“Octombrie Roşu” a fost cel mai puternic atac cibernetic la adresa României în ultimii 20 de ani, Serviciul Român de Informaţii identificând entităţi cibernetice ostile care urmăresc culegerea de informaţii confidenţiale inclusiv despre resursele naturale româneşti. Compania Kaspersky Lab, specializată în produse pentru securitatea informatică, a detectat o campanie de spionaj cibernetic care vizează de cinci ani ţări din Europa de Est şi foste state sovietice, printr-un program creat de experţi rusofoni. Despre această ameninţare la adresa siguranţei naţionale a României, dar şi despre consecinţele acestui demers ostil asupra ţării noastre, am stat de vorbă cu Sorin Sava, purtătorul de cuvânt al SRI, într-un interviu acordat cotidianului regional „Cuvântul Libertăţii”.
Domnule Sorin Sava, de câteva zile apar pe fluxurile de ştiri, la posturile de televiziune, dar şi în presa scrisă, informaţii despre cel mai puternic atac cibernetic. Ce a făcut Serviciul Român de Informaţii pentru a contracara acest dezastru?
SRI a identificat activităţi derulate de entităţi cibernetice care urmăresc obţinerea accesului la reţele informatice de interes naţional, culegerea de informaţii confidenţiale, informaţii de politică externă a României, resursele naturale, politica în Zona Mării Negre, politica în domeniul economic. Cel mai important serviciu de informaţii intern a informat prompt instituţiile vizate de acest atac la momentul desfăşurării lui, adică în 2011, şi a întreprins, în cooperare, măsuri de contracarare pentru restabilirea funcţionării normale a reţelelor respective.
Putem să spunem că a fost cel mai puternic atac cibernetic cu care s-a confruntat vreodată România?
Considerăm că acesta a fost cel mai puternic atact cibernetic la adresa României în ultimii 20 de ani. Estimăm că ameninţarea cibernetică reprezintă una dintre cele mai mari şi mai dinamice ameninţări la adresa securităţii naţionale a României. SRI, în calitate de autoritate naţională în Cyber-Intelligence, acordă o atenţie prioritară acestui domeniu, în cooperare cu celelalte instituţii ale statului român şi cu partenerii externi, precum şi în parteneriat cu domeniul privat.
S-au avut în vedere doar informaţiile confidenţiale
Are vreo legătură cu apartenenţa noastră la Uniunea Europeană şi Alianţa Nord-Atlantică ? Cum trebuie să privim lucrurile acestea? Din ce perspectivă?
Acest atac poate fi privit şi din perspectiva noastră de membri UE şi NATO. Observăm, din punct de vedere al SRI, că s-a schimbat fundamental lumea spionajului. Se acţionează asupra statelor cu tehnologii de ultimă generaţie şi în Cyber-Zone. Considerăm că este o turnură de moment asupra modului de acţiune a reţelelor de spionaj în Cyber-Spaţiu. Este un atac la România.
Vreau să mai lămurim un aspect. Că se face o confuzie. Ce fel de informaţii a vizat acest atac: confidenţiale sau clasificate?
Aşa cum v-am mai spus “Octombrie Roşu” mediatizat de către firma Kaspersky a fost investigat de SRI încă din 2011, iar acesta a vizat accesul la reţele informatice de interes naţional şi culegerea de “informaţii confidenţiale”, nu clasificate. Este într-adevăr o mare diferenţă. Iar reţelele vizate de atacurile “Octombrie Roşu” aparţin “unor instituţii guvernamentale, dar şi din domeniul privat”. Au urmărit să sustragă parolele de acces şi autentificare.
Patru IP-uri vizate şi mii de calculatoare
Este adevărat că au fost vizate patru IP-uri?
Patru IP-uri ale unor instituţii şi ambasade străine din Bucureşti au fost vizate. Investigaţia este încă în desfăşurare. În momentul în care am identificat aceste patru victime, am luat toate măsurile necesare pentru reducerea efectelor atacurilor. În spatele unui IP sunt mii de calculatoare, noi nu vorbim de patru IP-uri, respectv patru ţinte, ci de mii de ţinte.
De când era activă campania? Ce ţări viza?
Campania pare să se fi derulat cu precădere în ţări din Europa de Est, statele cu documente secrete de la organizaţiile afectate, inclusiv informaţii de importanţă geopolitică, date de acces în reţelele securizate sau clasificate şi date din zona fostei URSS, precum şi state din Asia Centrală. Cu toate acestea, victime ale campaniei au fost identificate şi în alte zone, precum Europa de Vest şi America de Nord.
Continuă investigaţia!
Dar tehnic cum se întâmplă? Vorbim de infiltrarea unui troian…
Impactul atacului este determinat atât de faptul că agresorul cibernetic urmăreşte să exfiltreze date/documente privind politica statului şi deciziile luate la nivelul unor instituţii, cât şi de faptul că, prin sustragerea parolelor de acces şi autentificare, se poate obtine accesul la alte sisteme informatice. Din analiza malware a troianului plasat în sistemele informatice, a rezultat că acesta utilizează metode complexe de operare în calculatoarele infectate, în scopul protecţiei împotriva programelor antivirus, dar şi pentru asigurarea persistenţei prin mecanisme robuste de regenerare în cazul descoperii şi devirusării. În acest sens, operaţiunile derulate de SRI indică faptul că agresorul dispune de resursele necesare pentru valorificarea cu operativitate a informaţiilor exfiltrate şi preluarea iniţiativei pentru lansarea unor noi atacuri cibernetice asupra altor instituţii.
Continuă investigaţia?
Având în vedere faptul că activitatea agresorului cibernetic aduce atingere securităţii naţionale a României, SRI continuă să întreprindă măsuri active, inclusiv pentru localizarea şi identificarea acestuia.
„Se impune modificarea cadrului legislativ”
Trebuie să constituie o prioritate pentru statul român creşterea nivelului securităţii cibernetice ? Dar ce face statul român pentru SRI ? În legea pe baza căreai funcţionaţi nu sunt prevăzute aceste aspecte. Poate fi acesta un motiv să se treacă la modificarea legii?
Bineînţeles că se impune modificarea cadrului legislativ şi pentru noi (n.r. pentru SRI) reprezintă o prioritate. Securitatea cibernetică a devenit una dintre priorităţi. Atacurile identificate în ultimii ani, ne permit să estimăm că ameninţarea cibernetică reprezintă una dintre cele mai mari şi mai dinamice ameninţări la adresa securităţii naţionale a României şi aliaţilor săi, astfel încât creşterea nivelului securităţii cibernetice trebuie să constituie o prioritate a statului român. Securitatea cibernetică a devenit una din componentele importante ale securităţii naţionale, sens în care Serviciul Român de Informaţii acordă o atenţie prioritară acestui domeniu, în strânsă cooperare cu celelalte instituţii ale statului român şi cu partenerii externi, precum şi în parteneriat cu domeniul privat. Vorbim de parteneriate cu bănci, universităţi, firme de IT.
Fondat în 1997, Kaspersky Lab este un grup internaţional care are activităţi în peste 100 de ţări şi 2.300 de angajaţi.
- Conform raportului de analiză al Kaspersky Lab, “Operaţiunea Octombrie Roşu, pe scurt «Rocra», a avut o activitate susţinută încă din anul 2007 şi este în continuare activă”.
- Din investigaţiile privind reţeaua avansată de spionaj cibernetic “Octombrie Roşu” a rezultat că atacatorii au fost activi cel puţin din 2007 până în prezent şi s-au concentrat pe agenţii diplomatice şi guvernamentale din diferite ţări, precum şi pe institute de cercetare, companii energetice, inclusiv din domeniul energiei nucleare şi companii comerciale şi din domeniul aerospaţial.
