Ciberatacurile pro-ruse împotriva Spaniei după promisiunea lui Sánchez de a trimite 1.000 de milioane Ucrainei pe an

Președintele Guvernului, Pedro Sánchez, s-a întâlnit la Kiev cu omologul său ucrainean pe 24 februarie. Acolo a anunțat ajutoare în valoare de 1 miliard de euro anual timp de un deceniu pentru a sprijini efortul de război al țării. Două zile după întâlnire, s-a declanșat o campanie de ciberatacuri împotriva unor ținte instituționale și de afaceri spaniole care este încă activă. Intruziunile au fost revendicate de grupuri de hackeri ruși și se înscriu în ceea ce Sánchez a numit războiul hibrid susținut de Moscova împotriva țărilor UE. ”Prin aceste atacuri vrem să spunem guvernului spaniol să nu mai sprijine Ucraina. Dacă acest lucru nu se întâmplă, vom trece la site-urile guvernamentale. Și, de asemenea, la marile companii”, a publicat grupul de hackeri ruși TwoNet într-un grup de Telegram pe 3 martie. Printre victimele care au confirmat că sunt sau ale căror intruziuni au fost identificate de comunitatea hackerilor se numără primării, consilii provinciale, consilii ale comunităților autonome și ministere precum cele ale Internelor, Apărării, Externe sau Incluziunii, Securității Sociale și Migrației. Centrul Criptologic Național (CCN-CERT), Statul Major al Apărării (EMAD) sau Departamentul de Securitate Națională au fost, de asemenea, atacate, la fel ca La Moncloa, Casa Regală, fundații precum Real Instituto Elcano sau Cidob, companii precum El Corte Inglés sau Legálitas și instituții media precum Newtral.

Amestecul de obiective nu este întâmplător: se combină atacuri asupra sistemelor prezumtiv slab apărate, cum ar fi cele ale primăriilor sau consiliilor provinciale, cu cele ale instituțiilor mai reprezentative ale puterii suverane (Moncloa, Apărare, Interne sau CCN). ”Aceste ciberatacuri caută notorietate și creează senzația că suntem neprotejați”, susține Marcelino Madrigal, expert în rețele și securitate cibernetică.

Mai multe informații

Alejandro Cáceres, hackerul care a lăsat Coreea de Nord fără internet de acasă: ”Atacul meu a fost un răspuns la încercarea lor de a mă spiona”

Majoritatea ciberatacurilor înregistrate în ultimele trei săptămâni (cel puțin 70, conform surselor consultate) sunt de tipul atacurilor distribuite de refuz al serviciului (DDoS), care constau în saturarea sistemelor prin bombardarea serverelor cu un val de cereri. ”Odată căzute, atacatorii fac o captură de ecran ca dovadă a succesului lor și o expun ca pe un trofeu”, subliniază Hervé Lambert, director de operațiuni globale la Panda Security. Această varietate de ciberatacuri, de complexitate tehnică foarte scăzută, reușește să întrerupă serviciile sistemelor țintă, deși nu șterg date. ”În general, ceea ce am văzut sunt întreruperi punctuale și scurte, care nu au avut nici consecințe de durată asupra funcționării”, arată surse de la Institutul Național de Securitate Cibernetică (Incibe).

Grupuri autonome sau coordonate?

Au fost identificate cel puțin șapte grupuri de hackeri legate de Rusia ca autori ai campaniei de ciberatacuri. Printre cele mai active se numără TwoNet sau NoName057, dar au participat și altele, precum People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet sau Z-Pentest. ”Deși nu se poate confirma cu certitudine, probabil sunt legate într-un fel sau altul de guvernul rus și de interesele sale”, asigură José Rosell, director general al S2Grupo. Este aproape imposibil să atribui originea unui ciberatac dacă cel care îl comite are suficiente cunoștințe tehnice și vrea să treacă neobservat. De aceea, multe guverne recurg neoficial la arena cibernetică pentru a efectua acțiuni de sabotaj.

Puțin se știe despre echipele de hackeri ruși implicate în campania împotriva Spaniei, dincolo de dăruirea lor auto-revendicată pentru o cauză comună (apărarea intereselor Rusiei) și de faptul că comunică între ei prin Telegram, populara aplicație de mesagerie instantanee de origine rusă. Folosesc acel canal pentru a-și difuza comunicatele și a-și indica obiectivele prin apeluri la care se pot alătura hackeri autonomi. Sunt operaționale de la începutul războiului, deși în ultimele săptămâni și-au sporit considerabil activitatea. ”Nu ar trebui să se exagereze aceste atacuri, care sunt mai degrabă de rutină. Au o componentă ridicată de propagandă”, spun pentru acest ziar surse de la CCN-CERT.

Curios, la aceste grupuri de hackeri ruși s-au alăturat și altele de origine diferită, precum Mr Hamza, din Algeria; un grup hacktivist islamic din Malaezia, Dxploit, sau grupul antiisraelian Dark Storm, care și-a asumat săptămâna aceasta un ciberatac care a afectat X. ”Mă surprinde faptul că Dark Storm și-a intensificat activitatea în Spania în ultima săptămână, exact când o fac și grupurile rusești. Este foarte greu de știut dacă este vorba de coincidență, oportunism sau coordonare”, spune David Arroyo Guardeño, cercetător principal al grupului Cibersecuritate și Protecția Confidențialității de la CSIC.

La acest cocktail trebuie adăugate grupuri pro-ruse situate în Spania, care difuzează comunicatele hackerilor și le sprijină munca. ”Există multe canale de dezinformare pro-ruse care sunt aceleași care se declară anti-Agenda 2030, care au participat la tractorade sau care au difuzat propagandă anti-vaccin în timpul pandemiei. Pare clar că sunt celule permanente care caută să facă zgomot și să destabilizeze Guvernul”, anticipează Madrigal.

Război hibrid

”Atacurile DDoS sunt enervante, dar nu produc daune mari”, subliniază Madrigal. Și adaugă: ”Aceste campanii sunt folosite și pentru a sonda nivelul de securitate pe care îl are o victimă în vederea unor atacuri viitoare”. Aceasta este, tocmai, una dintre necunoscutele care înconjoară ciberatacurile pe care le suferă Spania: dacă intensitatea lor se va disipa odată cu trecerea timpului sau dacă sunt prolegomena a ceva mai mare care urmează să vină. Concentrat în ultimele zile pe argumentarea motivului pentru care Spania trebuie să-și mărească cheltuielile militare, președintele Guvernului a înscris această campanie în așa-numitul război hibrid susținut de Moscova împotriva unei bune părți a UE. ”Am avut săptămâna trecută un ciberatac care venea din Rusia”, a recunoscut președintele miercuri la Helsinki după ce s-a întâlnit cu omologul său finlandez, Petteri Orpo. ”Este important să ne confruntăm cu o dezbatere fundamentală [despre creșterea cheltuielilor militare]”, a spus el.

”Atacurile DDoS sunt uneori folosite ca o cortină de fum pentru a acoperi operațiuni mai dăunătoare”, adaugă Lambert. ”Distrăgând atenția tehnicienilor pentru a repara căderea vizibilă, atacatorii ar putea profita de distragere pentru a se infiltra pe o altă cale, pentru a fura date sensibile sau pentru a implanta malware [cod malițios] fără a fi detectați”.

Această a doua sarcină, mai sofisticată, ar reveni unei alte modalități de hackeri: așa-numitele amenințări persistente avansate (APT), echipe sponsorizate de țări compuse din profesioniști cu capacități echivalente cu cele ale serviciilor secrete. ”Rusia are grupuri de ciber-spionaj militar extrem de sofisticate, precum APT28 (Fancy Bear) și APT29 (Cozy Bear) – de la SVR, informații externe –, care au fost active asupra unor ținte spaniole”, abundă Lambert. Acest expert amintește că, în 2023, APT28 a fost acuzat că a lansat campanii de phishing (uzurpare de identitate prin comunicații frauduloase) împotriva companiilor din industria de apărare spaniolă, precum Navantia, pentru a fura acreditări și date tehnologice sensibile. Același grup ar fi atacat în acel an rețele interne ale ministerelor spaniole, conform rapoartelor CNI. La rândul său, APT29 a reușit, de asemenea, în 2023, să acceseze servicii în cloud din sectorul public spaniol prin e-mailuri compromise trimise de la ambasade.

”Atacurile DDoS recente din Spania au fost, în principal, un act de război cibernetic de nivel scăzut și impact limitat, ca un fel de represalii vizibile pentru sprijinul acordat Ucrainei. Cu toate acestea, nu trebuie luate cu ușurință: pe lângă efectul lor propagandistic și perturbator momentan, pot fi vârful aisbergului unei strategii mai ample”, este de părere Lambert.