Hackerii ruşi au atacat statul roman
Grupul Fancy Bear, finanţat de agenţiile secrete ruse, a forţat sistemul de securitate cibernetică a Ministerului Roman de Externe n SRI recunoaşte că o entitate publică din ţară a fost atacată n cum funcţionează virusul
Mai multe documente demonstrează că hackeri de elită, care au legături inclusiv cu executivul rus, s-au prezentat în repetate rânduri drept reprezentanţi ai NATO şi au trimis numeroase e-mailuri de tip phishing către organizaţii diplomatice din ţările europene, inclusiv către Ministerul Afacerilor Externe din România, dezvăluie CyberScoop. Experţii CyberScoop au obţinut inclusiv o copie a unui e-mail phishing, care a fost trimis de către hackerii grupului APT28 sau Fancy Bear. Acest e-mail conţine inclusiv un ataşament care profită de două vulnerabilităţi recent descoperite ale Microsoft Word. De asemenea, hackerii au reuşit cu succes să falsifice numeroase adrese de e-mail ale reprezentanţilor NATO, pentru ca mesajele să pară cât mai autentice pentru organizaţiile diplomatice din Europa.
Aceiaşi hackeri au fost învinuiţi pentru masivul atac cibernetic care a vizat e-mailurile campaniei Macron şi pentru atacurile informatice care au vizat organizaţii democratice în timpul alegerilor prezidenţiale din Statele Unite. NATO nu a comentat cu privire la acest atac, dar a explicat că hackerii încearcă constant să atace sistemele informatice ale alianţei militare.
Un asemenea e-mail a ajuns şi la Ministerul de Externe al României cu ataşamentul intitulat ”Trump's_Attack_on_Syria_English.docx”, care era un articol de presă introdus într-un document Microsoft Word. Dacă acest ataşamet este deschis pe un sistem vulnerabil, atunci poate descărca un trojan şi să exploateze două vulnerabilităţi de programare din Microsoft Word. Acest virus este descărcat local, ceea ce înseamnă că nu are nevoie de o conexiune la internet. Numit ”GameFish”, acest trojan cu acces de la distanţă este o metodă comună de hacking pentru APT28. De asemenea, acest atac cibernetic le permite hackerilor să spioneze calculatoarele şi să extragă informaţii din servere.
O analiză a e-mailurilor trimise ministerului român sugerează că victimele utilizau produse de tip antivirus dezvoltate de IronPort şi Sophos. Din păcate, niciun antivirus nu a identificat pericolul reprezentat de e-mailurile trimise de APT28. Nu există informaţii despre numărul organizaţiilor diplomatice vizate de acest atac şi în câte rânduri a dat rezultate pentru hackerii din Rusia.
SRI: Nivelul atacurilor va creşte
Centrul Naţional Cyberint, structură aflată în coordonarea SRI, a reuşit să contracareze o tentativă de atac cibernetic derulată, cel mai probabil, de APT28 / Fancy Bear, au anunţat vineri reprezentanţii SRI. Potrivit acestora, nivelul tehnologic al atacurilor cibernetice va creşte semnificativ în perioada imediat următoare, astfel că este "imperios necesară" implementarea unui cadru legislativ clar şi pragmatic, care să stabilească atribuţii şi responsabilităţi concrete în acest domeniu la nivel naţional.
Purtătorul de cuvânt al SRI, Ovidiu Marincea, a declarat, vineri, că a fost identificată o tentativă de atac cibernetic la adresa unei instituţii guvernamentale din România, derulată, cel mai probabil, de "actori asociaţi anterior cu alte incidente de acest tip". Conform sursei citate, această tentativă de atac nu reprezintă o noutate. Zilnic, mii de atacuri cibernetice vizează instituţii, entităţi şi persoane din spaţiul virtual, iar România nu reprezintă o excepţie.
O organizaţie misterioasă
Fancy Bear este cunoscut de mulţi ani şi îi sunt atribuite multe atacuri, bănuindu-se că ar fi finanţat de Armata Federaţiei Ruse. Grupul foloseşte metode sofisticate şi este bănuit că ar fi atacat ţinte din Georgia, din Ucraina, din diverse ţări NATO şi, cel mai recent a avut în vizor campania lui Emmanuel Macron. Numele grupului a fost legat şi de atacurile cibernetice asupra partidului Democrat din SUA.
Grupul de hackeri în cauză ar fi luat fiinţă acum aproape un deceniu, iar surse din serviciile secrete americane cred că acest grup lucrează în slujba agenţiei militare de securitate GRU din Rusia. Trebuie precizat că atribuirea atacurilor informatice este în general dificilă, cu atat mai mult cand avem de-a face cu grupuri atat de sofisticate finanţate de un stat mare. Despre Fancy Bear se scria la final de 2016 că ar fi urmărit fiecare mişcare a artileriei armatei din Ucraina datorită unui malware care a infectat telefoanele cu Android ale soldaţilor.
Numele a fost creat de Dmitri Alperovitch, co-fondator al CrowdStrike. Numele Bear se referă la faptul că grupul este din Rusia. Grupul mai este cunoscut sub nume precum APT28, Pawn Storm şi Sofacy.
Foarte recent se bănuieşte că hackerii din Fancy Bear au atacat echipa de campanie a lui Emmanuel Macron. Tot în acest an a atacat Federaţia Internaţională de Atletism, iar anul trecut a publicat dosare confidenţiale ale Federaţiei Mondiale Antidoping. Aceste atacuri vin ca reacţie la faptul că zeci de atleţi ruşi au fost suspendaţi fiindcă s-au dopat. Se bănuieşte că acest grup ar fi iniţiat atacuri cibernetice asupra site-ului Parlamentului German, asupra Georgiei, dar şi asupra televiziunii TV5 Monde.
Într-un raport recent al companiei de securitate Trend Micro se menţionează faptul că, deşi cei de la Fancy Bear acţionează de un deceniu, în ultimii doi ultimii ani atacurile au devenit mai sofisticate, iar ţintele sunt de calibru. Grupul acţionează prin atacuri de phishing, fură informaţii şi apoi se foloseşte de ele pentru a manipula opinia publică şi desfăşurarea unor evenimente.
