Booz Allen Hamilton, cel mai mare contractor privat al comunității de informații din SUA, a publicat în această săptămână un raport exhaustiv de 80 de pagini, denumit „The Logic Behind Russian Military Cyber Operations”, în care detaliază 15 ani (2004 – 2019) de operațiuni informatice efectuate de hackerii militari ai Rusiei.
Raportul este o raritate în comunitatea de securitate cibernetică, deoarece se concentrează asupra imaginii mai mari a modului în care armata rusă își folosește unitățile din zona cyber pentru a-și susține politica externă pe tot globul.
Raportul companiei americane preia toate rapoartele anterioare privind acțiunile de hacking din trecut și le plasează într-un context politic mai larg, pentru a înțelege de ce s-au întâmplat, mai degrabă decât cum, ce malware a fost folosit și cine a apăsat ce buton și când.
În ultimii 15 ani, GRU a fost conexată de două grupuri majore de hacking distincte. Primul este APT28 (cunoscut și sub numele de „Fancy Bear”), iar al doilea este „Sandworm”. Fiecare grup de hackeri pare a fi o unitate militară distinctă din cadrul serviciului de informații al Rusiei, însărcinat în mod special cu efectuarea operațiunilor cibernetice de diferite grade de complexitate. Se crede că Sandworm este divizia de elită a GRU.
Potrivit raportului menționat, operațiunile cibernetice ale celor două grupări nu pot fi privite în mod izolat, ele fiind realizate într-un context politic mai larg. Booz Allen Hamilton a analizat peste 200 de incidente cibernetice atribuite public GRU și a identificat un tipar.
Modelul se potrivește principiilor descrise în „Doctrina militară a Federației Ruse”, document programatic pe care armata rusă îl publică la un anumit interval de timp, la fel ca marea majoritate a statelor lumii de altfel.
Cea mai nouă versiune a documentului, cea din 2014, prezintă 23 de riscuri de securitate la adresa Federației Ruse, la care armata trebuie să răspundă, sub o formă sau alta.
Analiștii de la Booz Allen Hamilton au clasificat peste 200 de atacuri cibernetice ale GRU într-una dintre cele 23 de categorii asociate riscurilor de securitate, aratând că fiecare atac a fost, de fapt, răspunsul natural al mecanismului de apărare rus împotriva schimbărilor din mediul politic din jurul său.
Raportul prezintă și câteva acțiuni ale GRU îndreptate împotriva României. În document se precizează că hackerii serviciului de informații militar rus au vizat România după ce aceasta și-a crescut cheltuielile și operațiunile în domeniul militar. La fel ca în cazul Poloniei, Rusia a răspuns cu atacuri cibernetice la creșterea prezenței militare unui stat străin în zone pe care le consideră de interes, respectiv Marea Neagră (sau riscul cu numărul 3 din lista din imaginea de mai sus – desfășurarea de forțe militare în vecinătatea Rusiei sau a aliaților săi).
În aceeași lună în care România a propus crearea unei unități militare comune cu Republica Moldova, hackerii GRU au lansat atacuri de tip phishing împotriva Ambasadei României în Rusia pentru a monitoriza apoi îndeaproape evoluțiile pe această coordonată.
După ce Rusia a anexat Crimeea în 2014, România și-a manifestat interesul pentru achiziția a trei submarine și patru nave pentru modernizarea și creșterea prezenței forțelor navale în Marea Neagră. O lună mai târziu, mai multe operațiuni de phishing au vizat autoritățile de la București și nu numai, cu tipuri de malware identice cu cele utilizate de regulă de GRU.
Așadar, companii din mediul privat sau guverne ale căror agendă se intersectează cu cea a Kremlinului se pot aștepta la un atac din partea hackerilor ruși ai GRU. Acest lucru este, totuși, îmbucurător dat fiind faptul că printr-o astfel de abordare atacurile ar putea fi prognozate și, într-o măsură mai mare sau mai mică, chiar prevenite.
Surso foto: ft.com
