Șeful centrului Cyberint din SRI, generalul Anton Rog, spune că toate cele 3 servicii de informații ale Rusiei au atacat cibernetic instituții din România, după declanșarea invaziei lui Vladimir Putin în Ucraina. Șeful Cyberint nu a precizat cum a răspuns SRI atacurilor, dar a explicat că malware-ul folosit rămâne în sistem mult timp și are metode extrem de inovative de a fura date. Declarațiile au fost făcute pentru canalul StakeBorg de pe YouTube.
„Toate cele 3 servicii de informații din Rusia, FSB, GRU și SVR, au atacat instituții importante din Guvernul României cu un malware complex de tip Advanced Persistent Threat (APT). E un malware care nu face zgomot, care rămâne foarte mult în rețele, care are niște metode extrem de inovative de a fura date și care stă acolo pentru foarte mult timp”, a spus Anton Rog.
FSB este serviciul de informații interne al Rusiei, SVR, cel de informații externe, iar GRU este serviciul de informații al armatei.
„Până să înceapă războiul din Ucraina, erau două servicii care ne bâzâiau într-una – GRU cu APT28 și FSB, cu un malware mult mai complex. GRU e mai zgomotos, e de la armată. FSB e mai stilat și cu un malware mai complex. De când a început războiul, a venit și SVR, cu APT29. Advanced Persistent Threat este o grupare de criminalitate cibernetică finanțată și coordonată de un serviciu de informații, de statul respectiv. Noi îl numim în limbaj de lemn actor statal”, a afirmat el.
„Ca să poți da denumirea asta, trebuie să faci atribuirea. E un proces prin care eu reușesc să dovedesc că malware-ul respectiv este similar în proporție de 95% cu un alt malware pe care îl am de la parteneri sau de la atribuirea anterioară, că modus operandi – cum a intrat în rețea, ce face în rețea, cum fură datele, cum face mișcări laterale – e similar cu ce știu despre un serviciu de informații care îl coordonează. Sau, dacă sunt foarte bun, pot să caut fluxul de bani pe care guvernul respectiv, prin diverse mijloace, l-a împins către grupare pentru a o finanța. Sau, dacă sunt și mai bun și penetrez în sistemele lor, pot să văd clădirile din care lucrează, pot să îi filmez când fac atacuri, pot să arăt că în încăpere era un individ care, după face recognition, e un ofițer de informații. Dar acolo trebuie să fii printre cei mai buni dintre cei mai buni”, a explicat Rog.
„Cel mai des facem atribuiri tehnice, adică analizăm malware-ul, analizăm modus operandi și dăm un procent din care spunem gradul de similaritate. Lucrul cel mai complicat din punctul ăsta de vedere este atribuirea. Am ajuns ca într-o instituție a statului român aceste 3 servicii să lucreze concurențial, să fie toate 3 acolo în același timp cu APT-uri”, a mai spus generalul.
El a precizat că este vorba despre un minister din Guvernul României din care toate serviciile de informații rusești încearcă să fure date. Rog spune că malware-urile fură date cu ajutorul unor fotografii sau filmulețe le postează pe Internet de pe calculatorul de serviciu, la care atașează date.
„Fotografiile și filmulețele se deschid în continuare, pot fi vizualizate, dacă ești experimentat vezi că au o dimensiune mai mare decât în mod normal, dar ăsta e singurul indiciu. Și în felul ăsta se trimit poze spre diverse conturi și cu ele pleacă și datele. E aproape imposibil să-ți dai seama. Mai mult, când ajung actorii ruși, dar nu numai ruși, ci și chinezi, să penetreze o rețea, fac și administrarea rețelei, adică o optimizează ca totul să funcționeze bine, să fie în normalitate. Și calitatea administrării lor e mai bună decât a administratorilor locali. Scopul e să rămână sub radar, pentru că aici discutăm despre spionaj cibernetic”, a explicat generalul SRI.
Adina Silav