Atacurile cibernetice devin tot mai complexe si diverse studii scot la iveala lucruri surprinzatoare. Grupurile infractionale se ataca intre ele si din acest mic razboi pot genera victime colaterale. In interviul acordat HotNews.ro de Costin Raiu de la Kaspersky puteti citi despre amenintarile informatice rusesti care tintesc institutii din Romania, dar si despre cum ar trebui sa privim posibilitatea unui "razboi cibernetic total". In articol puteti citi si despre "borcanele de miere" cibernetice puse pentru a atrage "ursul" dar si despre cum gestioneaza compania rusa animozitatea cu care este privita Federatia Rusa care e responsabila pentru criza din Ucraina. Costin Raiu este director global al echipei de Cercetare si Analiza (Director Global Research & Analysis Team).
Vlad Barza: Intr-un raport publicat recent ati descris un fenomen pe care l-ati caracterizat ca fiind fascinant: doua grupuri redutabile de infractori cibermetici se ataca reciproc. Cum de a ajuns Kaspersky sa stie aceste lucruri care par a fi din "tenebrele" internetului?
Costin Raiu: O parte dintre atacurile pe care ei le-au lansat au fost directionate impotriva unor clienti Kaspersky. Toata povestea a inceput atunci cand primul grup, caruia noi ii spunem Naikon, a lansat o serie de atacuri in zona Pacific-Marea Chinei de Sud in urma incidentului cu avionul malaezian care a disparut pe 8 martie 2014.
Pe 11 martie acest grup Naikon incepuse sa atace toate institutiile care erau implicate in operatiunile de cautare a avionului. Se pare ca o parte dintre aceste institutii, cand au vazut aceste atacuri, au fost un pic curioase si li s-a parut suspect faptul ca cineva incearca sa le atace si au raspuns in acelasi fel. Aceste e-mail-uri pe care grupurile le trimit ajung in "honey pot"-urile noastre fiindca exista liste mari de e-mail-uri. Listele de atac pentru Naikon contin sute de adrese de e-mail si uneori o parte dintre aceste adrese nu sunt reale, sunt "honey pot"-urile noastre pe care le infiltram. Reusim sa introducem aceste adrese in listele de atacuri directionate, si odata ce se trimite un atac directionat catre acele honey pot-uri, noi le interceptam. La randul lor, si cei atacati - in cazul de fata grupul Hellsing - pot sa vada ca e-mailul a fost trimis catre 300 de adrese, de exemplu, si trimit si ei la randul lor e-mailul catre acele adrese. In felul acesta ajungem sa vedem cum grupurile se ataca unul pe celalalt.
Vlad Barza: Dar cand doua grupuri infractionale versate se ataca, mai pot sa se surprinda unul pe altul?
Costin Raiu: Eu zic ca rareori se intampla sa fie de succes un contraatac, e greu sa-l pacalesti cand ai de-a face cu o entitate profesionista care traieste din lansarea acestor atacuri. Au fost insa cazuri cand astfel de contraatacuri au fost de succes si va pot da un exemplu din 2007 - 2008 cand au fost atacuri directionate spre Georgia. Atunci, CERT-ul georgian, vazand aceste atacuri, s-a gandit sa incerce aceeasi metoda pe cei care lansau atacurile. Ei bine, au reusit sa ii infecteze pe atacatori cu acelasi virus pe care il foloseau si ei si au reusit sa obtina poze cu atacatorii, inclusiv e-mail-urile in care primeau instructiuni.
Vlad Barza: Ati folosit des termenul de honey pot. Ce sunt aceste "borcane cu miere"?
Costin Raiu: Ideea de honey pot se bazeaza pe un concept foarte simplu: sa pui un "borcan cu miere" undeva in padure si sa astepti sa vina "ursul". La fel e si din punct de vedere cibernetic: noi instalam aceste borcane in diverse puncte pe internet si le facem sa para tinte de interes pentru atacatori. Le facem sa para ca au profilul unei banci sau sa semene cu o persoana foarte bogata sau pot mima o entitate guvernametala sau un "think tank" de interes. Cand lansam aceste honey pot-uri putem sa pacalim atactorii in a crede ca sunt tinte reale si astfel noi obtinem informatii despre aceste atacuri. Obtinem intr-un fel "poze cu ursul".
Vlad Barza: Ar trebui sa conchidem ca e noua tendinta ca aceste grupuri infractionale sa se atace reciproc?
Costin Raiu: Foarte rar ai sansa sa vezi cum se ataca unul pe celalalt, fiindca nu prea ai cum sa te pui intre ei. Singura sansa este sa ai niste honey-pot-uri are pica la mijloc si primesc atacuri din ambele parti si vezi raspunsurile lor.
Vlad Barza: Aceste atacuri pot afecta si alte parti, pot duce la pagube colaterale? Cine ar mai putea avea de suferit cand doua grupuri infractionale se lupta?
Costin Raiu: De obicei atacurile directionate se pot intampla in mai multe feluri, iar trimiterea de e-mail-uri este unul dintre modurile in care se pot desfasura. Sunt cazuri in care vor sa atace o anumita entitate, dar nu stiu exact ce adresa de e-mail are. Sa zicem ca entitatea se cheama "HotNews Incorporated", iar ei cauta in baza lor de date orice contine "HotNews" si gasesc "HotNews.ro". Ei bine, s-ar putea sa-si spuna:
Un exemplu foarte bun este cel al asa-numitelor "watering holes" . cand un site este spart si este injectat cu un cod malitios care infecteaza orice om ce viziteaza site-ul respectiv. Acest lucru il facea grupul Energetic Bear pe care noi l-am denumit Crouching Yeti, o campanie de spionaj in care spargeau site-uri, iar cand intrai pe ele, te infectai. In Romania sunt destul de multe victime ale campaniei. Si Epic Turla are un vector interesant: au spart mai multe site-uri din Romania (de exemplu Ziarul de Cluj) si cand intrai pe acest site, te atacau. Insa, ca sa evite victimele colaterale, iti verificau adresa de IP si daca era de Guvern sau de la vreo instituie e stat, te atacau. La inceput, filosofia "watering holes" a fost asa:
Vlad Barza: In contextul acesta complicat in care Rusia este prost vazuta pentru actiunile sale din Ucraina, Kaspersky Lab are de suferit, fiind companie rusa? Si presa internationala a scris ca exista legaturi apropiate intre companie si guvernul rus. Este o problema pentru companie?
Costin Raiu: Noi incercam sa ne distantam de orice problema politica si sa fim un pic separati de ce se intampla. Din punct de vedere tehnic suntem obligati, mai mult decat orice alta companie, sa detectam orice fel de amenintari. Cea mai mare intrebare pe care si-ar putea-o pune cineva este daca ignori un anumit fel de amenintari si daca esti o firma ruseasca poate n-o sa detectezi amenintarile venite de la vorbitori de limba rusa. Tocmai de aceea, in cazul nostru nu ne permitem sa facem niciun fel de exceptii si, daca ne uitam la situatia din Romania, toate atacurile directionate care au vizat institutii guvernamentale romanesti, lansate de vorbitori de rusa, au fost descoperite de catre firma Kaspersky: Red October, miniDuke, Epic Turla. Noi am fost primii care le-am identificat.
Vlad Barza: La nivel international reprosul adus Kaspersky a fost, nu ca ar evita sa spuna ca Rusia nu face nimic rau, ci s-a spus ca ati fost un pic mai blanzi cu includerea Rusiei in lista "baietilor rai"
Costin Raiu: Nu, as zice ca am fost chiar mai agresivi. Daca e sa ne uitam la numarul de rapoarte, noi nu facem departajari intotdeauna pe tari, fiindca e greu sa arati cu degetul o tara. Insa putem spune ca programatorii pot vorbi nativ o anumita limba: rusa, engleza..etc. Daca vrem sa comparam numarul de rapoarte pe care le-am publicat despre amenintari directionate, o sa vedeti ca avem mai multe rapoarte ce indica amenintari venite de la vorbitori de limba rusa. Matematic am analizat asta.
Vlad Barza: Din ce ati analizat, ce alti vorbitori ameninta cel mai mult insmtitutiile din Romania, in afara de rusi? Care sunt "dusmanii" nostri, ca sa zic asa?
Costin Raiu: Cele mai importante atacuri informatce impotriva institutiilor guvernamentale din Romania au fost lansate de vorbitori de limba rusa, fara indoiala. In general sfera atacurilor informatice este diversa fiindca tot mai multe tari isi doresc sa aiba capacitati de atac. La nivel mondial am observat ca apar limbi noi in sfera atacurilor directionate: spaniola (era o limba foarte rar vazuta in 2013), franceza, germana.
Vlad Barza: In afara de rusi, ce alte natii ne ataca cibernetic?
Costin Raiu: Cum spuneam, cele mai importante sunt de la vorbitori la rusa. Celelalte sunt mai greu de clasificat si sunt atat de putine, incat nu poti sa stii daca sunt intentionate sau accidentale. Sunt atacuri lansate de vorbitori de chineza in Romania, dar sunt foarte foarte putine.
Vlad Barza: Cum vedeti amenintarile cibernetice ale Statului Islamic pe plan mondial. Au fost opinii cum ca sunt extrem de redutabili pe cybercrime.
Costin Raiu: Mi se pare ca Statul Islamic devine un fel de umbrela sub care se aduna acum tot felul de forte din toate lumea. De exemplu am citit despre luptatori ceceni care luptau pentru Statul Islamic, au renuntat la asta si s-au dus in Ucraina apoi. La fel, si luptatori din Ucraina s-au indreptat catre Statul Islamic care a devenit un fel de "umbrela" in stilul Anonymous unde oricine isi punea o masca si spunea ca poate lansa atacuri in numele Anonymous.
Vlad Barza: A fost o perioada in care multe voci au spus ca un razboi cibernetic poate pune la pamant infrastructura unui intreg oras sau a unei tari. Credeti ca asa ceva e posibil sau e doar o exagerare? Atat de puternic poate fi un atac?
Costin Raiu: Trebuie sa ne gandim la fel ca in viata de zi cu zi unde tehnologia nu inlocuieste complet totul, ci cumva devine complementara. Facebook este complementar cu viata reala, fiindca acolo stabilim ca ne intalnim fizic intr-un anumit loc la o anumita ora. La fel este si cu razboiul cibernetic: nu trebuie privit ca o chestiune complet independenta care se va intampla si va distruge o tara.
Parerea mea este ca razboiul cibernetic va fi intotdeauna complementar cu cel clasic, va deveni o alta arma din arsenalul unui stat, o pot lansa cand ataca fizic o tara. In acel caz, poate fi lansat si atacul cibernetic care, combinat cu cel fizic, poate avea rezultate devastatoare. Sa va dau un exemplu: in 2014 noi am descoperit Regin, practic un operator de telefonie mbila era infectat, in particular fiind afectate unitatile care controlau toata reteaua de celule. Atacatorii testasera abilitatea de a dezactiva aceste celule in cazul unui atac cibernetic. De exemplu, daca ei planuiesc sa atace fizic tara respectiva pot inchide toata telefonia celulara cu 15 minute inainte de a incepe atacul si tara ar fi complet paralizata, mai ales ca viata de zi cu zi depinde de telefonia mobila.
2
1
