Vești bune pentru pensionari! Când vor fi livrate pensiile?
Vești bune pentru pensionari! Când vor fi livrate pensiile?
ANPC a luat la puricat platformele chinezești de comerț online Shein și Temu
ANPC a luat la puricat platformele chinezești de comerț online Shein și Temu
Ucraina caută recruți pe rețelele de socializare. Bărbații ucraineni, reticenți
Ucraina caută recruți pe rețelele de socializare. Bărbații ucraineni, reticenți

Următorul mare atac asupra Americii, de nivelul celui de la 11 septembrie 2001, ar putea fi provocact de teroriștii cibernetici

NewMoney 17/09/2018 | 10:47 Digital
Următorul mare atac asupra Americii, de nivelul celui de la 11 septembrie 2001, ar putea fi provocact de teroriștii cibernetici

Autor: Romulus Deac

 

Sunt ani buni de când militanții jihadiști reamintesc pe diferite forumuri online că e doar o chestiune de timp până la ur­mătorul atac devastator asupra infrastructurii SUA sau a sistemului său financiar. În ciuda a ceea ce scepticii de ser­vi­ciu ar putea (contra)argumenta, ideea unui astfel de atac, venit de data asta prin mii de linii de cod, nu e complet ruptă de noua realitate.  

Acest articol a apărut în numărul 48 (10-23 septembrie) al revistei NewMoney

Citește si

Există deja numeroase studii și avertismente ale unor experți în securitate care spun unul și același lucru: sistemele de control industriale – a se citi sistemele informatice specializate care controlează centralele nucleare, rafinăriile de petrol, distribuția electrică, stațiile de tratare a apei etc. – sunt slabe, depășite și, în con­secință, vulnerabile la atacuri. Iar între teorie și realitate, precedente există.

Considerat și acum unul dintre cei mai periculoși viruși din lume, Stuxnet este prima ciberarmă cunoscută a Războiului Cibernetic de Generație Nouă. A fost identificat pe la mijlocul lui iunie 2010 și a fost construit pentru a ataca Controlerele Programabile Logice (PLC) – automate de comandă și reglare programabile care se utilizează pentru mașini și procese industriale. Spusă cât mai simplu, povestea sa e… simplă. A fost plantat pe un banal USB, a intrat în rețea odată conectat la un calculator cu Windows și de acolo a infectat sistemele de control ale centrifugilor centralei nucleare iraniene de la Natanz. De ac­ționat, a acționat la fel de simplu – a crescut până la distrugere viteza motoarelor centrifugilor de îmbogățire a uraniului, scoțând din funcțiune aproape o mie dintr-un total estimat de 8.700.

E punctul în care temerile celor convinși de posibilitatea unui atac informatic asupra SUA și incidentul de la Natanz prind conturul unui scenariu cu potențial de re­pe­tiție. Pentru că Stuxnet a intrat în sistemul Natanz printr-un călcâi al lui Ahile pe care îl are și (și nu doar) infrastructura americană – o vulnerabilitate a lanțului de distribuție/ aprovizionare. „Analiza acti­vi­tăților profesionale ale primelor organi­zații-victime ale Stuxnet ajută la o mai bună înțelegere a planificării operațiunii. În final, acesta este un exemplu de vector de atac asupra lanțului de aprovizionare, prin care malware-ul pătrunde în organizația vizată indirect, prin rețelele partenerilor organizației“, explica Alexander Gostev, chief security expert al Kaspersky Lab, într-un articol de specialitate postat pe pagina de internet a producătorului de soluții antivirus.

Dar, înainte de a intra în alte detalii, să anticipăm puțin și să amintim și detaliul secret care a încetat de ceva vreme să mai fie un detaliu secret. Stuxnet a fost creat de SUA și Israel, sub administrația Bush, într-o încercare de întârziere a programului nuclear iranian. Mai mult, o analiză a unei versiuni timpurii a Stuxnet a dezvăluit că virusul a mai fost la Natanz și în 2009, într-o misiune de recunoaștere în care a scanat sistemele și a copiat toate infor­ma­țiile găsite.

Dominoul Natanz. Și astfel ne întoarcem la declarația lui Gostev de la Kaspersky despre infrastructură. Atacul inițial a vizat cinci parteneri-cheie ai programului nuclear iranian, inclusiv producătorul centrifugilor folosite la Natanz, parteneri care s-au trezit puși în rolul nedorit al unui cal-troian. Virusul a fost implantat în rețelele lor și a fost doar o chestiune de timp până când Stuxnet a ajuns la Natanz printr-un dispozitiv infectat (centrala nu are legături exterioare prin internet) și a pornit haosul.

Toate acestea ar fi rămas, probabil, secrete, numai că, în 2010, Stuxnet a făcut singurul lucru pe care nu ar fi trebuit să-l facă: a ajuns și s-a răspândit în internet, cel mai posibil de pe un dispozitiv portabil infectat, conectat într-un moment oareca­re la rețeaua Natanz. Inevitabil, a urmat și dise­carea sa. Bit cu bit. Apoi, nu a durat mult și au început să apară știri pe surse conform cărora codul sursă al Stuxnet ar fi fost scos la vânzare pe piața neagră. „Avem dovezi solide că virusul a ajuns în mâinile unor băieți răi – mai mult de atât nu putem să facem public, dar e vorba de niște oameni foarte motivați și cu adevărat talentați, cu o grămadă de bani în spate, care au realizat că tipul ăsta de virus poate fi un instrument devastator“, publicau cei de la Sky News declarația unui specialist în securitatea IT.

Scenariul a fost însă contestat rapid. „Nu cred sub nicio formă că cineva ar putea cumpăra de pe piața neagră sau de oriunde altundeva codul sursă al lui Stuxnet“, spunea printre alții Roger Thompson, chief research officer al producătorului de soluții antivirus AVG, explicând că ar fi nevoie de o muncă monumentală pentru a-l adapta pentru o altă țintă, fără a mai aduce în discuție faptul că a devenit atât de cu­nos­cut încât e greu de crezut că nu ar putea fi detectat.

Cu sau fără nicio legătură cu Stuxnet/Na­tanz – mulți specialiști americani agreează și susțin varianta „cu“ –, tot mai multe organizații din 17 țări au fost ulterior victimele unor grupări de hackeri care ope­rează din Iran – de la ținte militare și ins­tituții guvernamentale la firme de energie, companii aeriene și spitale, sublinia un raport din 2014 al companiei americane de securitate Cylance. Iar nivelul de acces câștigat la unele dintre țintele compromise a fost descris drept „dătător de fiori“. Cam ceea ce s-ar putea spune și despre una dintre concluziile raportului Cylance, conform căruia „probabilitatea unui atac informatic cu impact în lumea fizică la nivel na­țional sau global este în creștere rapidă“.

Iranul a mai fost asociat, de exemplu, cu atacul asupra gigantului petrolier saudit  Aramco, în urma căruia 30.000 de calculatoare ale companiei au devenit inoperabile din cauza unui virus care nu doar că a șters toate datele de pe hard diskuri, dar le-a și împiedicat să mai pornească. Activitatea companiei a fost paralizată timp de 10 zile, iar declarațiile oficiale de la acea vreme au susținut că sistemele de pro­ducție de petrol și gaz nu au fost afectate.

Potrivit unui raport de anul trecut al FBI, obținut de The New York Times și confirmat de specialiști de securitate implicați, hackeri neidentificați au pătruns în rețelele de calculatoare ale mai multor companii americane care operează centrale nucleare și alte unități de producție de energie. Documentul nu precizează dacă atacurile au reprezentat o tentativă de spionaj industrial sau au fost parte a unui plan de a produce distrugeri fizice. Surse citate de Business Insider spun că ar fi fost vizată doar activitatea de business a companiilor-țintă și că infrastructura critică nu a fost compromisă.

Dar chiar și un astfel de atac „ar putea fi pentru hackeri o modalitate de colec­tare de informații care să le ofere o mai bună înțelegere a părții operaționale a unității vizate. Ceea ce ar putea repre­zenta un mare pericol și ar putea duce la un alt atac, mai grav“, explica Paulo Shakarian, fondatorul companiei de securitate ciber­netică CYR3CON, pentru Business Insider.

MAREA FLAMĂ. Pe 28 mai 2012, Kaspersky Lab anunța descoperirea unei aplicații malware botezată Flame aka Flamer aka sKyWIper/Skywiper. Acesta se poate răs­pândi pe alte sisteme prin intermediul rețelelor locale sau prin stick-uri USB și a fost creat pentru spionaj cibernetic. Concret, are capacitatea de a fura date confi­den­țiale, de a face capturi de ecran, a strânge informații despre sistemele atacate, fișierele stocate, traficul din rețea, datele de contact, putând înregistra chiar și conversațiile purtate prin microfoane și camere web sau tastele apăsate. Datele sunt trimise pe servere răspândite pe întreg globul, așteptând apoi noi comenzi.

Estimările din acea perioadă avansau un total de o mie de computere infectate cu Flame, majoritatea ale unor organizații guvernamentale și instituții educaționale din Iran, Israel, Sudan, Siria, Liban, Arabia Sau­dită și Egipt. Analiza datelor ulterioare a dus la concluzia că Iranul a fost, de fapt, principala țintă vizată. Înainte de a continua, să mai spunem că Flame a avut și o comandă „kill“, prin care se autodistrugea, ștergându-și toate urmele. Ceea ce s-a și întâmplat la scurt timp după apariția pri­melor relatări în presa mondială despre descoperirea sa.

„Cu adevărat interesant este faptul că avem indicii care sugerează o operațiune sub acoperire pentru obținerea de infor­mații, motivată politic și dirijată de un guvern sau o agenție guvernamentală“, spunea Liam O Murchu, cercetător Symantec, pentru Ars Technica. O ipoteză care ar pu­tea fi confirmată de descoperirea în aceeași perioadă a virusului Madi sau Mahdi, folosit pentru obținerea de infor­mații secrete și care au infectat peste 800 de PC-uri ale agențiilor guvernamentale, instituțiilor financiare și companiilor de infrastructură din Iran, Israel și Afganistan. De altfel, majoritatea experților au fost de acord că un virus de complexitatea Flame nu putea fi decât creația unui stat cu seri­oase resurse financiare. La fel ca și în cazul Stuxnet, s-a vorbit din nou de o colaborare SUA–Israel.

„În momentul de față, există trei categorii de dezvoltatori de malware și spyware: hacktiviștii, cibercriminalii și statele națio­nale. Flame nu a fost conceput pentru a fura bani din conturile bancare. În plus, e complet diferit de majoritatea malware-ului mai degrabă simplist folosit de hackti­viști. Prin excludere, dar și raportat la geo­grafia și complexitatea atacului, nu rămâne decât a treia variantă“, spunea și Vitaly Kamluk, expert Kaspersky.

Atacul exploata o breșă de securitate Windows care permi­tea virusului să apară la o scanare a sistemului sub forma unui program legitim al Microsoft. Ținta sa pre­supusă: identifica­rea și copierea planurilor centralelor nucleare.

NOUL TERORISM. De prin 2009 încoace, Coreea de Nord a condus sau sponsorizat o serie de atacuri cibernetice, îndreptate cu predilecție asupra Coreei de Sud, a căror evoluție ulterioară au demonstrat, dacă mai era cazul, gradul și potențialul real de pericol al acestora. În aprilie 2011, bunăoară, serviciile Nonghyup Agricultural Bank, o bancă de dimensiuni medii din Coreea de Sud, au fost victima unui atac cu malware care a scos din funcțiune aproape 300 dintre cele 587 de servere ale sale. Cum nu poți face foc fără să scoți și fum, urmele au dus la Coreea de Nord. Operațiunile băncii au fost complet blo­cate timp de două zile, iar în următoa­rele 18 zile s-a lucrat la capacitate redusă și cu întreruperi frecvente și de durată.

În noiembrie 2014 însă, Coreea de Nord și-a schimbat ținta. Studiourile din California ale Sony Pictures Entertainment au fost ținta grupării de hackeri Gardiens of Peace (GoP), care au blocat re­țeaua de cal­­culatoare și au sustras aproximativ 100 de terabiți de date, însemnând filme nelan­sate, documente confidențiale, scenarii, emailuri etc., valoarea totală a pagu­belor fiind estimată la o sută de mi­lioane de do­lari. O parte dintre documente au fost imediat publicate pe internet, iar unele dintre ele rămân cel puțin stânjenitoare pentru Sony – vezi e-mailurile în care fostul copreşedinte al companiei, Amy Pascal, face referiri rasiste la adresa lui Barack Obama, sau cele în care un producător al studiourilor o descrie pe Angelina Jolie drept „un copil răsfăţat prea puţin talentat“.

Ulterior, hackerii au revenit cu un mesaj prin care cereau Sony să suspende intrarea în cinematografe a filmului „The Interview“, o comedie americană despre un complot fictiv al CIA de a-l asasina pe li­derul nord-coreean Kim Jong-un. În ace­lași mesaj, GoP îi îndemna pe americani să-și amintească de atacurile teroriste de la 11 septembrie 2001, avertizând că „Lumea va fi plină de teamă. Vă reco­man­dăm să staţi departe de cinematografe la momentul difu­zării. Dacă staţi prin apro­piere, mai bine plecaţi“. După o premieră newyor­keză anulată, fimul a intrat, totuși, în cine­matografe. Asocierea cu guvernul Coreei de Nord a fost imediată. Phenianul a negat însă orice implicare, dar ulterior s-a descoperit că o parte dintre documentele furate de la Sony și ajunse în internet au fost postate de pe servere guvernamentale nord-coreene. Atacul asupra Sony, scriau în acele zile cei de la Wired, reprezintă, în egală măsură, o nouă formă de terorism și o nouă amenințare pentru America – ci­ber­terorismul sponsorizat de un guvern.

În 2007, Statele Unite au cheltuit peste 7,5 miliarde de dolari pentru combaterea atacurilor cibernetice. În 2016, suma a crescut la 28 de miliarde de dolari. „Potențialii agresori ar trebui să fie conș­tienți de faptul că America are capacitatea de a-i localiza și de a-i trage la răspundere pentru acțiunile pe care le-ar putea îndrepta împotriva noastră. Există prejudecata că în momentul de față e imposibil să atribui un atac cibernetic unui individ sau unui stat oarecare. Numai că noi am investit masiv în dezvoltarea acestei capacități. Și s-a îmbunătățit extraordinar“, spunea într-o dezbatere publică Leon Panetta, se­cretar al Departamentului Apărării în ad­mi­nistrația Obama. Și tot el avertiza că SUA s-ar putea afla în fața unui „moment pre-9/11“.

Scenariul la nivel global e mai degrabă îngrijorător, avertizează și Pierluigi Paganini, chief information security officer al Bit4Id, membru al ENISA (European Union Agency for Network and Information Security), și expert în cibersecuritate cu o experiență de peste 20 de ani.

Știrile despre atacuri prin intermediul sis­temelor informatice care ar putea avea repercusiuni grave în orice moment sunt tot mai frecvente. Iar între tensiunea surdă de acum și producerea unui atac asupra infrastructurilor critice, care ar pu­tea duce inclusiv la pierderea de vieți omenești, crede el, nu se află o chestiune de „dacă“, ci mai degrabă de „când“.

 

Războaiele hibrid

În 1982, în plin Război Rece, CIA a descoperit o metodă de a perturba funcționarea unei conducte de gaz din Siberia fără a recurge la tradiționalele rachete sau materiale explozibile. Americanii au reușit să provoace o explozie cu ajutorul unei „bombe logice“, un cod infiltrat în sistemul de control computerizat al operatorului conductei. Deflagraţia a fost vizibilă din spaţiul cosmic.

 

  • TITAN RAIN. În 2004, FBI a descoperit o serie de raiduri cibernetice, coordonate de grupări de hackeri sprijiniți de guvernul chinez, care au vizat ținte militare și guvernamentale americane. Cunoscută sub numele de „Titan Rain“, este una dintre cele mai mari campanii de ciberspionaj din istorie, căruia i-au căzut victime, printre altele, serverele NASA și Lockheed Martin – cel mai mare furnizor din lume de soluţii în domeniul apărării.
  • BLOCAJ TOTAL. În 2007, Estonia a fost ținta unui atac cibernetic de o anvergură fără precedent, fiind vizate serverele parlamentului, ale ministerelor, băncilor, principalelor ziare şi televiziuni. Țara a fost paralizată timp de trei săptămâni. Atacul a venit pe fondul unei dispute politice pe tema mutării unui monument dedicat eroilor sovietici, propunere contestată atât de Kremlin, cât și de minoritatea rusă din Estonia. Moscova a negat orice implicare.
  • HAOS PE CREDIT. În 2008, pe fondul conflictului din Osetia de Sud, rețeaua de internet a Georgiei a fost complet blocată din cauza unor atacuri venite dinspre Rusia. Marea victimă a fost, însă, sistemul bancar georgian. Pentru că băncile din Georgia şi-au sistat orice activitate online, hackerii ruși au început să atace sistemul bancar internaţional, camuflând sursa atacurilor astfel încât să pară că pleacă din Georgia. Sistemele de securitate ale băncilor internaţionale au reacţionat automat, blocând toate conexiunile cu sistemul bancar georgian. Acest lucru a dus la blocarea imediată a operaţiunilor bancare din Georgia şi la paralizarea sistemului de cărţi de credit, lucru ce a atras şi oprirea reţelelor de telefonie mobilă.

FOTO: Guliver/Getty Images

NewMoney
Digital
Revista NewMoney
184Nr.
Revista NewMoney
25 martie - 2 iunie 2024
Vezi arhiva
NewMoney
← Close
Introdu cuvântul căutat și apasă ENTER