CERT-RO confirmă existenţa campaniei Epic Turla

Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO confirmă datele din raportul privind campania 'Epic Turla' făcut public de compania Kaspersky Lab. precum şi datele anunţate de SRI, cooperând cu partenerii săi din mediul public şi privat la nivel naţional şi internaţional, în vederea prevenirii răspândirii malware-ului.

'Cu siguranţă nu putem spune cine a fost atacat. Este decizia victimei dacă vrea să spună că a fost sau nu infectat, dar noi colaborăm atât cu Kaspersky cât şi cu Bitdefender, dar şi cu alţii. Avem parteneri CERT-uri europene şi internaţionale, suntem membri în asociaţiile europene de CERT-uri. Primim informaţii cu privire la atacurile din România de la partenerii noştri şi cooperăm cu ei pentru soluţionarea lor. Colaborăm şi cu instituţiile naţionale dacă este vorba despre Cyber Intelligence sau Cybercrime sau Cyber Defense care sunt apanajul şi în prerogativele altor instituţii. Pe partea de atacuri de tip APT (Advanced Persistent Threat) care nu sunt în mod special pe zona noastră de atribuţii, conform legii, colaborăm cu toate resursele care ne sunt solicitate', a declarat, vineri, directorul general al Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, Augustin Jianu.

Potrivit sursei citate, campanii de genul 'Epic Turla' sau 'Red Octomber' sunt campanii extrem de sofisticate şi în momentul de faţă nimeni nu poate să spună concret dacă există sau nu în derulare astfel de atacuri.

'Aceste campanii sunt extrem de sofisticate în condiţiile în care lor (n.r. Kaspersky) le-a luat 10 luni să studieze, să înţeleagă cum se comportă, care sunt ţintele, ce informaţii sunt vizate de aceste atacuri. Este foarte dificil şi vorbim de o campanie de nivel global. Este posibil, dar nimeni nu poate să spună concret dacă există sau nu, în momentul acesta, atacuri de acest gen în derulare. Atacurile clasice însă sunt cunoscute, raportate şi rezolvate de către noi în cooperare cu victimele sau cu alte instituţii', a spus Jianu.

Potrivit CERT-RO, Turla (denumit şi Snake sau Uroburos) este un malware de tip rootkit, ce face parte dintr-o campanie de spionaj cibernetic ce datează din 2006, identificată în 2014 de mai multe companii de profil. Se pare că malware-ul targetează reţele foarte sensibile şi dispune de mecanisme avansate de exfiltrare a datelor.

Şeful Centrului a precizat că, numai în 2013, CERT-RO a înregistrat în jur de 43 de milioane de atacuri venite de la două milioane de IP unice în România, majoritatea de la cetăţeni.

'Acest lucru înseamnă că au existat atacuri clasice, viruşi, troieni, care au avut şi succes şi care acum la rândul lor îi atacă pe alţii. Sunt folosiţi ca 'botnet' sau ca ' 'PC zombie' pentru a ataca alte calculatoare din lume. În lipsa unui cadru legislativ adecvat, lucrurile acestea o să continue pentru că nu avem atribuţii de a obliga o instituţie sau un cetăţean din ţara aceasta să-i spunem să facă un lucru sau altul. Eu nu pot să merg la un cetăţean să-i spun că trebuie să îşi dezinfecteze calculatorul pentru ca este un pericol pentru alţii. Acest lucru trebuie dublat de o campanie de responsabilitate şi de conştientizare, numai că acestea costă foarte mulţi bani.(…) Se mai întâmplă ceva cu câte un raport de acest gen de la companie de renume (n.r. Kaspersky) şi lumea mai află că astfel de lucruri sunt reale, pentru că dacă le spunem noi nu ne crede nimeni sau au impresia că nu este atât de actual pericolul. Consider că ar fi nevoie de campanii de informare şi de un cadru legislativ un pic mai bine conturat pe Cyber Security', a explicat Jianu.

Potrivit sursei citate, în Parlament există un proiect de lege promovat de MSI – Legea securităţii cibernetice – care a luat avizul din partea tuturor comisiilor parlamentare şi care ar trebui să fie printre proiectele prioritare supuse aprobării după reluarea activităţii în toamna acestui an.

'Deoarece este vacanţă parlamentară nu se întâmplă deocamdată nimic, dar când se reia sesiunea ar trebui să fie cam printre primele lucruri pe masa Parlamentului pentru că este absolut necesară Legea securităţii cibernetice. Cyber Security se referă la acest gen de atacuri, Cyber Espionaje înseamnă atacuri pe sistem care targhetează anumite instituţii ale statului pentru a afla informaţii cheie, Cyber Crime vizează criminalitatea folosindu-se de mijloace cibernetice, acelaşi gen de escrocherie sau furt care se poate întâmpla şi în viaţa reală, numai că prin intermediul Internetului sau calculatorului, iar Cyber Defence, care se referă la actori statali implicaţi în atacuri cibernetice, războaie cibernetice între ţări. Dar nu sunt semne şi nici nu cred că vom vedea prea curând între ţări pentru că nu poţi să ataci o ţară din punct de vedere al războiului, al distrugerii, decât dacă este planificat cu foarte mult timp înainte, cu 5-10 ani. Şi nu cred că arma cibernetică este eficientă în momentul de faţă', a adăugat şeful CERT-RO.

România este ţara cu cele mai multe site-uri infectate (şase) care susţin atacul Epic Turla în acest moment, aflându-se astfel pe primul loc în lume din perspectiva apetitului atacatorilor pentru noi victime, conform unui comunicat al Kaspersky Lab.

Pe primul loc la număr de victime se situează Franţa, România aflându-se pe locul şapte, cu 15 adrese IP afectate. Printre cele 15 victime identificate pe teritoriul României, se numără două ministere, două alte instituţii guvernamentale, companii private, precum şi utilizatori de Internet rezidenţial sau mobil, mai precizează comunicatul.

Turla, Snake sau Uroburos reprezintă una dintre cele mai sofisticate campanii de spionaj cibernetic active în prezent. În martie 2014, atunci când au fost publicate primele analize, era încă neclar cum anume erau infectate ţintele. Cele mai recente investigaţii ale Kaspersky Lab asupra noii operaţiuni denumite Epic sau Epiccosplay, au scos la iveala faptul că acest ultim proiect reprezintă o parte esenţială a mecanismului de infectare a victimelor.

AGERPRES