Ucraina se confruntă de mai mulți ani cu atacurile cibernetice lansate de Federația Rusă, al căror număr a sporit odată cu declanșarea invaziei, în urmă cu un an. Kievul dorește ca atacurile să fie considerate crime de război și să intre sub jurisdicția Curții Penale Internaționale.
Microsoft a anunțat săptămâna trecută că hackerii ruși pregătesc o nouă campanie de atacuri informatice împotriva Ucrainei. Conform raportului dat publicității de gigantul tehnologic, printre noile amenințări care vor fi folosite de armata cibernetică a Kremlinului se numără și un malware de tip „ransomware” special conceput pentru a compromite organizațiile care deservesc liniile de aprovizionare ale Ucrainei.
„Din ianuarie 2023, Microsoft a observat că activitatea amenințărilor cibernetice rusești se adaptează pentru a spori capacitatea de distrugere și de colectare de informații asupra activelor civile și militare ale Ucrainei și ale partenerilor săi”, se arată în raportul întocmit de echipa de cercetare și analiză în domeniul securității cibernetice a gigantului tehnologic. Conform sursei citate, grupul Iridium – cunoscut anterior sub numele de Sandworm – „pare să se pregătească pentru o campanie distructivă reînnoită”.
Microsoft a descoperit că echipa Sandworm, cunoscută pentru atacurile deosebit de sofisticate lansate în ultimii ani, a testat mai multe tipuri de amenințări ransomware, care, odată infiltrate în sistemele informatice se propagă și criptează datele, dar și „wipers” care distrug pur și simplu datele.
Atacurile combinate, o strategie uzuală a Kremlinului
Avertismentele Microsoft vin în contextul în care Rusia a introdus noi trupe pe câmpul de luptă din estul Ucrainei, potrivit oficialilor de securitate occidentali. Experții susțin că tactica de a combina operațiuni militare fizice cu atacuri cibernetice de amploare asupra Ucrainei, dar și a țărilor aliate, a devenit o strategie uzuală a Rusiei.
„Asocierea atacurilor militare cu eforturile de a bloca sau de a perturba capacitatea apărătorilor de a se coordona prin intermediul soluțiilor IT nu este o abordare strategică nouă”, a precizat Emma Schroeder, director asociat al inițiativei Cyber Statecraft a Atlantic Council.
Din ianuarie 2022, Microsoft a descoperit nouă amenințări de tip wipers diferite și două tipuri de ransomware folosite de hackerii ruși împotriva a peste 100 de organizații ucrainene. Aceste atacuri au fost asociate cu o creștere a operațiunilor cibernetice derulate de hackerii ruși pentru a compromite în mod direct organizațiile din țări aliate cu Ucraina, potrivit raportului.
„În mai multe țări din America și Europa, în special în statele vecine Ucrainei, hackerii ruși au încercat să acceseze organizațiile guvernamentale și comerciale implicate în eforturile de susținere a Ucrainei”, a precizat Clint Watts, director general al Centrului Microsoft de analiză a amenințărilor digitale, citat de Reuters.
Sandworm este un grup de hackeri ruși de elită aflat în subordinea GRU. Sursa foto: playtech.ro
Care este palmaresul Sandworm
Sandworm este una dintre cele mai prolifice unități de hackeri ale armatei ruse. Echipa face parte din cadrul Direcției Principale de Informații a Rusiei (GRU, principalul moștenitor al temutului serviciu KGB), are indicativul 74455 și a realizat mai multe serii de atacuri malware și campanii de hack-and-leak de-a lungul anilor.
Debutul oficial a avut loc în 2015, când un atac Sandworm a oprit alimentarea cu energie electrică în mai multe regiuni ale Ucrainei. Doi ani mai târziu, hackerii Moscovei au lansat campania malware NotPetya într-un atac global care a provocat pagube estimate la 10 miliarde de dolari și care a afectat și România. Într-un clasament publicat în 2018, țara noastră apărea pe locul 9 in topul statelor afectate de cel mai mare atac cibernetic de tip ransomware la nivel global.
Efectele generate de NotPetya au determinat reacții dure din partea Casei Albe, care a acuzat în mod direct Rusia, subliniind faptul că „atacul face parte din efortul actual al Kremlinului de a destabiliza Ucraina”. Și Londra a procedat similar, însă, în mod evident, Moscova a dezmințit categoric orice asociere sau implicare.
Peste 30 de atacuri într-un singur an
De la începutul războiului, Sandworm a atacat continuu Ucraina cu diverse amenințări malware – unele extrem de sofisticate, în timp ce altele au fost mai ușor de detectat și deblocat. Cercetătorii susțin că rolul celor din urmă este unul experimental – hackerii ruși testează mai multe versiuni malware care să poată ocoli apărarea cibernetică a Ucrainei.
„Rusia are capacități mari de atacuri cibernetice pe care va continua să le folosească pentru a face orice pagubă pe care o poate face în Ucraina”, a declarat Robert Lipovsky, cercetător principal în domeniul amenințărilor informatice la firma de securitate ESET.
Pe parcursul anului trecut, grupul Sandworm a lansat cel puțin 30 de atacuri asupra sistemelor ucrainene. Conform sursei citate nicio țară nu a fost vreodată bombardată cu atât de multe tipuri de amenințări de tip „whiper” într-un singur an.
De exemplu, cu o zi înainte de invazia din 24 februarie 2022, atacul HermeticWiper a vizat sute de sisteme informatice din instituțiile publice ucrainene. A doua zi, Acid Rain a vizat modemurile de satelit Viasat, pe care guvernul ucrainean le folosea drept canal de comunicare de rezervă. În aprilie, Sandworm a lansat un atac cu Industroyer2 asupra principalei companii energetice din Ucraina încercând fără succes să întrerupă distribuția de electricitate.
Când SUA strigă „Lupul!”
Conform specialiștilor ESET primul atac Industroyer (lansat asupra Ucrainei în 2016) a reprezentat „cea mai mare amenințare la adresa sistemelor de control industrial de la Stuxnet”.
Stuxnet a fost o amenințare informatică extrem de sofisticată despre care specialiștii în domeniu consideră că a fost dezvoltată de SUA și Israel pentru a bloca programul nuclear iranian. Malware-ul a fost special conceput, încă din 2005, pentru a ataca sistemele de control industriale (SACADA) ale centralei de la Natanz. Și a avut succes în 2010, când a infectat peste 200.000 de calculatoare, a provocat pagube a aproape 1.000 de utilaje și a distrus aproximativ 20% din centrifugele nucleare iraniene. Evident, nici SUA și nici Israelul nu au recunoscut nicio implicare în atac.
10 ani mai târziu, mai multe agenții de stat din Statele Unite au fost afectate de o breșă de securitate a sistemului de management al rețelelor SolarWind. Vulnerabilitatea a fost descoperită destul de târziu și administrația americană nu a dat publicității un număr exact al instituțiilor afectate de acest hack care a permis interceptarea comunicațiilor și accesarea datelor guvernamentale. Departamentul american al Energiei a declarat că nu a fost afectată securitatea națională, însă senatorul Dick Durbin – care s-a aflat recent în România – a declarat că este vorba de o „declarație de război” din partea Rusiei.
Tratarea atacurilor cibernetice ca acte de război necesită rescrierea Convenției de la Geneva, Sursă foto: Profimedia
Când devine un atac cibernetic un act de război
Echivalarea unui atac cibernetic cu un act de război nu a fost considerată însă justă de experții americani în domeniu.
„Războiul implică violență, moarte și distrugere”, a explicat Duncan Hollis, profesor de drept la Temple University, specializat în securitate cibernetică, care a precizat că atacul SolarWinds a fost efectuat pentru a fura informații sensibile ale SUA, prin urmare ar trebui încadrat ca spionaj.
„Simplul furt de informații, oricât de mult nu ne-ar plăcea, nu este un act de război – este spionaj”, a confirmat și Benjamin Friedman, director de politici la think-tank-ul Defense Priorities.
Experții americani consideră că atacurile informatice pot fi considerate acte de război dar dacă provoacă distrugeri fizice. Conform unor surse din Departamentul Apărării al SUA unele operațiuni cibernetice ar trebui să fie supuse acelorași reguli ca și atacurile fizice sau „cinetice”. Exemplele includ operațiuni care declanșează incidente critice în cazul unei centrale nucleare, deschid baraje hidrotehnice din zone populate, dezactivează serviciile de control al traficului aerian etc.
Este posibilă incriminarea drept crimă de război?
Discuțiile despre tratarea atacurilor cibernetice ca acte de război sunt însă mai vechi. Subiectul a fost abordat, de exemplu, și în cadrul Forumului Economic de la Davos din 2017 când încadrarea propusă a fost însă mult mai dură – crimă de război!
Argumentația: un atac cibernetic lansat împotriva unei instalații energetice care alimentează o fabrică de armament prin intermediul unui virus nu afectează doar ținta vizată. Odată activat malware-ul, acesta se răspândește autonom prin rețele până când va găsi infrastructura de energie și va reuși să dezactiveze comenzile acesteia și să supraîncarce transformatoarele scoțându-le din funcțiune. Simplu și eficient, fără bombardamente, rachete sau drone. Dar, virusul nu afectează doar sistemele informatice ale fabricii, ci și cele ale instituțiilor civile, iar acest lucru pare să încalce o regulă fundamentală din Legile conflictelor armate: principiul distincției, care cere să nu fie vizați necombatanții și să fie feriți pe cât posibil de efectele unui atac.
Daunele colaterale sunt admise în anumite limite. Dacă câțiva civili din apropiere sunt uciși din greșeală în timp ce o țintă importantă este aruncată în aer, este tragic, dar nu ilegal în război, dacă avantajul militar obținut depășește efectul secundar mortal. Aceasta este regula proporționalității, ceea ce înseamnă că daunele colaterale nu trebuie să fie disproporționate sau nerezonabile.
Dezactivarea unor instalații de distribuție a energiei electrice afectează însă un întreg oraș. Electricitatea nu este folosită doar de către fabrica de armament, ci și de spitale, de depozitele de alimente, de băncile de sânge etc. Numărul victimelor „colaterale” ar deveni astfel uriaș.
Ucraina strânge dovezi pentru CPI
Anul trecut, un grup de avocați specializați în drepturile omului și de investigatori din cadrul Centrului pentru Drepturile Omului de la Facultatea de Drept a Universității din California, Berkeley, a prezentat argumente pentru ca Curtea Penală Internațională (CPI) să urmărească în justiție atacurile cibernetice rusești lansate de la începutul invaziei.
La începutul lunii ianuarie a acestui an, responsabilul cu transformarea digitală a Ucrainei, Victor Zhora, a declarat pentru POLITICO că țara sa adună dovezi pentru a le prezenta curții de la Haga. Zhora a susținut că, din moment ce Rusia a folosit atacurile cibernetice pentru a-și susține operațiunile militare fizice care au vizat infrastructura critică și civilii din Ucraina, acestea ar trebui considerate, de asemenea, crime de război împotriva cetățenilor ucraineni.
„Când observăm situația din spațiul cibernetic, observăm o anumită coordonare între loviturile cinetice și atacurile cibernetice și, din moment ce majoritatea atacurilor cinetice sunt organizate împotriva civililor – fiind un act direct de crimă de război – acțiunile de susținere în domeniul cibernetic pot fi considerate crime de război”, a declarat Zhora. Potrivit acestuia sunt „termeni și idei complet noi despre cum să clasificăm aceste atacuri, care au avut loc în timpul războiului, care nu s-au mai întâmplat niciodată înainte”.
Zhora a menționat atacurile rusești de anul trecut împotriva celui mai mare investitor privat în energie din Ucraina, DTEK. „Centrala termoelectrică a fost bombardată și, simultan, rețeaua lor corporativă a fost atacată”, a explicat responsabilul ucrainean, care a precizat că este o „activitate dirijată și planificată din partea rușilor”.
S-ar putea, dar nu se poate…
Șansele de reușită ale demersului făcut de ucraineni sunt relativ reduse. David Hickton, director fondator al Institutului pentru Drept, Politici și Securitate Cibernetică de la Universitatea din Pittsburgh, susține că apelul la CPI s-ar putea dovedi dificil, din cauza faptului că infracțiunile cibernetice nu sunt descrise în mod explicit ca fiind crime de război în cadrul Convențiilor de la Geneva.
În conformitate cu aceasta, crimele de război pot include uciderea intenționată a civililor, tortura sau tratamentele inumane, inclusiv experimentele biologice, provocarea intenționată de mari suferințe și luarea de ostatici, printre alte acțiuni. Scrisă la începutul anilor ’50, înainte de era tehnologică modernă, convenția nu face nicio mențiune despre războiul digital.
Hickton a declarat că s-ar putea totuși: „Este foarte posibil, în funcție de fapte, ca infracțiunile cibernetice să constituie crime de război și aș susține efortul de a dezvolta dovezi dacă un mediu cibernetic a fost folosit în mod ilegal în război”.
Vladimir Putin ignoră sancțiunile CPI Sursa foto: Stirile ProTV
Ce efecte ar avea implicarea CPI?
Este greu de estimat, la momentul actual.
Săptămâna trecută, CPI l-a acuzat în mod oficial pe Vladimir Putin de crime de război și a emis un mandat de arestare pe numele acestuia. Lucru care nu l-a împiedicat câtuși de puțin pe liderul de la Kremlin să facă o vizită oficială în Crimeea, ca să aniverseze 9 ani de la anexarea peninsulei ucrainene. Și apoi o altă vizită surpriză în Mariupol, primul oraș mare ucrainean capturat de forțele ruse.
La acest moment, este puțin probabil ca președintele Federației Ruse să compare în fața tribunalului de la Haga, a cărui jurisdicției nici nu o recunoaște, de altfel.
Prin urmare, demersul Ucrainei de a incrimina atacurile cibernetice drept crime de război s-ar putea să nu aibă nicio finalitate.
Mai ales că Moscova nu pare să se teamă de astfel de măsuri, ba chiar încurajează activitatea hackerilor „albi” care – activează în Rusia sau în afara teritoriului. Potrivit unei măsuri propuse de Duma de Stat în februarie a.c., aceștia ar trebui să fie scutiți de răspundere dacă acționează în interesul Rusiei. „Ideea este de a lucra la o întreagă scutire de răspundere pentru cei care acționează în interesul Federației Ruse în domeniul informaticii, atât în țara noastră, cât și în străinătate”, a precizat pentru agenția RIA Novosti Alexander Khinshtein, șeful Comisiei pentru politica informațională din Duma de Stat.
Urmarea nu este greu de prevăzut: Rusia nu va da înapoi și, cel mai probabil, atacurile cibernetice ale hackerilor Moscovei vor crește ca frecvență, amploare și nivel de sofisticare pe termen nelimitat. Și asta indiferent dacă Ucraina va avea succes sau nu la Tribunalul de la Haga.
