Apel matinal. Invitat: Anton Rog, directorul Centrului Cyberint din SRI
State ostile au profitat de pandemia de COVID-19 pentru a lansa atacuri cibernetice asupra unor instituţii ale statului român.
Articol de Cătălin Cîrnu, 19 August 2020, 09:45
Emisunea "Bună dimineaţa, România!" - Rubrica "Apel matinal" - Realizator: Cătălin Cîrnu.
State ostile au profitat de pandemia de COVID-19 pentru a lansa atacuri cibernetice asupra unor instituţii ale statului român. Acestea au fost depistate de Centrul Cyberint din cadrul Serviciului Român de Informaţii, care acum derulează o serie de investigaţii de profil. Discutăm telefonic pe această temă cu directorul centrului, Anton Rog. Bună dimineaţa!
Anton Rog: Bună dimineaţa dumneavoastră şi ascultătorilor dumneavoastră!
Realizator: De multe ori am auzit de astfel de atacuri, de această dată, iată, suntem cu un oficial al SRI. Cum s-au manifestat, practic, aceste atacuri, gândindu-ne, ce urmăresc de fapt?
Anton Rog: Păi, haideţi să luăm contextul, că în afara contextului...
Realizator: Vă rog!
Anton Rog: ...lucrurile nu sunt atât de clare. Contextul a fost contextul pandemiei de coronavirus sau COVID-19, context care, aşa cum vedem, se manifestă pregnant în lumea reală, dar şi în lumea cibernetică şi toţi actorii, de la actorii statali până la grupările de criminalitate cibernetică clasice, normale, care urmăresc scopuri financiare, au profitat de acest context, şi au profitat de acest conext mai ales la începutul perioadei pandemice, deoarece nimeni nu avea informaţii clare despre cum se manifestă acest virus, cum se răspândeşte, cum poţi să te vindeci şi dacă poţi să te vindeci de el, şi aşa mai departe. Şi actorii statali... Când vorbim de actori statali, vorbim de fapt despre grupări de criminalitate cibernetică, în spatele cărora se află comunitatea de informaţii din ţara respectivă, unul sau mai multe servicii de informaţii, şi în spatele lor guvernul care îi finanţează. Au profitat de acest context şi au folosit tehnici de inginerie specială, în special, şi anume 'spear phishing', adică au trimis mailuri ţintite către anumiţi angajaţi din instituţii-cheie, din domeniu şi intelligence şi apărare şi interne şi afaceri externe şi aşa mai departe, adică au targetat toate aceste domenii. De ce le-au targetat? Pentru că aici sunt informaţiile esenţiale. Au trimis mailuri scrise perfect în limba română, care exploatau fricile oamenilor referitoare de coronavirus, cu titluri de genul "Numărul de persoane infectate ..." în ţara respectivă, "Tratament minune pentru coronavirus", "Propunere de finanţare pentru coronavirus", "COVID-19 update", şi aşa mai departe, adică titluri care, cel puţin la categoriile de vârstă de peste 40 de ani, prezentau interes, pentru că, aşa cum s-a văzut, aceste categorii de vârstă, şi cu cât înaintăm în vârstă mai mult prezintă riscuri mai mari. Ăştia au fost actorii statali. Sigur că oamenii, în necunoştinţă de cauză, unii dintre ei au accesat astfel de mesaje şi au căzut victime acestora. Dacă ne ducem în zona de criminalitate cibernetică normală, acolo... şi acolo pandemia s-a manifestat în sensul în care grupări de criminalitate cibernetică, motivate ideologic de data acesta, pentru a-şi promova diverse mesaje, au încercat să targeteze domenii esenţiale, şi mă refer aici la domeniul sănătăţii şi la unele instituţii din administraţia publică. Şi aici discutăm despre un altfel de atac, un atac cu o arie mai extinsă, au încercat să blocheze accesul la date prin filtrarea acestora, vorbim despre ransomware. La fel şi aici cu mesaje de phishing şi, totodată, aici au profitat despre faptul că aceste reţele au trebuit să fie administrate de acasă, pentru că ştiţi că am avut o perioadă de lockdown, cum se spune, în care a trebuit să stăm fiecare acasă la noi, pentru a preveni răspândirea bolii, doar că administratorii acelor reţele, în unele dintre situaţii, şi-au luat numai măsuri de funcţionalitate, adică şi-au dat drumul la anumite protocoale şi porturi, pentru a putea administra acele reţele de acasă, dar nu s-au gândit şi la partea de securitate. Am găsit... Vă rog!
Realizator: Nu, nu, spuneţi ce aţi găsit... După aceea...
Anton Rog: Am găsit situaţii în care echipamentele, care au venit din fabrică cu o parolă presetată, prin care se dădea drumul la acces din exterior, erau utilizate de administrator fără a schimba acea parolă. Practic, era o invitaţie la adresa hackerilor pentru a ataca acele sisteme. Din fericire, într-o cooperare excepţională cu DIICOT, în luna mai am reuşit să prevenim şi să oprim astfel de atacuri, membrii unei grupări din România şi, sprijiniţi şi de alte ţări, au fost arestaţi înainte să poată să se manifeste.
Realizator: Interesant. Apropo de alte ţări, ne puteţi spune de pe unde erau sau încă...
Anton Rog: Fiind investigaţii în derulare, nu cred că este bine să abordăm chestiunea aceasta. Dar România are nişte parteneri clasici în viața reală și în spațiul cibernetic are niște parteneri strategici nişte state care se manifestă ostil din punctul ăsta de vedere. Ceea ce pot eu să vă spun, că atunci când există demersuri publice la nivel internațional sau european, demersuri de tip "blame and shame", adică arată cu degetul și fă-l să se simtă ruşinat de acţiunile pe care le face, pe diverse campanii derulate de state care se manifestă ostil împotriva României, România a fost parte din aceste... a ieșit public, prin Ministerul Afacerilor Externe, după ce s-a obţinut aprobarea din partea preşedintelui României, care coordonează politica de afaceri externe, cu mesaje de sprijin a acestui... Şi un exemplu a fost în 2018, cu campania APT 28, care se știe că este sprijinită, s-a dovedit că este sprijinită de comunitatea de intelligence din Rusia. Şi România a fost și ea una dintre ţinte şi, la momentul respectiv, am ieşit prin Ministerul Afacerilor Externe, am condamnat această campanie.
Realizator: Da, asta pentru că... îmi amintesc și eu de softul numit /.../, dacă nu greșesc, nu...
Anton Rog: Da, da, da.
Realizator: Cei de la FBI chiar avertizaseră recent că Rusia utilizează...
Anton Rog: Au ieşit... Periodic, periodic, superputerile mondiale din spaţiul cibernetic ies cu astfel de analize pe diverse campanii de software, unul dintre ele fiind cel pe care l-aţi menţionat dumneavoastră.
Realizator: Da, este un război informaţional, aşa cum bine ştim, se întâmplă peste tot în lume, dar în acest moment cât de vulnerabilă sau mai puţin vulnerabilă este România în fața unor astfel de atacuri cibernetice, în general?
Anton Rog: În general. Păi, sunt două tipuri de vulnerabilități: unul - vulnerabilitățile tehnice, și aici, ca să zic așa, ține de cultura de securitate a celor care conduc instituţiile publice și private din România, și mă refer la faptul că nu îşi actualizează sistemele de operare la zi, că nu îşi instalează un produs antivirus licențiat, cu semnăturile la zi, că nu îşi pun toate patch-urile de securitate, că nu își fac configurații minimale de securitate privind politica de setare a parolei, de schimbare a parolei, porturi deschise și așa mai departe. Deci, asta este o serie de vulnerabilităţi tehnice. Şi a doua serie de vulnerabilităţi tehnice sunt vulnerabilităţile referitoare la resursa umană, care în foarte multe instituții și publice și private este slab pregătită în acest domeniu, pentru că în multe dintre aceste instituţii salariile care se oferă pentru a ocupa aceste poziții sunt niște salarii mult, mult, mult, mult sub salariile din mediul privat şi atunci este greu, spre imposibil, să atragi resurse calificate. Deci, dacă combinăm aceste două tipuri de vulnerabilități tehnice și umane, putem să spunem că avem locuri, atât în zona publică, cat și în zona privată care sunt extrem de vulnerabile și, la fel, putea să spunem că avem zone în zona publică și în zona privată unde aceste echipe care asigură securitatea cibernetică sunt foarte bine organizate. Şi ca să dau un exemplu din zona privată, aş da exemplu sistemul bancar, în zona de bine, în zona în care au preocupări deosebite pentru a-şi apăra securitatea cibernetică.
