Urmărind tiparele acțiunilor cibernetice ofensive ale Federației Ruse, analiștii spun că pentru Moscova spațiul cibernetic reprezintă o prelungire a granițelor teritoriale, iar conceptul de „armă informaționalăinformaționnoe orujie)” reprezintă un substrat al gândirii strategice ruse, aproape absent în cultura occidentală. Acest concept nu înglobează numai metodele folosite pentru a putea conduce un război informațional, ci este mult mai complex, întrucât acoperă o plajă largă de activități cum ar fi atât cele care au scopul de a avea un impact asupra minții umane, cât și cele menite să distrugă capabilitățile adversarului.
Ca modus operandi s-a constatat că Federația Rusă nu conduce „acțiuni ofensive atât de răsunătoare în spațiul cibernetic, precum alți actori statali care posedă capabilități cibernetice similare, de exemplu China, ci conduc acțiuni extrem de acoperite, astfel încât să nu existe dovezi concrete referitoare la implicarea lor, ci doar bănuieli sau mici urme care trădează, de fapt, implicarea lor”, arată o analiză a Institutului de Studii Politice și Relații Internaționale (ISPRI).
Folosirea așa-zișilorhacktivists,blackhatssaupatriot hackersîn acțiuni subversive
Una dintre cele mai cunoscute tehnici folosite estemaskirovka(deghizare, camuflaj) ca parte a conceptului deintimidare strategică(strategic deterrence) existent în gândirea strategică a Rusiei.
Legile naționale și internaționale sunt limitate și slab conturate în ceea ce privește Internetul; pe lângă actorii statali, există și actori non-statali care pot amenința activitățile statelor din sfera cibernetică și pot lansa acțiuni malițioase de peste tot din lume cu o posibilitate mică de a putea fi detectați. Rusia apelează la astfel de tactici prin integrarea așa-zișilor hacktivists, blackhats sau patriot hackers în acțiuni subversive.
Printre cele mai utilizate instrumente pe care rușii le folosesc în operațiunile ofensive cibernetice se numără: acțiunile de tip DoS (Denial of Service), DDoS (Distributed Denial of Service), deturnarea serviciului de registru Internet distribuit (DNS – Domain Name Server), mass-mailing, compromiterea unor pagini web (infrastructuri critice, administrație publică, persoane aflate în funcții publice de conducere, bănci, etc.) sau diverse programe malware; de asemenea, exploit code-urile rusești tind să fie unele dintre cele mai bine structurate.
Mai mult, pentru a-și ascunde identitatea, rușii apelează la operațiuni cibernetice de tipfalse-flag, construind atacul în așa fel încât să pară că provine dintr-o locație mult mai îndepărtată, de obicei din Asia. În aceeași notă, backdoor-urile rusești în sistemele compromise sunt foarte greu de deosebit de penetrările destul de avansate ale infractorilor cibernetici.
Atacuri asupra NATO
În următoarele rânduri ne vom referi la câteva dintre cele mai masive atacuri cibernetice instrumentate de Rusia pe teritoriul european, având impact implicit asupra NATO.
1. Estonia (2007) – stat membru NATO.
Context: hotărârea autorităților din Estonia de a muta Statuia Soldatului Sovietic din centrul capitalei. Atacul cibernetic s-a produs în două faze; cea de-a doua fază a fost constituită din atacuri complexe, de tipul DoS, DDoS, spam-uri trimise către serverele guvernamentale și altele. Atacul asupra infrastructurilor critice ale Estoniei a fost coordonat de entități informatice de pe teritoriul a 178 de state.
Măsuri: sporirea securității sistemelor informatice, crearea unei baze legale pentru susținerea securității cibernetice, cooperare internațională, creșterea competențelor experților din domeniul securității cibernetice și altele. Cazul Estonia a demonstrat că NATO nu este suficient de pregătită pentru a asigura protecția statelor membre în spațiul cibernetic. Cu toate acestea, întâmplarea a reprezentat primul pas în consolidarea conceptului de apărare cibernetică a NATO, noi politici fiind adoptate în urma Summit-ului de la București, în 2008.
2. Georgia (2008) – stat non-membru NATO, aspirant la aderare.
Context: tensiuni ruso-georgiene legate de Osetia de Sud. Rusia a răspuns cu forță militară în Georgia, invadând-o; atacul militar a fost susținut de o serie de atacuri cibernetice. Rușii s-au folosit de trei metode de atac cibernetic principale: distrugerea website-urilor administrației publice; SQL injections (Structured Query Language); atacuri DDoS. În plus, au fost distribuite online instrucțiuni în limba rusă de folosire a unor software-uri malițioase alături de liste cu adresele de e-mail ale politicienilor georgieni pentru ca hacktiviștii să poată face spam. Forumul rusesc stopgeorgia.ru a jucat un rol critic în înfăptuirea atacurilor, fiind creat cu câteva ore înainte de invazia rusească din Osetia de Sud; compania care găzduia domeniul web era înregistrată în New York, dar operațiunile erau conduse din St. Petersburg.
Măsuri: asistență internațională în diminuarea efectelor atacului; site-ul Ministerului de Externe al Georgiei a fost transferat în servere din Estonia; Polonia a analizat datele protocolului de Internet; Franța a asistat prin colectarea unor log files în timp ce atacurile erau în desfășurare ș.a.
3. Ucraina (2014) – non-membru NATO, dar există colaborări.
Context: Ucraina era cufundată în proteste pro-ruse, astfel conflictul a migrat rapid în spațiul cibernetic, hackerii pro-ruși întrerupând liniile de comunicații și rețelele media. Hackerii au pornit o campanie de discreditare a NATO și a presei din Ucraina prin atacuri de tip DDoS; totodată, au existat și interferențe în alegerile din Ucraina. Gruparea CyberBerkut (hackeri pro-ruși) au declarat că au interferat în alegerile din Ucraina, că au compromis câteva site-uri web germane și că au oprit numeroase documente de cooperare militară SUA-Ucraina din a fi transmise, precum și că au blocat site-uri guvernamentale și ale instituțiilor mass-media NATO.
4. Muntenegru (2016) – țară aspirantă la integrarea în NATO.
Grupul de hackeri APT28 (cunoscut și sub alte denumiri precum Fancy Bear, Pawn Storm, Stronitium sau Sofacy; se pare că gruparea este conectată cu Unitatea 26165 a GRU) atacă cibernetic Muntenegrul în urma depunerii aplicației acesteia de aderare la NATO, folosind instrumente de tip phishing în vederea extragerii documentelor referitoare la NATO. De asemenea, aceștia s-au folosit de canale mass-media pentru a crea propagandă neagră cu câteva săptămâni înainte de alegerile parlamentare din Muntenegru, acuzând că guvernul este corupt și că primește directive de la SUA și NATO.
Măsuri: Marea Britanie a intervenit în sprijinul Muntenegrului. Instrumente similare cu cele menționate anterior au fost folosite și în cazul altor state europene, membre NATO, precum Marea Britanie, Germania sau Franța.
Interesant de observat este faptul că există anumite tipare ale atacurilor cibernetice ruse, dincolo de faptul că sunt îndreptate în mare parte către state europene și membre NATO. Câteva dintre tiparele principale sunt:
- folosirea unor indivizi/grupuri specializate pentru a comite atacuri cibernetice, astfel încât să nu existe o legătură directă între Rusia (ca stat) și atacuri;
- atacurile sunt făcute să pară că provin dintr-o locație îndepărtată de Europa;
- țintele sunt cu preponderență state membre NATO sau state care iau în considerare aderarea, întrucât expansiunea rapidă Alianței în zona Europei reprezintă o amenințare pentru interesele Moscovei; numeroase atacuri se desfășoară cu puțin timp înainte de a exista alegeri într-o țară și altele.
Analiștii constată că atacurile cibernetice orchestrate de Rusia sunt asemănătoare unele cu celelalte în linii mari, iar capabilitățile, resursele umane, tehnice și digitale de care dispune sunt unele dintre cele mai complexe și se află într-o continuă dezvoltare, însă în cazul Georgiei (2008) invazia militară desfășurată concomitent cu atacul cibernetic poate constitui un nou tip demodus operandicare nu ar fi exclus să stea la baza viitoarelor conflicte cibernetice.
Cazurile prezentate anterior au demonstrat că NATO încă nu dispune de suficiente capabilități în sfera cibernetică, iar statele, atât ca actori individuali, cât și prin prisma mecanismului de apărare colectivă al Alianței trebuie să conlucreze în vederea sporirii capacității de apărare în fața amenințărilor cibernetice; de asemenea, evenimente de tiplebăda neagrăpot surveni în orice moment și mai ales în ceea ce privește capabilitățile tehnice, digitale și de resurse umane ale adversarului care urmărește restabilirea influenței în zona europeană.
Sursa: ISPRI / Maria Caimeanu, cercetător asociat la Centrul de studii sino ruse (CSSR) din cadrul ISPRI al Academiei Române.