România sub asalt cibernetic

Suntem martorii unui val de atacuri cibernetice, fără precedent, îndreptate împotriva instituțiilor pub lice românești dar și a unor companii private din sfera infrastructurilor critice naționale, atacuri care au o legătură vădită cu războiul de la granița României.

Unele atacuri au fost revendicate de către gruparea KillNet, o grupare care sprijină războiul inițiat de către Federația Rusă. Primele atacuri au fost din categoria celor de tip Distributed Denial of Service (DDoS) și au vizat în principal site-uri ale instituțiilor de forță, companii de stat sau private. Rând pe rând site-urile Guvernului, Armatei, Poliției de Frontieră, DNSC, diferitelor aeroporturi, CFR Călători, OTP sau Rompetrol au fost indisponibilizate temporar.

Ce înseamnă un atac de tip DDoS?

Un atac de tip DDoS reprezintă un atac de forță brută, nesofisticată care directionează către un system țintă un număr de solicitări extrem de mare care nu poate fi gestionat de serverul/sistemul IT respectiv. Dacă toți bucureștenii ar vrea să circule cu metroul la ora 8:00 dimineața acest lucru va fi aproape imposibil pentru că sistemul nu a fost gândit pentru gestionarea unei astfel de situații. Oricâte garnituri ai pune în mișcare nu poți onora cererea și atunci direcționezi călătorii către stațiile de transport de suprafață.

Atacurile de tip DDoS se pot rezolva destul de ușor prin identificarea traficului de date care blochează serverul și devierea (“droparea”) acestuia. Mecanismele sunt suficient de simple iar furnizorii de cloud sau datacentere de pildă, au acest serviciu în portofoliu pentru clienții lor.

Atacurile de tip DDoS sunt considerate ca atacuri de tip non-distructiv pentru că efectul lor este doar indisponibilizarea temporară a sistemului IT. Foarte important, aceste atacuri nu sunt intrusive în sensul în care nu se realizează penetrarea sistemului informatic. Faptul că ai indisponibilizat site-ul unui trust de presă sau al unei bănci nu echivalează cu penetrare și exflitrare de date.

Principala motivație a unei campanii de tip DDoS este crearea de emoție și panică în rândul populației și creșterea neîncrederii în autorități. Primul mare incident de tip DDoS este cel provocat în 2007 de către grupări infracționale apropriate Federației Ruse împotriva Estoniei, prin indisponibilizarea foarte multor site-uri administrative și servicii publice și private timp de circa trei săptămâni. Estonia practic a dispărut de pe harta Internetului în ceea ce a fost considerat primul război cibernetic interstatal (https://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia).

Foarte interesant de reținut este că aceste atacuri se realizează în general prin așa zisele “armate de boți”, adică calculatoare, telefoane, camere video IP și alte dispozitive conectate la Internet care sunt compromise și controlate de către atacator. Practic telefonul tîu, laptopul tău sau televizorl tău inteligent poate să ia parte într-un atac de tip DDoS împotriva unei ținte informatice din Europa sau America fără ca tu să știi.

Este foarte important de știut și că există o piață a atacurilor de tip DDoS care au un mercurial bine definit. Practic, cu câteva zeci de euro pe oră poți să comanzi un atac de tip DDoS împotriva site-ului concurenței (https://securelist.com/the-cost-of-launching-a-ddos-attack/77784/)

Autoritățile statului cu atribuții în domeniu precum DNSC sau CyberInt au tras recent și niste semnale mult mai grave. Și anume faptul că se pregătește o campanie de tip Ransomware îndreptată împotriva unor companii sau autorități din România (https://www.sri.ro/articole/alerta-Cyber-posibil-atac-ransomware.html).

Ce este un atac de tip Ransomware?

Un atac de tip Ransowmare este un atac cu potențial extrem de distructiv. În cadrul unui astfel de atac se penetrează structura informatică și se realizează criptarea datelor din cadrul serverelor și al sistemelor IT, transformându-le în sisteme inoperaționale. Practic, sistemele tale financiare, ERP, CRM sau SCADA nu mai pot fi folosite ceea ce se traduce prin blocarea parțială sau totală a activității operaționale. Este similar cu un atac atomic asupra companiei. Ca să decriptezi serverele și să continui activitatea trebuie să plătești o răscumpărare (ransom) de cele mai multe ori în criptomonede.

Companiile sunt în general discrete cu dezvăluirea acestor atacuri preferând să plătească răscumpărarea ca să-și poată continua activitatea și fără să informeze publicul sau autoritățile. Spre exemplu Colonial Pipeline a plătit $4.4 million, producătorul global de carne JBS a plătit $11.0 million, în timp ce asiguratorul global CNA Financial a raportat plăți în valoare de $40.0 million ca și ransom. Și aici se ridică o mare chestiune de etică pentru că mulți privesc achitarea ransom-ului precum cei care negociază cu teroriștii, sprijinind astfel activitatea infracțională. Un studiu din 2022 al companiei britanice ProofPoint relevă că peste 58% din companiile afectate de atacuri ransom preferă să plătească răscumpărarea. https://www.proofpoint.com/uk/resources/threat-reports/state-of-phish

Un atac ransomware cu implicații extrem de grave l-a suferit în 2019 gigantul în aluminiu Norsk Hydro. Compania a anunțat că majoritatea sistemelor IT, adică peste 22.000 de calculatoare (inclusiv din zona industrială), din peste 170 de locații din 40 de țări au fost dezafectate iar peste 30.000 de salariați au fost reduși la “creion și hârtie”. Compania chiar a permis realizarea unui reportaj de către BBC în zilele imediat următoare atacului iar efectele acestuia sunt halucinante. (https://www.bbc.com/news/business-48661152).

Protecția împotriva unui atac de tip ransmware include toate bunele practici în domeniul securității cibernetice cu un accent în plus pe zona de monitorizare și detecția intruziunilor, pe zona de topologie și arhitectură a sistemelor, segmentarea rețelelor și tot ce înseamnă cele mai comune practici.

Strategia de protecție cibernetică și, de altfel, construcția unui întreg system informatic trebuie să pornească de la acceptarea ipotezei că la un moment dat ecosistemul IT va fi penetrat. “Assume breach!” este o teorie acceptată în comunitățile de CIO/CISO. Oricâte multe ziduri de apărare ai ridica mai devreme sau mai târziu o breșă de securitate va fi speculată de atacator. Penetrarea nu este echivalentă cu exflitrarea de date sau criptarea sistemelor.

Pornind de la această ipoteză va trebui să îți pui la punct un system de monitorizare și detecție al intruziunilor care să semnaleze anomaliile în rețea.  Mai mult, segmentarea fizică a sectoarelor IT de zona industrială OT/SCADA este de dorit  iar dacă acest lucru nu se poate realiza atunci introducerea mecanismelor de segmentare logică sau transferul prin diode de date este esențial.

Segmentarea logică a arhitecturilor de system și stabilirea traseelor logice de conectare între sisteme trebuie realizată chiar dacă este extrem de plictisitoare pentru administratori. Alte măsuri absolut banale care țin de “computer hygiene” precum schimbarea parolelor, upgrade și update periodic al sistemelor de operare sau limitarea și controlul mediior de transfer sunt esențiale.

Spre exemplu, este de neconceput pentru o infrastructură critică natională să permită accesul direct în mediul de producție industrial al mediilor USB fără ca acestea să fie sanitizate în prealabil. Dacă există norme PSI de stingere a incendiului foarte stricte tot așa ar trebui impuse prin norme reglementate sanitizarea USB -urilor înainte de folosire în mediile critice.

Există multe exemple de folosire al USB-ului ca vector de penetrare al organizației dar cel mai celebru este cazul Stuxnet din 2010 când centrala nucleară iraniană a fost atacată de către doi actori statali vectorul de penetrare fiind un stik USB. Stuxnet este considerat prima armă cibernetică din lume care a înglobat mai mult de 5 vulnerabilități de tip zero days.

O vulnerabilitate de tip “zero day” reprezintă o vulnerabilitate pe care comunitatea IT încă nu a descoperit-o. Astfel de vulnerabilități de tip “zero days” sunt folosite în atacuri sofisticate iar valoarea lor crește pe măsura complexității și a zilelor în care poate fi folosită până la descoperirea ei. Vulnerabilitățile de tip “zero days” se tranzacționeazaă pe Dark Web cu sume care pot atinge sute de mii de dolari sau chiar milionul. Un articol din Forbes descrie încă din 2012 cum funcționează o astfel de piață. (https://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/)

Un studiu al BitDefender ne arată o cifră halucinantă a sistemelor IT critice din zona industrială și nu numai, ale căror adrese IP publice erau disponibile direct din internet. Acest lucru este echivalent cu invitații deschise adresate hackerilor pentru compromiterea instalațiilor industriale. Timpul pentru a sparge o parolă simplă de 8 caractere este de ordinul secundelor iar una de 7 caractere complexă este de 6 minute.( https://www.weforum.org/agenda/2021/12/passwords-safety-cybercrime/). Un sistem IT expus direct în Internet, neprotejat și nemonitorizat este un sistem compromis din start.

Procesul de monitorizare și detecție al intruziunilor joacă un rol extrem de important în apărarea cibernetică. Pentru a se cripta întregul ecosystem IT de către atacator el trebuie înțeles de către acesta. În multe situații nici departamentul IT al unei companii răspândită geographic nu are o vizibilitate integrală asupra întregului ecosystem IT. Din acest motiv, un atacator are nevoie de timp pentru a descoperi întreaga infrastructură și vulnerabilitățile acesteia. Procesul de monitorizare constantă a infrastructurii IT ar trebui să descopere anomaliile din rețea și implicit activitatea unui criminal cybernetic care a penetrat sistemul IT.

O ală componentă a atacurilor de tip ransomware se cheamă extorcarea dublă (double – extorsion). În cadrul acestor atacuri se realizează penetrarea, exfiltrare de date sensitive și cu caracter personal și apoi criptare. De cele mai multe ori victima plătește pentru decriptarea datelor și speranța în continuarea activităților iar ulterior mai achită și o răscumpărare pentru a nu fi dezvăluite datele exfiltrare și a intra sub incidența penalităților impuse de regulamentele GDPR sau Directiva NIS.

Plata răscumpărării nu este o garanție că îți vei putea relua activitatea. 4% din companiile care plătesc ransomware nu reușesc să restaureze sistemele din diferite cauze.

Una dintre companiile românești care a suferit un atac de tip ransomware este Rompetrol. Compania a recunoscut public atacul dar încă este neclar cât de afectat este sistemul IT și nu a confirmat dacă sistemele industriale au fost criptate.

De ce sistemele de Disaster Recovery nu funcționează?

În cazul în care ești totuși victima unui atac de tip ransomware salvarea vine de la Planul de Continuitate al Afacerilor sau mai concret de la Sfântul Backup. Asta dacă nu cumva și acest plan sau acest backup a fost criptat pentru că rezida pe un server neprotejat.

O foarte mare problemă cu aceste Planuri de Continuitate (Business Continuity / Disaster Recovery) este că ele nu sunt testate corespunzător și de multe ori sunt făcute doar pe hârtie strict pentru a bifa activitatea în fața auditorilor externi.

Este interesant că periodic facem teste de stingere a incendiilor și clădiri întregi sunt evacuate pentru că ne obligă legislația, dar nu facem nici măcar un test complet de restaurare în urma unui dezastru informatic. Un astfel de test nu este responsabilitatea IT-ului ci a executivilor și al Board-ului.

O altă problemă a acestor planuri de dezastru este că ele nu iau în calcul toate posibile scenarii sau elemente cheie. Spre exemplu, compania poate fi pusă în situația de a restaura de la zero un întreg ecosystem IT dar se consideră că Domain Controller-ele sau comunicațiile sunt încă active. Cât despre plictisitoarea operațiune de testare a restaurării din backup-uri ea este de multe ori evitată.

Așadar un atac de tip ransomware poate să distrugă toate sistemele informatice ale companiei atât în zona de IT classic, cât și în zona industrială. Ca și cei de la Norsk Hydro sau Colonial Pipeline cel mai probabil îți vei putea continua activitatea doar că vei opera eminamente manual iar acest lucru este uneori imposibil. Companiile dependente de digital nu vor mai putea opera deloc.

Este responsabilitatea CEO și al Board-ul companiilor să se alinieze cu CIO și cu Managerul de Risk și să se asigure că planul de recuperare în caz de atac cibernetic este solid și funcțonează chiar și atunci când sistemele IT sunt parțial sau total criptate.

Ce sunt atacurile de tip Advanced Persistent Threat?

APT sunt atacuri în care interesul atacatorului este de a pătrunde în cadrul organizațiilor și a rămâne nedetectat o perioadă de timp cât mai lungă și de a exfiltra date. În unele situații atacurile provoacă în final distrugere.

În general, atacurile de tip APT sunt sponsorizate de către actori statali și au ca scop spionajul sau sabotajul. Un caz celebru este decuplarea parțială a sistemului energetic ucrainian de către grupări sprijinite de către Federația Rusă în 2015. În acest caz atacatorii au fost prezenți în sistemele informatice timp de nouă luni, timp în care au descoperit infrastructura și au pregătit operațiunile explozive pentru ziua atacului.

Desigur că prezența nedetectată timp de nouă luni ridică mari semne de întrebare asupra procesului de monitorizare al intruziunilor de către administratorii IT sau monitorizarea conexiunilor de la distanță. Ești la fel de bun precum instrumentele pe care le folosești, spune o vorbă în IT. Nu poți fi un inginer bun dacă nu ai sculele potrivite, iar cel mai probabil specialiștii IT din centralele electrice ucrainene nu aveau un Intrusion Detection System.

Cât de bine sunt protejate infrastructurile critice din România?

La acestă întrebare s-a răspuns întotdeauna evaziv și discret în spațiul public de către comunitatea IT și de business și de către autorități. Studiul publicat de Institutul European din România o spunea foarte tranșant în 2018 (http://ier.gov.ro/wp-content/uploads/2018/10/SPOS-2017_Studiul_4_FINAL.pdf). “Multe sisteme de apărare cibernetice utilizate de către operatori de infrastructură critică naționale sunt depășite și ineficiente în contracararea unor posibile atacuri. În absența unor măsuri adecvate de Securitate și lipsa de coordonare a apărării infrastrcturilor critice, aceste sisteme rămân extrem de vulnerabile, utilizatori neautorizați fiind capabili să preia controlul asupra sistemelor vitale ale funcționării statului.”

Îndrăznesc să presupun că situația nu s-a schimbat foarte mult din 2017 până astăzi și că infrastructurile critice naționale sunt vulnerabile în fața atacatorilor cibernetici cu toate eforturile depuse de către DNSC și CyberInt și alte autorități în domeniu.

Dacă România nu a raportat până acum atacuri cibernetice majore înseamnă că ori am respins cu succes majoritatea atacurilor ori nivelul nostru de digitalizare reflectă rușinosul penultim loc în indicele DESI (Digital Economy and Society Index). Probabil că adevărul este undeva la mijloc.

În concluzie. Criminalitatea cibernetică este un fenomen care s-a dezvoltat întotdeauna împreună cu transformarea digitală a societății și a mediului de afaceri. Aș spune că “băietii rai” au fost mai mereu cu un pas înainte. Lipsa standardelor și reglemenărilor globale din industria IT perpetuează și menține încă Internetul în zona Vestului Sălbatic.

Criminalitatea cibernetică este un domeniu în care activează grupări de crimă organizată, hackeri teribiliști, activiști sau actori statali. Țările care își dispută supremația în domeniul economic sau militar sunt și cele care și-au dezvoltat capacități de atac și apărare cibernetică. Cybersecurity este de mult integrată în strategiile militare de apărare și atac.

În contextul războiului din Ucraina, în care România a intrat pe lista țărilor neprietenoase ale Federației Ruse, orice companie privată sau publică poate devein ținta. În consecință, Board-ul și Executivii trebuie să înțeleagă această situație și să o trateze extrem de serios.

Apărarea cibernetică se realizează prin investiții, prin partenerierea cu firme specializate, prin creșterea nivelului de conștientizare al angajaților și al societății în general, printr-o strategie coordonată direct de către Board, prin planuri coerente și solide de Disaster Recovery testate și updatate periodic, prin adoptarea celor mai bune practici din domeniul securității cibernetice. În termeni de P&L costurile pentru o strategie de apărare cibernetică solidă sunt cu mult mai mici decât costul unui atac ransomware sau al unor amenzi GDPR/NIS.

Până când domeniul IT va fi reglementat trebuie să ne apărăm singuri!