Expert Google: alianța dintre cybercriminali și spionii ruși – un potențial pericol

Războiul din Ucraina nu e cel așteptat, dar șeful grupului Google care analizează amenințările cibernetice crede că existe destule riscuri asociate acestui conflict

E ceva ce a observat toată lumea: războiul din Ucraina n-a început cu linii electrice căzute, cu trenuri blocate pe șine sau, mai grav, ciocnindu-se din cauza unor semnale modificate. Atacurile cibernetice pe scară largă pe care le aștepta toată lumea nu s-au întâmplat. Războiul se desfășoară mult mai convențional, aproape după un model de acum opt decenii, și nici măcar nu pare a merge așa cum și l-au planificat atacatorii.

Faptul că armate de hackeri, îmbrăcați în uniforma-clișeu, hanoracul cu gluga trasă pe cap, nu s-au înfruntat pe un câmp de luptă virtual a fost remarcat și de specialiști, mai ales de cei care se ocupă de amenințările cibernetice și de blocarea acțiunilor unor actori malițioși nu de acum, ci de ani buni. „Vedem activități legate de acest conflict, dar nu la un nivel înalt. Nu s-a trecut de la niciun fel de hacking rusesc la foarte mult hacking rusesc”, spune Shane Huntley, expert în amenințări cibernetice care lucrează pentru Google din 2010. „Acum sunt foarte multe atacuri în Ucraina, dar nivelul general e unul relativ similar, s-au schimbat doar țintele.”

CITEȘTE ȘI: Războiul cibernetic din Ucraina nu decurge conform așteptărilor

Shane Huntley este directorul TAG, prescurtarea de la Threat Analysis Group (Grupul de Analiză a Amenințărilor Cibernetice). Săptămâna trecută, el a semnat o postare pe blogul Google„An update on the threat landscape”, blog.google în care a rezumat situația din primele două săptămâni de război. Actori malițioși, în special grupări asociate cu serviciile de informații din Rusia și Belarus, au efectuat o serie de atacuri informatice pentru spionaj sau încercări de phishing. 

Pe lista sa sunt cunoscuții FancyBear/APT28, aka GRU, serviciul de informații rus, care au atacat, prin phishing, conturi de e-mail din Ucraina; Ghostwriter/UNC1151, belaruși, care și-au extins phishing-ul și către Polonia, ori chinezii de la Mustang Panda sau Temp.Hex, care s-au folosit de război pentru a seta capcane pentru utilizatori și a-i face să deschidă fișiere atașate cu conținut malițios. Au mai fost executate o serie de atacuri de tip Distributed Denial of Service (DDoS), în special împotriva siteurilor de stat ucrainene, precum cele ale ministerelor sau ambasadelor.

Totuși, unde sunt hackerii ruși?

„Sarcina noastră este să protejăm utilizatorii și sistemele Google în fața acestor amenințări”, explică Huntley activitatea grupului TAG. În contextul acesta, actorii malițioși din Rusia au fost mereu o prioritate. El recunoaște că se aștepta, ca și restul celor care lucrează în industrie, la o intensificare a atacurilor cibernetice venite din direcția Rusiei, iar ce s-a văzut a fost mai degrabă o reorientare. „Nici n-am văzut o schimbare a activității, cel puțin pe platformele noastre, către atacuri distructive”, mai spune Huntley. „Știu că sunt rapoarte făcute de alții, cum ar fi cel despre un malware, de la Microsoft,„Microsoft finds FoxBlade malware on Ukrainian systems, removes RT from Windows app store”, zdnet.com dar n-am văzut nimic pe platformele noastre.”

Faptul că războiul nu a escaladat în unul cibernetic ar putea însemna și că așteptările au fost, poate, nerealiste. „Cred că acest conflict va permite oamenilor să scrie manualul despre cum sunt folosite operațiunile cibernetice într-un conflict”, spune el. „Vom afla mai multe în timp, dar toată lumea a prezis un cyberwar.” 

Fiindcă nu există date care să explice această aparentă liniște, fără operațiuni cibernetice conduse ca parte a unei operațiuni militare, Shane Huntley încearcă să găsească o explicație. „Nu cred că rușii sunt extrem de bine coordonați, sunt multe facțiuni”, spune el. „Să conduci o operațiune cibernetică este dificil de executat.” De exemplu, în 2016, au fost două grupări care au atacat serverele Partidului Democrat din SUA care nu păreau să fi comunicat între ele. În Ucraina, rușii, după cum e deja evident, au mari probleme de coordonare și de logistică, nu există vreun motiv ca aceste disfuncționalități să nu se fi extins și la domeniul cibernetic. 

Huntley mai crede că atacurile cibernetice „nu sunt potrivite pentru orice situație. Dacă ai trupe pe teren și poți să tragi cu rachete, acestea sunt lucruri mult mai predictibile decât atacurile cibernetice.” Operațiunile făcute din spatele unui computer sunt mai eficiente doar acolo unde nu se pot desfășura cele fizice. În plus, „deși nu le neglijăm capabilitățile, nu e cazul să-i tratăm pe ruși ca pe niște vedete, să asumăm că sunt acești războinici cibernetici perfecți care pot face orice, oricând”. 

Implicarea criminalității cibernetice ar fi problematică

Dincolo de grupările susținute de stat, precum Fancy Bear, Rusia – și, în general, Estul Europei – este o zonă recunoscută drept centrul activităților de criminalitate cibernetică motivată financiar, cum este ransomware-ul. O analiză recentă făcută de Chainalysis„74% of ransomware revenue goes to Russia-linked hackers”, bbc.com arată că 74% din banii din aceste activități au ajuns în Rusia. Grupările acestea „se vor băga în orice, vor profita de orice situație și vor căuta orice lucru care le poate aduce bani”, spune Huntley. Aparent, însă, nu și în activități neprofitabile – precum atacurile cu scop militar.

„S-au pus întrebări dacă vreunul dintre aceste grupuri, în special cele rusești, vor începe să ajute operațiunile militare sau eforturile guvernamentale”, spune Huntley. „Până acum, n-am văzut crossover-uri între grupurile rusești de ransomware și cele de spionaj.” Totuși, el avertizează că „dacă grupurile rusești de ransomware serioase decid să se alăture luptei, cum a făcut Anonymous, și să-și folosească capacitățile, ar fi o escaladare serioasă”. Din punctul de vedere al specialistului de la Google, capacitățile celor implicați în activități de criminalitate cibernetică sunt cel puțin la fel de bune ca cele ale actorilor malițioși sprijiniți de guverne. 

CITEȘTE ȘI: Spitalele românești riscă să fie paralizate de hackeri. Au softuri neactualizate de 17 ani

Nu e clar de ce aceste grupări n-au intervenit, în ciuda unei amenințări a grupului Conti„Russia-based ransomware group Conti issues warning to Kremlin foes”, reuters.com că va ataca „inamicii Kremlinului”. Rusia a fost acuzată de multe ori că închide ochii la acțiunile acestor grupări, chiar dacă recent a anunțat închiderea grupului REvil„Russian ransomware attacks increased during 2021, joint review finds”, theguardian.com cu ajutorul serviciilor de informații. E posibil ca între aceste grupări și serviciile rusești să nu fie coordonarea bănuită, ci mai degrabă un soi de relație love-hate, sau poate că acestea sunt folosite pentru activități mai profitabile, de evitare a sancțiunilor financiare, după cum avertizează un raport al FinCEN,„FinCEN Provides Financial Institutions with Red Flags on Potential Russian Sanctions Evasion Attempts”, fincen.gov o organizație guvernamentală americană care se ocupă de criminalitatea financiară. 

Poliția londoneză la o operațiune de arestare a unor hackeri care aveau legături cu criminalitatea cibernetică din Rusia. Foto: Anthony Devlin/PA Images via Getty Images

Pot fi rușii opriți?

Deconectarea Rusiei de la internet, fie că ar veni ca o sancțiune, fie voluntar, pentru a opri „propaganda” occidentală, lucru care se întâmplă deja într-o anumită măsură, nu ar afecta în vreun fel capacitatea hackerilor ruși de a conduce operațiuni în Occident. „Inclusiv în locurile care închid internetul, cum e China, cu Marele Firewall, sau Iranul, acest lucru n-a împiedicat aceste țări să conducă operațiuni cibernetice”, spune Huntley. „E foarte greu să închizi până la punctul în care n-ai conectivitatea necesară. Deși anumite lucruri, precum limitarea lățimii de bandă, ar putea restrânge acțiunile.”

Huntley mai spune că orice actor malițios nou care s-ar implica în conflict sau care ar folosi situația din Ucraina pentru a-și conduce operațiunile poate fi un potențial pericol. Desigur „actorul periculos pentru mine, Google, e diferit de cel pentru guvernul polonez, pentru cel chinez, pentru utilizatorii noștri. Sunt mulți actori malițioși pe internet, dar nu poți să-i clasifici: acesta e numărul 1, acesta e numărul 270. Singurul mod în care poți măsura cât de bun este unul e cât de bine își atinge obiectivele. lar actori malițioși diferiți au obiective diferite.”

Evident că, pe moment, cei mai periculoși sunt cei cu capacități sofisticate, care pot fura aproape orice date și pot intra oriunde vor. Însă Huntley crede că mai îngrijorător este „actorul suficient de bun, dar nesăbuit și dispus să execute acțiuni distructive”. Asta pentru că distrugerile colaterale pot fi mult mai mari dacă hackerului nu-i pasă de consecințele acțiunilor sale. 

Sau poate că nu e suficient de pregătit să înțeleagă consecințele. Huntley a remarcat că de partea Ucrainei au apărut un număr impresionant de ajutoare inclusiv în domeniul cibernetic. „N-aș lua de bună fiecare afirmație”, spune Shane Huntley, „dar există această mobilizare, aproape fără precedent, a unor oameni care vor să-și folosească cunoștințele de hacking pentru a face ceva bun”. E un lucru de apreciat, crede el.

Pe de altă parte, asta este și o situație cu două tăișuri. „Orice adolescent cu un computer care a citit ceva pe un forum crede că dintr-odată poate fi parte a acestui război cibernetic, că poate participa la un atac DDoS”, spune Huntley. „Sunt riscuri în acest lucru. Ideea de a dezlănțui această armată masivă de hackeri și oamenii care execută atacuri DDoS mă face să fiu circumspect. Nu cred că va fi neapărat un lucru pozitiv.”

Google apără site-urile ucrainene

Războiul din Ucraina va mai dura, și nu există nicio garanție că nivelul actual al implicării grupărilor de hacking va rămâne același. Dincolo de analiza amenințărilor cibernetice legate de război și nu numai, în special pentru utilizatorii Google, compania americană a făcut o serie de pași concreți pentru a sprijini guverne și instituții de presă din Ucraina și Estul Europei.

E vorba de o protecție împotriva atacurilor DDoS, în care Google se pune în fața unor anumite site-uri și filtrează traficul, absoarbe atacurile și lasă să treacă doar cererile valide. Atacurile DDoS constau într-un număr extrem de mare de computere care trimit interogări către un anumit site, saturează serverele și, astfel, le blochează. „Google folosește toată protecția sa anti-DDoS”, spune Huntley. „Avem atât expertiza tehnică, cât și lățimea de bandă necesară, ceea ce pentru locurile care suferă din acest motiv, precum Ucraina, e important.”

La momentul interviului, Google proteja circa 150 de site-uri din Ucraina și își extinsese oferta către alte guverne și publicații din regiune. Dintr-o dată, cei care vor să blocheze un site ucrainean trebuie să se lupte cu un gigant tech, nu doar cu echipa de suport a unui minister, oricât de bună ar fi ea. E o protecție suplimentară serioasă, dar care acoperă doar un număr limitat de pagini web – și doar dacă se înscriu –, dar încă un semn că lumea se solidarizează împotriva nejustificatei agresiuni ruse, chiar și când e vorba de una cibernetică.

Dacă e să existe o concluzie a primei părți a războiului e că hackerii ruși, la fel ca armata, nu s-au ridicat la nivelul așteptărilor – care erau unele de escaladare a atacurilor online. Asta nu înseamnă că nu rămân periculoși, pentru că erau și înainte de începerea conflictului. Rămâne de observat ce vor mai descoperi cei care le urmăresc acțiunile. Aș sta cu ochii pe blogul Google și pe descoperirile pe care le va face grupul TAG.