08 noiembrie 2019

Oktoberfest cu spioni

Liviu Ioniţă

Tradiţional, despre serviciile de informaţii nu se vorbeşte. Iar atunci când se vorbeşte, toată lumea o face cu rezervă, lăsând să se înţeleagă cum că s-ar cunoaşte mai mult decât se spune, în fapt, de cele mai multe ori, ştiindu-se prea puţin. Despre serviciile de informaţii, despre acţiunile acestora, este greu să afirmi ceva cu certitudine, iar să emiţi concluzii cu privire la strategiile lor, urmărind evenimente în desfăşurare, pare lipsit de sens. De aceea, se iau minime precauţii … ”se zice că …, se pare că …, este posibil să” … ori de câte ori din înşiruirea unor întâmplări concrete există tentaţia să consideri că reuşeşti să emiţi, corect, ipoteze de substanţă, valide.

Sursă foto: Mediafax

Acuze de spionaj la adresa Moscovei

După ce, nu cu multă vreme în urmă, Nikolai Malinov, fost parlamentar socialist, liderul unei organizaţii nonguvernamentale din Bulgaria, a fost trimis în arest sub acuzaţia de spionaj în favoarea Moscovei, pe motiv că ar fi făcut parte dintr-o reţea care urmărea îndepărtarea Bulgariei de aliaţii occidentali şi apropierea ei de Federaţia Rusă, Ministerul bulgar de Externe a anunţat, în luna octombrie, 2019, că Rusia l-a retras de la post pe unul dintre membrii misiunii sale diplomatice în Bulgaria.

Potrivit Parchetului General de la Sofia, acesta este investigat pentru spionaj, cu motivaţia că cetăţeanul rus a desfăşurat activităţi de culegere de informaţii prin participarea la diverse întrevederi cu cetăţeni bulgari, cu acces la informaţii clasificate despre Bulgaria, UE şi NATO.

Nici Ministerul de Externe al Bulgariei, nici Parchetul General de la Sofia şi nici Ambasada Rusiei nu au dezvăluit numele diplomatului expulzat din Bulgaria, stat care, cu un an înainte, nu s-a alăturat aliaţilor săi din NATO şi UE în expulzarea diplomaţilor ruşi ca răspuns la atacul cu substanţe neurotoxice din Marea Britanie (Cazul Skripal).

Acum câteva zile, Bulgaria a refuzat să acorde viză noului ataşat militar propus de Moscova. Ministerul bulgar de externe a declarat că decizia a fost luată din cauza unei rezoluţii negative a uneia dintre agenţii, cu care este coordonată emiterea de vize pentru diplomaţi. Rusia a fost înştiinţată oficial.

La 21 octombrie, în capitala unui alt stat din Europa de Est, Michal Koudelka, şeful serviciului de contrainformaţii ceh, afirma, în cadrul unei conferinţe, că agenţia pe care o conduce, Serviciul de Informaţii de Securitate (BIS), a destructurat o reţea rusă de spionaj, destinată să fie utilizată pentru atacuri cibernetice împotriva Republicii Cehe şi aliaţilor săi.

Koudelka a declaratreţeaua a fost creată de oameni cu legături cu serviciile de informaţii ruse şi finanţată din Rusia şi de Ambasada Rusiei la Praga.

Koudelka consideră că serviciile de spionaj ruse şi chineze sunt cele mai mari ameninţări pentru ţara sa, BIS avertizând că Rusia a continuat să folosească ofiţeri de informaţii sub acoperire diplomatică ca parte a unei strategii generale de război hibrid împotriva statelor membre ale UE şi NATO.

Ambasada Rusiei de la Praga a respins acuzaţiile, cu menţiunea că speculaţiile presei cehe despre o reţea de spionaj rusă şi legăturile sale cu ambasada Rusiei nu au nicio legătură cu realitatea (The Moscow Times).

Reţeaua de spionaj cibernetic a fost anihilată cu un an înainte, însă momentul ales pentru a face publică acţiunea respectivă, a fost conferinţa din luna octombrie.

Două evenimente din Europa de Est, despre care opinia publică a aflat în luna octombrie, într-o perioadă„oarecare” din an.

Malware ce vizează utilizatorii unor servicii ruseşti de Internet

Aceeaşi perioadă a fost aleasă şi de către compania de securitate cibernetică slovacă, ESET, pentru a face public un raport cu privire la un malware cu denumirea Attor.

Potrivit specialiştilor de la firma slovacă, respectiva tulpină avansată de malware a fost concepută pentru a spiona diplomaţi şi utilizatori de limbă rusă în Europa de Est.

Conform analizei ESET, platforma de spionaj cibernetic este remarcabilă pentru arhitectura sa modulară şi pentru cele două caracteristici care i-au dat numele: comunicaţii bazate pe Tor (un software gratuit, din surse deschise, care permite anonimizarea comunicaţiilor) şi un plugin conceput pentru amprentarea GSM folosind protocolul AT.

Comenzile AT (ATtention) sunt un set dedicat de comenzi în format alfanumeric care contribuie la controlul terminalelor mobile. Comenzile AT, cunoscute şi sub numele de set de comenzi Hayes, au fost iniţial dezvoltate în anii 80 pentru a comanda unui modem să formeze, să închidă sau să schimbe setările de conectare. Setul de comenzi a fost ulterior extins şi acceptă, în prezent, alte dispozitive de telefon, inclusiv dispozitive mobile. Comenzile, despre care s-a afirmat recent că permit ocolirea mecanismelor de securitate, sunt încă utilizate în majoritatea smartphone-urilor moderne.

 

Potrivit cercetătoarei malware a firmei ESET, Zuzana Hromcová, atacatorii care folosesc Attor se concentrează pe misiuni diplomatice şi instituţii guvernamentale, iar atacurile, care se desfăşoară încă din 2013, vizează utilizatorii unor servicii ruseşti de internet, în special pe cei care sunt preocupaţi de confidenţialitatea lor.

Attor are caracteristicile unei campanii de spionaj dirijate, realizată de un actor calificat, cu accent pe selecţia unor ţinte restrânse situate în Europa de Est.

Teoria conform căreia acest malware a fost conceput pentru a viza utilizatorii ruşi este susţinută de unele dintre caracteristicile Attor care includ direcţionarea sa către aplicaţii şi servicii de internet ruse, cum ar fi reţelele sociale Odnoklassniki şi VKontakte, furnizorul VoIP Multifon, aplicaţiile IM Qip şi Infium, motorul de căutare Rambler, clienţii de e-mail Yandex şi Mail.ru şi sistemul de plată WebMoney.

Se precizează, în analiza ESET, că Attor utilizează algoritmi sofisticaţi de criptare pentru a-şi ascunde componentele şi că este puţin probabil să vizeze dispozitivele smartphone moderne (care încă mai utilizează comenzi AT), dat fiind că ignoră dispozitivele conectate printr-un port USB şi le contactează doar pe cele conectate la o reţea printr-un port COM serial.

Explicaţia ar fi că pluginul vizează modemuri şi telefoane mai vechi sau o platformă personalizată compatibilă cu GSM.

Pentru a spiona utilizatorii, Attor monitorizează procesele active şi realizează capturi de ecran ale aplicaţiilor selectate. Mecanismul încorporat al Attor îi permite să adauge noi pluginuri, să se actualizeze şi să exfiltreze automat datele colectate şi fişierele de jurnal. Informaţiile pe care le preia pe dispozitivele vizate includ numele producătorului, numărul modelului, numărul IMEI şi versiunea software, precum şi numărul MSISDN şi IMSI.

Attor este foarte direcţionat, caută în mod special hard disk-urile protejate TrueCrypt şi procesele unor aplicaţii VPN specific, ceea ce sugerează că atacatorii au un interes special pentru utilizatorii conştienţi de nevoia de securitate. Mai mult, operatorii programului de malware sunt aparent concentraţi pe ţintele ruseşti. Capacităţile Attor se bazează pe pluginuri, care permit atacatorilor să personalizeze platforma pe ţintă (Zuzana Hromcová).

ESET afirmă că nu a reuşit să descopere cronologia completă a operaţiunii şi nici modul în care programul malware a accesat iniţial ţintele, dar se pare că Attor a activat pe două … valuri: unul în 2013 şi altul care a început în 2018 şi a continuat până în iulie acest an.

Cu toate acestea, compania de securitate cibernetică sugerează că merită urmărite, în continuare, operaţiunile grupului din spatele acestui malware.

O altă revelaţie a lunii octombrie

Luna octombrie este şi luna în care Bellingcat dezvăluie existenţa unei unităţi de elită (Unitatea 29155) în cadrul serviciului rus de informaţii militare (GRU) însărcinată cu operaţiuni de subversiune şi asasinat în Europa. Potrivit investigatorilor Bellingcat, această unitate este formată din aproximativ douăzeci de absolvenţi de şcoli militare ruse de elită, cei mai mulţi cu experienţă de luptă în războaiele din Caucaz. Unitatea, comandată de generalul Andrei Averianov, ar fi fost în spatele unor eforturi recente de destabilizare în Moldova, o tentativă de lovitură de stat în Muntenegru şi tentative de asasinate în Bulgaria şi Marea Britanie.

Oficialii de securitate occidentali au ajuns acum la concluzia că aceste operaţiuni, percepute iniţial ca fiind atacuri izolate şi neconectate, fac parte dintr-o campanie coordonată şi continuă de destabilizare a Europei, executată de o unitate de elită din cadrul sistemului de informaţii ruse, calificat în subversiune, sabotaj şi asasinat (New York Times).

De la Kremlin … linişte. Nimic despre … luna octombrie.

Poate doar o caracterizare a materialului din New York Times ca pulp fiction (purtătorul de cuvânt, Dmitri Peskov).