Trăiască eterna prietenie ruso-română! (LOL şi LOL şi LOL): Azi, episodul APT28 sau Sofacy
Nimic esenţial legat de apetitul pentru imperiu şi agresiune nu s-a schimbat, la Moscova, din vremea ţarilor sau a Războiului Rece; poate doar metodele, dar şi acestea doar aşa, niţel.
Acum câteva zile – mai precis la 17 decembrie, adică joia trecută – firma Bitdefender dădea publicităţii un raport (white paper) în format .pdf de 26 de pagini, cu tot cu coperţile, intitulat APT28 under the scope: A journey into exfiltrating intelligence and government information. Cum to exfiltrate e, foarte limpede, cumva opusul lui to infiltrate, aş traduce acest titlu ingenios prin formula APT28 sub lupă: o călătorie în ale ciordelii, foarte pe şest, de intelligence şi informaţii de uz guvernamental (fac aici şi precizarea că, în condiţiile în care scope înseamnă şi lunetă, cum e greu să îţi imaginezi că ai doar luneta, dar nu şi puşca pe care aceasta-i montată, partea de început a titlului ar putea fi, de fapt, şi APT în bătaia puştii).
Textul este redactat de patru autori (Răzvan Benchea, Cristina Vatamanu, Alexandru Maximciuc şi Victor Luncaşu), toţi specializaţi în malware research şi ne spune, încă de la bun început, că „operaţiuni de ciber-spionaj sprijinite de entităţi de tip statal au fost întreprinse cu multă vreme înainte de Stuxnet sau Flamer; atacuri din categoria ameninţărilor persistente avansate ceva mai puţin cunoscute, cum ar fi APT28 (sau Sofacy), au fost întreprinse în secret, în Europa, începând din 2007”. Adică în ultimii aproape 10 ani.
Tii, ce ciudată „coincidenţă”…
White Paper-ul celor de la Bitdefender (pentru cine vrea să îl citească în varianta completă, el poate fi găsit la adresa de internet http://download.bitdefender.com/resources/media/materials/white-papers/en/Bitdefender_In-depth_analysis_of_APT28%E2%80%93The_Political_Cyber-Espionage.pdf) afirmă, între altele, că „ciber-grupul” din spatele operaţiunilor Sofacy „este extrem de activ şi se concentrează asupra unor anumite regiuni”, precum şi că „ţintele principale ale APT28 sunt victime potenţiale în mai multe ţări cum ar fi Ucraina, Spania, România, Statele Unite şi Canada” (wow!: România-i înaintea SUA şi a Canadei!). Acelaşi studiu subliniază şi faptul că „a fost detectat un interes special pentru Ucraina” – mai precis, „între ziua de marţi, 10 februarie şi ziua de sâmbătă, 14 februarie 2015, echipa din spatele APT28 a scanat 8.536.272 de IP-uri pentru a găsi potenţiale vulnerabilităţi”. În plus, semnalează autorii, exact „în această perioadă, la Minsk, lideri politici din Belarus, Rusia, Germania, Franţa şi Ucraina participau la un summit, discutând un armistiţiu în regiunea Donbass din estul Ucrainei”. După 14 februarie, ne spune în continuare textul celor de la Bitdefender, atenţia „celor care folosesc APT28 s-a îndreptat către Spania”.
Mâna Rusiei, foarte-foarte clar
Cei patru autori de la Bitdefender susţin şi că „avem motive să credem că aceia care operează reţeaua APT28 sunt fie cetăţeni ruşi, fie cetăţeni dintr-o ţară învecinată cu Rusia şi care vorbesc ruseşte”, iar „această presupunere e sprijinită de diferiţi markeri identificaţi pe parcursul analizei”. Cum 88 % dintre dintre operaţiunile întregului atac cibernetic au fost efectuate între orele 08.00 şi 18.00, în zona fusului orar UTC+4 (UTC înseamnă Coordinated Universal Time), autorii studiului făcut public de Bitdefender au presupus, în mod firesc, că ţara unde lucrează operatorii ce folosesc APT 28 e într-o zonă în care acesta-i intervalul în care, în mod curent, se munceşte. Şi, spun ei, din „toate ţările care folosesc aceeaşi time zone – Rusia, Georgia şi Azerbaidjan, Rusia e singura ţară care posedă priceperea şi resursele pentru a organiza un atac de acest tip”. Mai aflăm şi că datele la care au fost create şi compilate „fişierele implicate în atac” sunt cuprinse, toate, în intervalul dintre 14 aprilie 2008 şi 13.05.2015, orele 22, 5 minute şi 57 de secunde (bună treabă, după aia au început să curgă, valuri-valuri, vodcile de seară).
România: ţintă majoră a atacului cibernetic despre care vorbim
La pagina 9, într-un capitol intitulat „Victime atacate”, White Paper-ul precizează că ţintele atacului întreprins, cel mai probabil, de Rusia „au fost identificate ca aparţinând unor industrii şi sectoare diferite”, cum ar fi „oameni politici, instituţii guvernamentale, telecomunicaţii şi serviciile ce se ocupă de criminalitatea cibernetică, precum şi companiile aerospaţiale din Germania, Ucraina, Rusia şi România”. Din toate aceste ţări au fost furate (stolen, în original) diverse tipuri de informaţii, „sub forma unor e-mail-uri”. În mod direct despre ţara noastră, raportul afirmă (vezi pagina 10 a textului în cauză) că „în România, aceste computere atacate sunt parte a infrastructurilor guvernamentale sau sunt în strânsă legătură cu guvernul României”. În intervalul de maximă activitate al atacului cu APT28, deci în jurul datei de 11 februarie 2015, au fost identificate ca „fiind vulnerabile” 1,7 milioane IP-uri în Ucraina, 4.666 în Rusia, 1.287 în România, 150 în SUA, 149 în Canada, precum şi două în Italia. Un nou atac, derulat la 16 februarie 2015, a ţintit un număr mult mai mic de IP-uri (cu totul, peste 58.600), dintre care 6.146 – ceea ce înseamnă peste 10 %! – au „fost găsite ca fiind vulnerabile”: 5.511 în Spania, 584 în Marea Britanie, 47 în Portugalia, două în SUA şi două în Mexic.
Care-i noima acestor cifre? Păi e simplu de înţeles. Din perspectivă rusească, Ucraina trebuie pusă pe butuci, definitiv, dacă se poate. Asta şi explică numărul enorm de IP-uri atacate. Spania e şi ea o ţintă obligatorie pentru marea strategie rusă: orice eventuală intervenţie foarte rapidă a SUA în Europa de Est şi de Sud-Est (ca şi-n Orientul Mijlociu) se poate face doar pe calea aerului. Şi, exact ca în 2003, avioanele americane de transport ar trebui să realimenteze undeva (în 2003, în contextul intervenţiei în Irak, împotriva regimului lui Saddam Hussein, au făcut-o la uriaşa bază aeronavală de la Rota, în Spania); iar România – unde au fost atacate mai multe IP-uri decât în SUA, Canada, Marea Britanie şi Italia la un loc – e, şi ea, pentru Rusia, o entitate deranjantă. Şi, împreună cu Polonia, e o ţară care are graniţă comună cu Ucraina. Doar că, în contextul crizei din Crimeea şi din Sud-Estul Ucrainei, România e mult mai bine plasată, geografic, pentru a fi, la nevoie, o bună platformă pentru o eventuală reacţie mai hotărâtă a Occidentului (NATO sau, poate, doar SUA).
Ce-ar mai fi de spus, luând în calcul toate acestea? Doar să constat (cu o anume cantitate de legitimă nelinişte) faptul că, iată, statul rus progresează, într-un fel: de la violurile şi jafurile în masă (citiţi cu atenţie Antony Beevor, Berlin: 1945, Ed. Rao, Bucureşti, 2005, de exemplu paginile 543-544, acolo unde ni se spune cum prin „grija” extraordinară a Armatei Roşii „au fost violate cel puţin 2 milioane de femei germane, unele – dacă nu cumva majoritatea – fiind supuse la violuri multiple”), de la davai ceas, davai palton, Rusia a ajuns, azi, la spionajul cibernetic pe scară largă. Unul care, iată, ţinteşte sistematic (şi masiv) şi România. Dovadă că-i cam încurcăm pe domnii de la Moscova (aşa cum i-am cam încurcat, destul, şi pe nenorociţii dinaintea lor, aceia care au condus, decenii în şir, hidosul imperiu numit Uniunea Sovietică; şi aşa cum i-am încurcat, destul, şi pe ţarii Rusiei, în secolele dinaintea apariţiei URSS).
