Infrastructura critică: o țintă tradițională a atacurilor cibernetice


Atât incidentele din trecut cât și atacurile recente asupra infrastructurilor critice subliniază nevoia de a ne proteja cât mai bine sistemele și serviciile esențiale.

Cu doar săptămâni în urmă, rețeaua electrică a Ucrainei a fost atacată în timp ce grupul Sandworm a lansat un cod malware numit Industroyer2 împotriva operațiunilor unui furnizor de energie din țară. Industroyer2, descoperit în timpul unui efort de răspuns care a implicat ESET și CERT-UA, este varianta nouă a malware-ului sofisticat numit Industroyer, care a dus la pene de curent în anumite părți din Kiev în decembrie 2016.

În plus, în decembrie 2015, operatorii BlackEnergy au întrerupt alimentarea cu energie pentru sute de mii de oameni din regiunea Ivano-Frankivsk din Ucraina timp de câteva ore, după ce au sabotat sistemele mai multor companii de distribuție a energiei electrice. Incidentele au fost o trezire la realitate pentru oricine credea că acest tip de evenimente sunt science fiction. Și totuși, acestea nu au fost primele dăți când un program malware a fost folosit într-un atac asupra infrastructurii critice.

În iunie 2010, instalația iraniană de îmbogățire a combustibilului nuclear din Natanz a fost lovită de Stuxnet, un malware sofisticat care a distrus numeroase centrifuge, reducând astfel capacitatea Iranului de a produce uraniu îmbogățit. Stuxnet este astăzi cunoscut ca primul malware descoperit care vizează sistemele industriale și malware-ul din spatele primului atac cibernetic asupra infrastructurii critice moderne.

Aceste atacuri ne amintesc în mod constant de riscurile cu care se confruntă diferitele tipuri de infrastructură critică. Într-adevăr, istoria arată că, într-un fel, aceast tip specific de amenințare exista cu mult înainte de apariția computerelor digitale moderne.

Atacurile cibernetice asupra infrastructurii critice – o amenințare ce există de acum 200 de ani?

La sfârșitul secolului al XVIII-lea, împăratul francez Napoleon Bonaparte a construit o rețea de comunicații pentru a oferi armatei sale un sistem rapid și fiabil de transmitere a informațiilor secrete. Sistemul de telegraf optic, botezat „semafor”, a fost inventat de inginerul francez Claude Chappe și permitea comunicații optice criptate, care erau descifrabile doar cu un cod secret pe care îl dețineau ofițerii selectați. 

Sistemul s-a bazat pe o rețea de turnuri construite pe dealuri înalte, la 16 kilometri unul de celălalt. Pe vârful fiecărui turn stăteau două brațe mecanice din lemn care se mișcau exact ca brațele unei marionete și erau controlate de un ofițer echipat cu un telescop. Mesajul codificat de poziția brațelor era copiat din turn în turn până ajungea la destinație.

Astfel, guvernul francez putea face ca un mesaj să parcurgă distanțe lungi la viteze mult mai mari decât orice mesager călare. Când ajungea la ultimul turn, un ofițer traducea simbolurile în franceză folosind cartea de coduri.

Aceasta a fost o adevărată revoluție la acea vreme – armata lui Napoleon avea acum o linie de comunicare secretă și exclusivă. Sau așa se credea. Câțiva ani mai târziu, prima rețea de comunicații la distanță a devenit, de asemenea, unul dintre primele sisteme de infrastructură critică piratate. În 1834, doi frați, François și Joseph Blanc, au comis ceea ce se numește adesea prima fraudă electronică sau chiar primul atac cibernetic. Frații tranzacționau obligațiuni guvernamentale la bursa din Bordeaux, care folosea bursa din Paris ca indicator al creșterilor și scăderilor ratelor acesteia. Cu toate acestea, informațiile erau transmise călare, fiind nevoie de până la cinci zile pentru a ajunge în sud-vestul Franței. Era firește foarte util să știi ce se întâmplă la Bursa din Paris înaintea tuturor.

Pentru a diminua timpul de transmitere, frații au luat în considerare „semaforul”. Acesta prezenta soluția perfectă, iar trucul era simplu: un mesaj de rutină care încorporează un simbol special creat de frații Blanc va fi transmis de un complice din turnul din Paris până ajungea la ei. Acest cod minuscul a fost făcut să apară ca o eroare inocentă și, așa cum se stabilea prin protocolul semaforului, astfel de erori trebuiau verificate și eliminate doar de managerii de turnuri staționați în câteva posturi din marile orașe. În drum spre Bordeaux, turnul din Tours avea unul dintre acești manageri, așa că François și Joseph l-au mituit pe responsabil pentru a nu-și corecta semnalul.

Între timp, un ultim complice din Bordeaux urmărea turnul pentru a detecta acele erori și a le livra. François și Joseph au reușit să obțină informații despre cele mai recente date de la bursa de la Paris fără să fie observați mult timp. Ei au profitat de o rețea costisitoare finanțată de guvern pentru câștigul lor personal, obținând profituri mari și perturbând astfel comunicațiile armatei franceze în acest proces. Cum au ajuns la câștiguri foarte mari în doar doi ani de zile, oamenii au început să se îndoiască de norocul lor iar frauda a ajuns să fie descoperită.

În zilele noastre, atacatorii își pot desfășura atacurile în moduri noi și mai insidioase.

Perturbarea activității parlamentelor, băncilor și institutelor de cercetare – și creșterea prețurilor la combustibil

Istoria ne poate învăța multe, dar poate mai presus de toate ne reamintește un lucru simplu, că ea deseori se repetă. În prezent, atacurile cibernetice lovesc mii de mici companii private, persoane fizice dar și mari organizații publice și guvernamentale.

Potrivit unui studiu din 2021 realizat de Claroty, care a chestionat 1.000 de profesioniști din domeniul securității IT care lucrează în infrastructura critică din SUA, Marea Britanie, Germania, Franța și Australia, 65% s-au atătat îngrijorați cu privire la atacurile asupra infrastructurii lor critice. 90% dintre ei au raportat că au suferit un atac în 2021.

În timp ce frauda din sistemul de telecomunicații derulată de fraților Blanc nu a afectat populația în general, atacurile asupra rețelei electrice din Ucraina au afectat sute de mii de oameni. Riscul acestor efecte directe devine din ce în ce mai acut.

Estonia: Prima dată când rețeaua unei țări întregi s-a confruntat cu un atac cibernetic

În dimineața zilei de 27 aprilie 2007, asemenea pieselor de domino, comunicațiile guvernamentale ale Estoniei, băncile, operatorii de telefonie, site-urile media, bancomatele și site-ul web al Parlamentului, împreună cu multe alte servicii online, pur și simplu s-au închis. Toată lumea a resimțit piedicile și consecințele atacului care a durat 22 de zile.

Țara avansată din punct de vedere digital și-a văzut spațiul cibernetic atacat. În 2007, Estonia era deja una dintre cele mai digitalizate țări din lume. Oamenii își foloseau telefoanele pentru a plăti parcarea, serviciile guvernamentale erau online, chiar și sistemul de vot era online și exista Wi-Fi peste tot! Dar, într-o clipă, țara baltică a trecut de la un tărâm online de vis la un haos digital.

Atacatorii au folosit mai multe tactici binecunoscute, de la ping floods, un tip de atac de tip denial-of-service (DoS), la interogări web malformate și spam prin e-mail, majoritatea provenind din afara Estoniei. O activitate atât de vastă și constantă a întâlnit doar câteva straturi de protecție, cu siguranță mai puține decât ar fi putut fi implementate. Calvarul ar fi trebuit să devină un arhetip, unul care să alerteze și alte țări asupra propriilor vulnerabilități de securitate.

Nu existau soluții imediate disponibile și, în esență, atacurile au durat atât timp cât au dorit atacatorii. Dar, din moment ce majoritatea au fost comise din străinătate, atât organizațiile publice, cât și cele private au început să blocheze tot traficul străin către site-urile lor web, în ​​încercarea de a câștiga timp pentru a identifica și filtra sursele rău intenționate de trafic cu ajutorul furnizorilor de servicii de internet din întreaga lume.

Urmărirea penală ulterioară, din păcate, a ajuns la doar câteva concluzii din cauza lipsei mecanismelor legale și a imposibilității de a depista adrese și persoane concrete. Dmitri Galuškevitš, un student universitar eston în vârstă de 20 de ani, a fost singurul atacator identificat deoarece acționa din interiorul Estoniei. Galuškevitš și-a folosit computerul pentru a ataca site-ul partidului prim-ministrului eston, Partidul Reformist Eston, și a fost obligat să plătească o amendă de 17.500 de coroane (aproximativ 700 USD la acea vreme).

COVID-19: O cursă pentru informații

Nimic nu a unit lumea atât de mult ca nevoia de a dezvolta un vaccin pentru COVID-19. Abordările acestei sarcini au fost însă diferite. Multe laboratoare din întreaga lume au început un maraton pentru a revendica primul și cel mai sigur ser minune. Pe 23 aprilie 2020, Organizația Mondială a Sănătății a raportat o „creștere de cinci ori a atacurilor cibernetice” asupra personalului său, în speranța că acest raport va servi drept alertă pentru lunile următoare.

La doar câteva zile mai târziu, Centrul Național de Securitate Cibernetică (NCSC) din Marea Britanie a avertizat că universitățile și laboratoarele din țară care efectuează cercetări asupra COVID-19 suferă mai multe încercări de hacking, inclusiv atacuri ale altor țări care doresc să colecteze date legate de dezvoltarea vaccinurilor.

La câteva luni după, pe 9 decembrie, Agenția Europeană pentru Medicamente (EMA), autoritatea de reglementare a UE în domeniul sănătății, a dezvăluit că a suferit un atac cibernetic. În aceeași zi, BioNTech a confirmat că unele documente stocate pe serverele EMA pentru aprobarea vaccinului său au fost „accesate ilegal”. Conform follow-up-ului realizat de EMA din 22 decembrie 2020, hackerii au vizat exclusiv informații despre COVID-19 prin breșa produsă la nivelul unei aplicații IT nedezvăluite. Datele furate au fost apoi distribuite pe 13 ianuarie 2021.

Cazul a fost investigat de CERT-EU împreună cu poliția olandeză. Cu toate acestea, concluziile nu au fost niciodată dezvăluite oficial. Potrivit ziarului olandez deVolkskrant, atacatorii au obținut acces la sistemele EMA după ce au furat un token folosit pentru a configura autentificarea cu mai mulți factori pentru noii angajați. Publicația dezvăluie, de asemenea, că persoanele apropiate cazului cred că incidentul a fost o chestiune de spionaj de stat național care vizează strategia UE COVID-19.

Pierderea controlului asupra aprovizionării cu combustibil

Pe 7 mai 2021, banda de atacatori ransomware DarkSide a atacat Colonial Pipeline, exploatând multiple vulnerabilități și o serie de parole compromise. Doar de atât a fost nevoie pentru ca grupul să elimine operațiunile celui mai mare sistem de conducte de distribuție a combustibilului din SUA pe o perioadă de cinci zile. Aceasta a fost prima breșă din istoria companiei cu o vechime de 57 de ani și a necesitat intervenția directă a Casei Albe.

Acest atac ransomware a avut consecințe majore, forțând mai multe lanțuri mari de benzinării să se închidă din cauza penuriei de combustibil. Prețurile carburanților din SUA au crescut la maxime nemaivăzute din 2014.

Dacă inițial amploarea atacului a făcut ca toate eforturile să se concentreze pe investigarea unui posibil hacking sponsorizat de stat, s-a dovedit în schimb că acesta a fost motivat de câștigarea de bani. DarkSide a recunoscut că este responsabil pentru atac, dar a negat că are vreo motivație politică: „Scopul nostru este să facem bani și să nu creăm probleme pentru societate”, se spune. Cu toate acestea, se știe că grupul oferă ransomware ca serviciu afiliaților și a primit o plată de răscumpărare de 4,4 milioane de dolari, jumătate din care a fost recuperată ulterior de FBI.

Atacurile cibernetice devin o practică comună

Puterea incredibilă care ne permite tuturor să ne conectăm instantaneu are un preț. Mai multă conectivitate înseamnă, de asemenea, mai multe vulnerabilități, mai multe atacuri și strategii mai sofisticate de atac și de protecție. O astfel de interconectivitate crescută între lumea digitală și cea reală pune presiune asupra sectoarelor de infrastructură publică și privată pentru a adopta noi rutine de siguranță.

În timp ce în ultimii ani, operatorii entităților de infrastructură critică au depus eforturi semnificative de securitate, serviciile rămân adesea ținte preferate pentru atacurile cibernetice, subliniind și mai mult nevoia de a proteja mai bine serviciile esențiale ale societății împotriva atacurilor informatice.

André Lameiras April 21, 2022

Lasa un comentariu