Sari direct la conținut

Alexandru “Jay” Bălan (Bitdefender), despre războiul cibernetic din Ucraina: Potențialul destructiv al hacking-ului contează mai puțin decât capacitatea de a obține informații-cheie

HotNews.ro
Alexandru Jay Balan, Foto: Hotnews
Alexandru Jay Balan, Foto: Hotnews

Există două paliere pe care războiul cibernetic între Ucraina și Rusia are loc în prezent, spune expertul în securitate Alex „Jay” Bălan, cu o experiență de peste 20 de ani în acest business și Director pentru Security Research la Bitdefender. Primul palier e cel al implicării benevole, descentralizate, și cel al agențiilor de intelligence. Metodele și rezultatele sunt diferite.

Hacktiviștii se ocupă mai ales cu site defacing (distrugerea de site-uri) și sustrag baze de date de pe servere, după care își publică acțiunile pe rețele ca Twitter. Comunitatea de intelligence recurge la metode mai subtile, ca Advanced Persistent Threats. Alex Bălan spune că în cazul lor scopul firesc e obținerea de informații, mai degrabă decât acțiunile destructive, și astfel de acțiuni rămân secrete.

Principalele idei:

  • Numărul de atacuri a crescut în primul rând în zona de phishing și scam-uri, la fel ca la orice eveniment global de proporții. Au apărut site-uri care fură datele cardurilor sub pretextul unei donații pentru Ucraina, fiindcă 99% din hackerii globali urmăresc beneficii financiare și nu de altă natură.
  • Au apărut și atacurile destructive, sub forma programelor care distrug datele, deși par ransomware, adică ar solicita bani în schimbul decriptării datelor.
  • A reapărut Low Orbit Ion Cannon, care implică utilizatorii obișnuiți în atacurile unor site-uri, prin deschiderea și păstrarea deschisă a unei pagini.
  • O performanță ieșită din comun a fost hackingul sistemului de televiziune cu circuit închis al Kremlinului, revendicat de Anonymous.
  • În momentul de față, datele disponibile sunt mult mai multe decât capacitatea de analiză privată, spre deosebire de Wikileaks sau Panama Papers.
  • Cele mai vulnerabile la atacuri par în momentul de față bazele de date de tip Elasticsearch și bucket-urile Amazon S3.
  • Ingineria socială e și ea prezentă, iar ținta cea mai ușoară sunt oamenii din departamentele de suport ale companiilor, care sunt prost plătiți și lucrează descentralizat. Ei pot oferi privilegii înalte de acces în rețelele interne, prin softuri ca TeamViewer.
  • Războiul din Ucraina creează un risc de securitate crescut pentru utilizatorul obișnuit din Europa, fiindcă hackerii pro-ruși ar putea avea ca scop obținerea pură și simplă de bani, dată fiind starea proastă a economiei rusești, generată de sancțiunile Occidentului. E un lucru pe care Coreea de Nord îl face deja.
  • În materie de intelligence, statele occidentale nu își creează „armate” guvernamentale de hackeri, ci mai degrabă colaborează cu companii private.

Cum merg afacerile în materie de cybersecuritate acum, de când cu războiul cu Ucraina?

Și noi, la fel ca toată lumea, suntem pur și simplu oripilați de ceea ce se întâmplă. E foarte apăsător. E foarte apăsător, fiindcă trebuie să te gândești ce poți face și tu. Și încercăm să ne asigurăm că orice-am face, nu pare o cascadorie de PR. Ăsta e un lucru ciudat, în efortul pe care încercăm să îl facem.

Povestește-mi despre atacurile informatice legate direct sau indirect de războiul din Ucraina.

Cu siguranță, numărul de atacuri a crescut. Oricând are loc un eveniment de proporții, numărul de atacuri crește, pur și simplu prin oportunitatea creată de acel eveniment. Cresc mai ales scam-urile și fraudele. În cazul de față, fraudele arată în felul următor: „Vrei să ajuți Ucraina? Dă clic aici!” Și ajungi pe un site de phishing, care îți ia datele cardului. Ăsta e cel mai simplu tip de atac. Când a apărut COVID-ul, a existat ceva numit Coronavirus map. De fapt, era un virus care subtiliza parole. Toată lumea căuta o hartă a Coronavirusului, la început, dar așa ceva nu exista. Hackerul respectiv a folosit pur și simplu ceva de genul Google SEO.

Ăsta e genul de lucru care se întâmplă la fiecare eveniment major. Dar în cazul Ucrainei, am văzut și atacuri care arată diferit. De pildă, legat de cea mai comună categorie de malware, care e ransomware. Genul de soft care îți criptează datele din calculator, după care îți cere bani ca să le decripteze. Ceea ce am găsit a fost însă un virus care nu decripta datele. Simula doar faptul că le va decripta. Deci se pretindea ransomware, dar nu făcea decât să distrugă datele.

Îți lua banii, dar distrugea datele?

Nu, nici măcar nu solicita bani. Ne-am uitat la wallets, nu erau bani în ele, și asta e interesant, fiindcă în materie de crimă informatică, principalul motivator sunt banii. Și dacă banii nu trec dintr-o mână într-alta și virusul nu face decât să îți distrugă computerul, asta exclude 99% din hackerii de pe planeta asta. Ceea ce ne pune în fața unor entități care n-au dorințe legate de bani, ci doar dorința de a distruge sisteme.

Arată ca un ransomware care a fost adaptat în grabă ca să distrugă. Dar, orice-ar fi, acest gen de lucruri e mai apropiat de război decât frauda.

Da, în mare măsură. Un alt lucru interesant pe care l-am văzut sunt noi tipuri de malware. E vorba de ceea ce numim APT-uri. APT vine de la Advanced Persistent Threat, amenințare persistentă avansată. E un tip de malware care nu poate fi detectat. De regulă e format din câteva componente mici, răspândite într-o infrastructură, care se unesc într-un singur component și acționează timp de câteva ore sau câteva minute, îți fură datele și le trimite undeva. Iar acum se petrece o creștere clară în materie de astfel de amenințări.

Hacktiviștii și tunurile lor de orbită joasă

Cine creează acest gen de malware și de ce?

Din punctul meu de vedere, sunt două tipuri de război tehnologic, legat de Ucraina în general. Primul e un război informațional. Care constă în a împinge un mesaj pe diferite canale. Propagandă, în esență. Iar asta se întâmplă de ambele părți, chiar dacă în moduri foarte diferite. Iar al doilea tip de război e propriu-zis cyberwar, război cibernetic. E vorba de grupuri sau persoane care încearcă să distrugă, să infecteze sau să acceseze sisteme. Fiindcă simpatizăm Ucraina, am văzut o serie întreagă de hacktiviști care atacă sisteme rusești. Un lucru oarecum ieșit din comun e că am asistat chiar la renașterea așa-numitului Low Orbit Ion Cannon.

Povestește-ne despre el.

Low Orbit Ion Cannon a fost folosit cam acum 15 ani, de LulzSec, un grup asociat cu Anonymous. În esență, e un site pe care îl poți găzdui oriunde. Dacă cineva îl deschide, începe să atace o țintă. Hackerii promovează mesaje emoționale, cum ar fi: „Vrei să susții Ucraina?” sau „Ajută-ne să atacăm Rusia. Tot ce ai de făcut e să deschizi această pagină pe mobil sau pe calculator și să o lași deschisă.” Când telefonul tău accesează pagina, începe să atace un site. Și la un număr suficient de oameni – în cazul de care vorbesc era vorba de aproximativ 300 de mii – imaginează-ți că fiecare telefon trimite ceva de genul a 100 de Megabiți pe secundă către țintă. Și imaginează-ți 300 de mii de telefoane făcând asta.

E similar cu DDoS, nu? Distributed denial of service, adică inundarea unei ținte cu cantități mari de date din mai multe surse, care o blochează.

Da. Dar partea mai rea e că oamenii nu își dau seama ce fac, atunci când deschid pagina. Pagina începe să atace efectiv un site și asta creează o problemă cu legea.

Pentru că cel care deschide pagina o face. Împreună cu alții.

Da, el devine sursa atacului.

Asta ar fi diferența față de DDoS clasic, lipsa de intenție sau neștiința. Atacurile de acest tip vin de regulă de pe calculatoarele hackerilor, sub o formă sau alta.

Și ele continuă, cred. Așa că atenție, dacă vedeți un site care spune „Ajutați-ne să atacăm Rusia, e suficient să deschideți această pagină”. Dacă o deschideți, deveniți sursa atacului. Dar ar mai fi ceva. Sistemul de televiziune cu circuit închis al Kremlinului a fost hăckerit recent. Ceea ce e neobișnuit în materie de abilitate. Nu avem prea multe informații despre felul cum au făcut-o, dar presupunerea mea e că au găsit o interfață de management a sistemului și au folosit o vulnerabilitate în sistem, fiindcă sistemele de acest fel au destule.

Hackerii hardcore și metodele lor de tip APT

Anonymous a publicat un video cu imagini din interiorul Kremlinului. Probabil s-a întâmplat deoarece camerele de supraveghere sunt Internet of Things, care e mai puțin protejat decât calculatoarele clasice.

Da. Ca să sumarizăm, în acest punct știm multe despre atacurile împotriva Rusiei, fiindcă toată lumea le postează pe Twitter și se laudă cu ele. Însă știm mai puține despre atacurile Rusiei împotriva altora. Ei nu se laudă. Și chiar dacă găsești un fișier de malware care vine de pe un IP rusesc și vezi caractere chirilice în cod după ce dezasamblezi fișierul, deci pare a fi din Rusia, e încă greu să faci atribuirea. Fiindcă toate aceste indicii nu sunt suficiente ca să ai certitudinea de sută la sută că e o sursă rusească.

Fișierul ar fi putut fi plantat de altcineva pe un server rusesc. La fel și comentariile în rusă în fișier.

Da. Cam asta se întâmplă în zona de cybersecuritate a războiului. Dar cred că zona cea mai importantă e războiul informațional. Sau de propagandă.

Presupun că și ceea ce fac hackerii ruși ar putea apărea pe anumite canale, dar nu pe platformele noastre sau în limbi pe care le cunoaștem. Dar, într-adevăr, știrile despre site-uri care au suferit defacing și accesări ale bazelor de date din servere rusești sunt foarte multe. Există experți în securitate care spun că acest gen de hacking e unul destul de simplu și contează doar în termeni simbolici. Cât de buni sunt, de fapt, hackerii angrenați în conflict? Cine ce face, cu alte cuvinte?

Depinde ce scopuri ai. Hackerii hardcore plantează APT-urile despre care vorbeam mai devreme. Stau în infrastructură cu lunile, sau chiar cu anii, fără să fie detectați. Și din cauza Internet of Things, pot fi pe o imprimantă, într-o cameră de supraveghere, ca să găsească un backdoor într-un sistem de operare. E dificil ca ei să fie găsiți de cineva. Cred că în astfel de acțiuni, scopul ultim e să obții informații. Problema e însă că nimeni nu citește documentele. Nu e Wikileaks, când documentele furate au fost folosite pentru a dezvălui ceva. Atunci, media a venit și a spus: am citit acest lucru în Wikileaks. Sau Panama Papers. Am citit că acestă companie are un cont offshore și așa mai departe. Scurgerile de acum se întâmplă prea repede. Chiar acum am în față, pe ecran, toți angajații televiziunii ruse de stat, toate email-urile din infrastructura televiziunii. E cool, dar eu nu știu rusește. O să mă uit și-atât. 90 de mii de email-uri și 4.000 de fișiere de la televiziunea rusă. S-ar putea să fie ceva revoluționar acolo. Singura problemă e că nimeni nu investighează ce.

Vulnerabilitățile: bazele Elasticsearch și bucket-urile Amazon S3

Cineva va investiga, probabil. Și va ieși sau nu va ieși public cu ceea ce a găsit. E adevărat că Wikileaks nu ar fi fost nimic fără implicarea media tradițională, cu care au avut parteneriate. În mod ironic, asta contrazice teoria lui Assange despre „adevărul necenzurat”. „Adevărul necenzurat” e o stivă uriașă de date, pe care nimeni, la nivelul unui public normal, nu o poate interpreta. Însă spune-mi mai multe despre metodele și intențiile hackerilor anti-ruși.

E un grad mare de probabilitate că toate aceste arhive de date au apărut din cauza infrastructurilor Elasticsearch. Elasticsearch e un gen de bază de date foarte bine structurată, care îți permite să faci interogări în structuri de date foarte mari. Căutați pe Google „elasticsearch data leak”, o să vedeți că o mulțime de companii au suferit leak-uri masive din cauza unor interfețe Elasticsearch expuse. Cam același lucru se întâmplă și cu bucket-urile Amazon S3.

Să spunem că bucket-urile Amazon S3 sunt containere de date create în Cloud. Presupun că ceea ce spui se referă la hackerii mai avansați.

În multe alte cazuri, e vorba pur și simplu de o interfață cu parole slabe. Care e foarte ușor de spart prin atacuri brute force. Chiar dacă în unele cazuri e nevoie de mai multă creativitate. Dar mai sunt și altele. Așa cum s-a întâmplat deja, ajunge să plătești pe cineva ca să ai acces la un computer din rețeaua internă. Și la ceea ce se întâmplă acum în Rusia, nu cred că toată lumea va rezista unei oferte de 20.000 de dolari numai pentru acces prin TeamViewer pe computerul respectiv.

Ingineria socială și departamentele de suport

TeamViewer e un soft care permite controlul total al unui computer aflat la distanță. Poți vedea și folosi desktopul altcuiva ca și cum ar fi al tău. Aș spune că genul acesta de hack e inginerie socială.

Da. Și se întâmplă, așa că dacă vă preocupă securitatea, ar trebui să îl aveți în vedere, fiindcă vi s-ar putea întâmpla și vouă. De obicei, cei mai targetați oameni dintr-o companie sunt cei din suport. Foarte adesea, ei sunt printre cei mai prost plătiți și au extrem de multe privilegii de acces. Trebuie să interacționeze cu datele clienților. Trebuie să îți deschidă contul, să ți-l închidă, să ți-l modifice… deci pot vedea toți clienții unei companii.

E cam ca privilegiile de administrator, dar fără controlul rețelei propriu-zise.

Oamenii aceștia, de la suport, sunt țintele cele mai ușoare. Cu TeamViewer sau ceva similar, poți accesa orice poate accesa persoana respectivă în rețeaua internă. Și oamenii de la suport pot accesa atâtea lucruri!

Să precizăm că așa-numitul suport e o categorie de client service cu accent pe aspectele tehnice.

Da. Și n-ai decât să te duci pe LinkedIn și să vezi cine lucrează acolo, să îi contactezi și să le spui: „Am oferta asta pentru tine.”

Și cum departamentele de client service sunt masive, multe lucrează descentralizat, de acasă, mai ales de la pandemie încoace. E mult mai ușor pentru cineva să facă acest gen de lucru de acasă, nimeni nu se uită în ecranul lui. Deci lucrul la distanță se dovedește a fi o vulnerabilitate.

Da, cu siguranță. Dar există un milion de moduri în care poți fi hăckerit. Singurul lucru pe care trebuie să-l ai în vedere e că nu știi toate modurile în care ai putea fi hăckerit. Și să te împaci cu treaba asta.

Războiul cibernetic ca război de pradă. Riscurile pentru utilizatorii români

Crezi că ceea ce se întâmplă în Ucraina, ce fac hackerii ruși fără ca noi să știm, reprezintă un risc de securitate pentru utilizatorul de computer obișnuit din Europa?

Păi, un lucru de care vor avea nevoie sunt banii. Deci mă aștept ca Rusia să-i caute undeva. Există de pildă un grup pe nume Conti , care s-a declarat de partea Rusiei la începutul războiului. Vor începe campanii tot mai agresive de ransomware.

Așa cum spuneai, ransomware-ul e business-ul de bază în hacking, în aceste zile.

Da, gândește-te: e o industrie cam de 13 miliarde de dolari pe an. Și dacă prinzi un pește mare, cum ar fi Colonial Pipeline, poți obține 40 de milioane de dolari dintr-o lovitură. Ceea ce-mi amintește de faptul că povestea asta se întâmplă deja cu Coreea de Nord. Coreea de Nord face o mulțime de bani, de care are nevoie se pare, din ransomware. Așa că vom vedea o creștere de astfel de lucruri, fiindcă presupun că rușii au nevoie de bani și e un mod de a face bani rapid.

Deci va exista și o componentă economică importantă în acest război, mai apropiată de Antichitate sau Evul Mediu, când o țară ataca o alta în primul rând pentru a o prăda. Hai să vorbim puțin despre ceea ce poți distruge prin hacking. Exemplul notoriu e al grilei energetice a Ucrainei, care a fost hăckerită în 2015.

Trebuie să înțelegi că în multe privințe, atacurile împotriva Rusiei sunt rezultatul unor grupuri neorganizate. Sunt oameni care își spun: „O să hăckeresc orice pot să hăckeresc.” Iar apoi postează pe Twitter și toată treaba asta se adaugă la grămada de site-uri deja hăckerite în Rusia. Dar e foarte probabil ca aceste site-uri să fi fost la pământ în termeni de securitate oricum. Nu toate, dar destule. Deci ceea ce se întâmplă e destul de dezorganizat. Dacă, dimpotrivă, pleci de la ideea că ai un obiectiv, trebuie să faci asta și asta, trebuie să-ți pui probleme: de ce vreau să opresc rețeaua de electricitate? Când vreau s-o opresc? Deci trebuie să-ți faci un plan. Există sisteme colaterale cu grila? E izolată? Trebuie să pivotezi de pe un alt sistem pe sistemul respectiv? Deci nu prea cred că o să vedem grile energetice hăckerite prea curând. Nu cred că are rost. Nu înseamnă decât distrugere.

Totuși, creează teamă și anxietate. Am citit știri despre sprijinul oferit ucrainenilor de comunitate occidentală de intelligence și de companiile occidentale, care securizează sistemele de felul ăsta, elimină APT-urile și așa mai departe. Microsoft a fost în Ucraina cu scopuri de felul ăsta.

Nu sunt sigur că teama contează foarte tare. Nici hack-ul Colonial Pipeline nu a creat teamă. Oamenii nu erau speriați, ci supărați. Nu credeau că se va întâmpla din nou. După care au dat banii. Dar asta s-a întâmplat din alte motive, nu fiindcă le era frică de hackeri.

Cu ce s-ar putea ocupa hackerii din zona de intelligence

Deci o mare parte a războiului informatic e descentralizată și aleatorie, cel puțin la nivelul implicării private. Dar comunitatea de intelligence? Ea are un nivel diferite de abilități și o abordare diferită.

Dacă aș fi în comunitatea de intelligence, de oricare dintre părți, m-aș concentra pe culegerea de informații. Deci obiectivul meu ar fi să mă conectez la rețelele celorlalți, la sistemele și comunicațiile lor, și să extrag informațiile respective.

Și ai rămâne cât de discret ai putea. Fără să te lauzi pe Twitter.

Da. Obiectivul meu n-ar fi să opresc sisteme, decât dacă ar exista o necesitate directă ca aceste sisteme să fie oprite. Dar în rest, m-aș concentra pe culegerea de informații, căutând backdoor-uri pe cât mai multe calculatoare, aș recolta toate comunicările, email-urile și mesajele de chat ale celorlalți.

Americanii au fost foarte activi la nivel politic, public, au formulat avertizări vocale. Dar colaborarea dintre SUA și Marea Britanie e de notorietate, pe toate palierele militare. Și Marea Britanie are și un buget uriaș de apărare. Ceea ce mă duce la următoarea întrebare: crezi că războiul din Ucraina va crea o mulțime de locuri de muncă de hacker white hat, de partea bună? Mă gândesc la felul cum s-a mărit și și-a crescut bugetele FBI-ul după 11 septembrie 2001. Vor apărea departamente mari de analiști? Fiindcă ai nevoie de mai mulți oameni ca să analizezi informația decât ca s-o obții. Poate că vom vedea o armă nouă, cum avem acum aviația sau marina militară.

Nu neapărat. Un lucru care s-a întâmplat după 11 septembrie 2001 a fost o cooperare mai strânsă între stat și sectorul privat, în această zonă. Guvernul a cerut ajutorul sectorului privat pentru culegerea de intelligence, pentru investigații și analiză judiciară. Multe din aceste lucruri s-au întâmplat ca urmare a ceea ce s-a întâmplat pe 11 septembrie. Iar acum toate sunt la locul lor din acest punct de vedere. În mod special cooperarea dintre guverne și sectorul privat. Stăm bine, cel puțin la nivel global. Suntem acolo unde ar trebui să fim. De altfel, nu e niciun secret că Bitdefender, compania pe care o reprezint, are o colaborare cu Directoratul Național de Securitate Cibernetică, în problema riscurilor de securitate legate de Ucraina. Am anunțat-o transparent.

Ecosistemul firmelor care colaborează cu armata și serviciile de intelligence

Deci 11 septembrie a mărit bugetele și organigramele agențiilor clasice, dar nu și sectorul de stat cyberdefense. Să vorbim atunci despre companiile private care se implică în asta. Sunt mai ales companii clasice, ca Microsoft, pe care am dat-o ca exemplu, sau companii cu totul noi, care au un obiect de activitate specific și formează un ecosistem nou?

Aici trebuie să luăm în considerare două lucruri. Primul și cel mai important e încrederea. Nu poți lucra cu un guvern dacă nu prezinți încredere, dacă n-ai toate certificările, nivelurile de clearance și așa mai departe. Iar al doilea lucru e nivelul de competență. Care sunt abilitățile tale? Microsoft are un departament foarte bun de securitate. Există și alte companii, care cu siguranță au departamente de investigare și mai bune, care colaborează cu agențiile guvernamentale, ca să obțină și să înțeleagă ceea ce se întâmplă pe Internet. Există multe companii care monitorizează constant Deep Web. Deci, dacă o companie întrunește aceste două criterii, i se va solicita ajutorul.

Companiile deja existente ar avea un ușor avantaj, aș spune, fiindcă pot trece de nivelurile de clearance pe baza reputației bune deja existente, aș spune. Dar asta nu exclude deloc jucătorii noi sau un nou ecosistem. Pare ceva ce va întări foarte tare poziția unei companii, în orice caz. Va avea o astfel de companie mai multă forță de leverage, se va implica activ în politică? Un exemplu foarte timpuriu de care îmi amintesc e faptul că Twitter avea programată o zi de mentenanță în 2009, în timpul protestelor din Iran. Departamentul de Stat i-a contactat atunci și le-a cerut să amâne mentenanța, pentru ca protestatarii să poată folosi platforma. Twitter a făcut-o. N-a răsturnat regimul din Iran, dar s-a implicat activ în politică.

Așa s-a întâmplat și cu revoluția împotriva lui Hosni Mubarak. Mi-amintesc că noi – comunitatea de cybersecuritate – le-am furnizat atunci noduri VPN, am trimis modemuri în Egipt. Platformele de felul Twitter erau esențiale pentru ei, pentru a se putea face auziți. A fost cool, de fapt. Susțin fără rezerve acest mod de folosire a tehnologiei.

ARHIVĂ COMENTARII
INTERVIURILE HotNews.ro