deosebire de descurajarea nucleară, obiectivul ar fi de a reduce severitatea şi frecvenţa generală a cyber-atacurilor cu consecinţe semnificative.

Naming and shaming – divulgarea publică a comportamentului ilegal al unei persoane, companii, guvern – face parte din abordarea destinată reducerii operaţiunilor cibernetice ostile.

Deşi atribuirea publică a unei acţiuni este un element central al răspunsului Administraţiei Trump la creşterea constantă a cyber-atacurilor sponsorizate de state ostile, unii (fostul procuror general adjunct Jack Goldsmith şi Robert Williams, cercetător principal Yale) consideră această abordare drept „un eşec magnific”.

În spaţiul cibernetic, naming and shaming este o tactică discutabilă, deşi nu imposibilă, dat fiind că acţiunile din lumea digitală sunt mai dificil de observat şi atribuit.

Guvernele occidentale au fost, în trecut, prudente cu privire la blamarea în mod explicit a ţărilor pentru atacuri cibernetice specifice, din câteva motive: este greu în mediul online să fii absolut sigur că „îţi îndrepţi degetul către grupul potrivit, datorită naturii umbroase a spionajului cibernetic, mai ales atunci când hackerii vor planta dovezi pentru a face să pară că un alt grup a efectuat atacul”. Un alt motiv de precauţie este că acuzarea unei ţări de atac cibernetic înseamnă, de obicei, furnizarea unor dovezi, care pot oferi surse sau detalii tehnice ale propriilor capacităţi de spionare.

După interferenţa rusă în alegerile prezidenţiale din 2016, agenţiile de informaţii americane au fost mai dispuse să atribuie nominal atacurile cibernetice când această practică poate constitui un mod de a descuraja atacurile viitoare, oferind informaţii care pot permite organizaţiilor care sunt potenţial vizate să se protejeze mai bine.

Este şi cazul indicării GRU, nominalizat ca fiind responsabil de acţiuni care au vizat vulnerabilitatea softului Exim.

Într-un recent discurs (la Foreign Service Institute), Christopher Ashley Ford, asistent secretar de stat pentru securitate internaţională şi neproliferare, spune că politica externă a SUA în domeniul securităţii ciberspaţiale este clară: „împreună cu partenerii internaţionali, Statele Unite promovează un comportament responsabil al statului în cyber-spaţiu, iar atunci când statele nu reuşesc să respecte aceste standarde, se lucrează pentru a le responsabiliza”. Se va acţiona prin naming and shaming la adresa adversarilor care „desfăşoară o activitate cibernetică perturbatoare, destabilizatoare sau în alt mod rău intenţionată împotriva Statelor Unite sau partenerilor”. Statele Unite vor lansa „o iniţiativă internaţională privind decurajarea cibernetică, pentru a construi o coaliţie şi a dezvolta strategii adaptate pentru ca adversarii să înţeleagă consecinţele comportamentului cibernetic rău intenţionat”.

Chiar dacă nu este considerată de toată lumea o strategie legitimă de descurajare şi nu va zădărnici activitatea cibernetică ostilă a unor state, naming and shaming rămâne un mijloc de semnalare a unui actor rău intenţionat, şi, în acelaşi timp, demonstrează competenţă, fără a fi neapărat nevoie să se dezvăluie întreaga capacitate de apărare.