Cel mai mare atac cibernetic din istorie: povestea Ucenicului Vrăjitor. Update 2017

Pe 12 mai a avut loc cel mai mare atac cibernetic din istorie care a afectat cel puţin 99 de ţări din întreaga lume, fiind infectate peste 60.000 de computere.

Uzina DACIA de la Mioveni a avut blocat pe 13 mai întregul proces de producţie în urma unui atac cibernetic de tipul celui care a afectat la acea dată marile companii din întreaga lume – din Rusia, Ucraina, China, SUA, Spania, Germania, Franţa. Atacul de tip „cerere de răscumpărare” pare să fie, din ce în ce mai mult, unul care are dublu scop. Pe de o parte, cerea de bani, în aceasta fiind similar cu multe tipuri de atac din trecut, dar de data aceasta cu o eficacitate şi viteză de implantare la nivel de sisteme cu relevanţă naţională. Este însă din ce în ce mai posibil să interpretăm acest atac ca pe un test de forţă al unui produs specializat militar, extrem de ofensiv, creat pentru anihilarea sau întreruperea activităţii sau funcţionării corecte a infrastructurilor strategice.

Luând ca exemplu uzina de la Mioveni, vedem că atacul s-a produs asupra uneia dintre facilităţile industriale de vârf ale României, cu o pondere vitală în comerţul nostru exterior, capacitate de importanţă strategică pentru securitatea economiei noastre naţionale. Văzând ţinta acestui atac, văzând lista locaţiilor atacate pe plan mondial, începem să ne dăm seama că este vorba de ceva cu mult mai mult decât opera unuia sau a mai multor hackeri puşi să facă bani. Pe de altă parte, este greu de crezut că vreun guvern din lume şi-ar putea asuma un asemenea ordin deoarece represaliile ar fi colosale. Este un scenariu din ce în ce mai credibil, opera unei unităţi de specialişti care fie sunt afiliaţi, fie fac parte din structurile speciale ale unei organizaţii teroriste care trece acum de la etapa terorismului primitiv „ostatici contra răscumpărare” la cea a terorismului cibernetic, lovind acum preventiv ţări care, întâmplător sau nu, fac parte din coaliţia anti-ISIS.

Serviciile de securitate cibernetică, civile sau militare, au intrat în alertă, încercând să găsească sursa (sau sursele) atacurilor care au afectat diverse ţări, în primul rând Rusia (sursa Kaspersky). A fost un atac cibernetic de o amploare uriaşă care urmărea obţinerea unei răscumpărări, plătibilă în Bitcoin. Ţintele atacurilor păreau să fie alese aleatoriu, lovind simultan de preferinţă sistemele informatice din spitale.

Andrea Zapparoloni Manzoni, senior manager în cadrul divizieiInformation Risk Management din cadrul companiei Kpmg Advisory, a confirmat că „aceste atacuri de tip obţinerea unei răscumpărări (ransomware) conţin o vulnerabilitate specifică, denumită ETERNAL BLUE, care a fost dezvoltată în cadrul serviciilor de informaţii americane şi care a fost mai apoi furată. Asta vă dă o explicaţie de ce anume nivelul de risc este deosebit de ridicat. Scopul atacurilor nu este de a lovi o ţară anume ci de a lovi la o scară câr mai largă, oriunde, în scopul de a obţine bani”.

De ce spitalele sunt prima ţintă? Analistul italian răspunde: „Pentru că sunt sistemele printre cele mai vulnerabile la atacuri cibernetice şi deoarece sunt gata să plătească imediat fiindcă nu-şi pot permite o închidere completă a sistemelor lor informatice”.

Acest virus, derivat din varianta iniţială denumită WannaCry, infectează sistemele care folosesc Windows şi criptează absolut toate fişiere existente în computer, pe ecran apărând un mesaj prin care se cere plata unei anumite sume pentru decriptarea fișierelor. Hackers Online Club menționează însă că nu există niciun fel de garanţie că, după efectuarea plăţii, autorii atacului vor trimite utilizatorului un fişier de decriptare sau/şi un cod. „Plăţile efectuate până acum doar îi motivează pentru a-şi continua campania, distribuind pe mai departe, masiv, acest tip de cod”.

Pentru informaţia dumneavoastră, aceste atacuri vizează, printre altele, toate tipurile de fişiere arhivate (.zip, .rar, .tar, .bz2, .mp4, .mkv), cele mai folosite formate de fişiere (.ppt, .doc, .docx, .xlsx, .sxi), bazele de date (.sql, .accdb, .mdb, .dbf, .odb, .myd), e-mail-urile şi bazele de date e-mail (.eml, .msg, .ost, .pst, .edb), certificatele şi cheile de criptare (.key, .pfx, .pem, .p12, .csr, .gpg, .aes), fişierele grafice, fişierele artistice şi foto (.vsd, .odg, .raw, .nef, .svg, .psd), dar şi formate mai puţin folosite (.sxw, .odt, .hwp), precum şi fişierele tip .php, .java, .cpp, .pas, .asm sau cele de tip .vmx, .vmdk, .vdi (Virtual machine files).

Acestea fiind spuse, trebuie să remarcăm faptul că suntem în faţa unei schimbări majore în tipologia atacurilor cibernetice: pentru prima oară, suntem puşi în faţa situaţiei în care „armele cibernetice” studiate, pregătite şi perfecţionate în ultimii ani de zile în laboratoarele militare sau în cele ale diviziilor specializate ale serviciilor de informaţii sunt furate şi sunt trecute în sectorul civil, acum la dispoziţia unui număr necunoscut de hackeri care se constituie într-o reţea de crimă organizată.

Vorbim despre o situaţie cu totul nouă, de extremă gravitate tocmai datorită faptului că lucrurile pot deveni rapid incontrolabile dacă cumva, aşa cum spun acum mai multe surse, mai mulţi dintre viruşii produşi în scop militar au fost scoşi în circuitul public. Acţiunea lor poate fi la fel de distrugătoare ca cea a celor mai perfecţionate dintre armele aflate în arsenalele marilor puteri, unii dintre analiştii militari comparându-le chiar cu armele de distrugere în masă.

Este o comparaţie absolut reală deoarece viruşii militari au fost concepuţi pentru anihilarea infrastructurilor critice (printre care şi spitalele) în scopul opririi instantanee a tuturor activităţilor şi producerii stării de haos generalizat, întrerupând, de facto, toate sistemele de comunicaţii, reale sau virtuale.

În măsura în care vă interesează subiectul şi a timpului de care dispuneţi, puteţi accesa un document excepţional de interesantMarsh&McLeann Cyber Risk Report 2017, intitulat „Atacurile cibernetice: o furtună perfectă gata să lovească Europa?”.

Autorii avertizau asupra iminenţei intrării în acţiune a unei „ameninţări devastatoare” care urmează, foarte curând (şi iată câtă dreptate aveau!), înlocuind vechile procedee de furt de bani sau de identitate: „ este vorba despre atacul împotriva infrastructurilor critice, instalaţii industriale, staţiilor de transformare, sistemelor aviatice, reţelelor de transport, staţiilor de prelucrare şi purificare a apei şi chiar a instalaţiilor nucleare – o nouă realitate în Europa. Iar vectorii atacului sunt lansaţi şi împotriva partidelor politice sau sistemelor electorale în alegeri naţionale ”.

În acest context, trebuie spus că această discuţie se purta, de regulă, în contextul în care principala sursă a atacurilor o constituiau fie unităţi militare sau militarizate aflate în linia de comandă şi execuţie a unei puteri străine sau grupări de hackeri angajaţi de puteri străine ca, departe de teritoriul lor naţional, să formeze celule „adormite” gata să fie activate într-un moment de criză, provocând un asemenea atac, fie preventiv, fie pentru a testa rezilienţa sistemelor inamice, fie pentru a anticipa un atac militar convenţional, anihilând infrastructurile critice inamice.

Desigur, aşa cum notează şi autorii studiului, existau mai demult şi grupări de hackeri specializaţi în „atacuri pentru răscumpărare” care utilizau viruşi denumiţiCryptolocker, TorLocker Teslacrypt; aceşti hackeri vă criptează fişierele şi apoi cer o răscumpărare… una dintre ultimele variante fiind „Locky”, care a afectat computere în mai mult de 50 de ţări, cele mai multe din Europa. Utilizatorii sunt îndemnaţi să deschidă attachement-uri la mesaje pe e-mail care par facturi dar care conţin virusul respectiv.

Numai că, şi aici apare problema foarte gravă de acum, acest tip de atacuri a fost oarecum limitat de capacitatea serviciilor de securitate cibernetică de a reacţiona rapid şi, păstrând evident proporţiile, de simplitatea schemei de construcţie a atacurilor respective şi tipului de virus folosit. De data asta pare să fie vorba de altceva, din moment ce toate sursele par să confirme că este vorba într-adevăr de un virus militar „scăpat de sub control” şi ajuns (cel puţin o variantă a sa) în posesia unei organizaţii de tip crimă organizată.

Cum a fost posibil aşa ceva? Întrebare pe care nu ar trebui să v-o mai puneţi după ce accesaţi aici ceea ce a publicat WikiLeaks recent, adică descrierea foarte amănunţită a unor asemenea „viruşi militari” folosiţi de CIA, cu tot cu manualele lor de folosire, descrieri oferite gratuit acum companiilor producătoare de computere pentru a şti de ce trebuie să se ferească şi ce tipuri de firewall să instaleze… Întrebarea firească este, sau cel puţin ar trebui să fie, câte asemenea arme mortale mai există în arsenalele diverselor ţări ale lumii şi care este nivelul de securitate al laboratoarelor respective dacă, aşa cum se vede, povestea cu Snowden nu a fost o simplă întâmplare şi că cel mai important sistem de securitate din lume, cel american, este atât de penetrabil.

Este foarte posibil ca, deja, unităţile specializate în război cibernetic din cadrul reţelelor teroriste să caute deja să achiziţioneze asemenea viruşi „scăpaţi” din laboratoarele militare. Caz în care s-ar putea să vedem că următoarele atacuri teroriste vor avea cu totul alte caracteristici şi vor folosi arme aproape imposibil de detectat, computere „infectate” şi programate să acceseze reţeaua doar pentru câteva minute, timpul necesar pentru descărcarea unui fişier minuscul disimulat într-un mesaj anodin care să aibă însă capacitate de replicare uriaşă.

Oare, în epoca noastră digitală, cineva chiar se joacă cu un foc ce poate distruge întreaga planetă, ucenic vrăjitor în faţa unui computer şi care şi-a scăpat creaţia de sub control?

Citiți și:

Julian Assange: CIA a pierdut controlul armelor sale cibernetice

Noul consens politic: SRI şi Cyberint pentru controlul total al internetului

Statul se lasă acum benevol spionat de SRI

 

yogaesoteric

4 iunie 2017