Cazul atacului cibernetic asupra RUAG Holding în 2016

În 4 mai 2016, compania de armament RUAG a anunţat că a suferit un atac cibernetic foarte complex şi că a reuşit să găsească urme ce sugerează că atacul a avut loc cel puţin din septembrie 2014.

Acest anunţ a fost făcut în urma informaţiilor interne furnizate în ianuarie 2016 de către Departamentul pentru Apărare, Protecţie Civilă şi Sport (DDPS) către Delegaţia Comitetelor de Conducere a Camerelor Federale (DelCdG), conform cărora "un incident grav a compromis securitatea IT în cadrul grupului de arme RUAG, deţinut de guvernul federal elveţian"¹ . Ulterior, a fost publicat un raport detaliat, care reprezintă sursa principală a acestui articol, pentru a oferi membrilor comunităţii cibernetice informaţii care să le permită să-şi îmbunătăţească protecţia sistemelor² .

Obiectivul principal al acestui articol nu este de a analiza aspectele tehnice ale atacului, nici de a analiza dezbaterea politică ulterioară atacului, ci mai degrabă de a evidenţia mijloacele utilizate şi posibilităţile de protecţie. Este interesant de remarcat faptul că s-au adunat multe informaţii despre acest atac şi că punerea la dispoziţie a raportului tehnic arată o mare disponibilitate de a împărtăşi aceste informaţii. Acest schimb de informaţii este în general considerat a fi una dintre cheile esenţiale în lupta împotriva atacurilor cibernetice, iar cazul RUAG este, de asemenea, un exemplu foarte bun în acest sens.

Accentul a fost pus pe informaţii despre indicatorii de compromitere (IoC) şi pe modul de operare al atacatorului, mai ales că atacatorul a fost identificat ca fiind cel care s-a infiltrat în numeroase organizaţii guvernamentale şi companii private în ultimul deceniu³ .

Programul malware utilizat în atacul RUAG făcea parte din familia Turla⁴ , familie de programe malware concepute pentru spionaj. Potrivit cercetătorului de malware Matthieu Faou, acesta este unul dintre cele mai complexe şi utilizează caracteristici ascunse ale Windows⁵. Deşi este vechi de câţiva ani, caracteristicile sale specifice îl fac încă dificil de detectat. Specialiştilor de la Centrul de Raportare şi Analiză pentru Securitatea Informaţiei (MELANI/GovCert) din cadrul Departamentului Federal de Finanţe (DFF) le-a luat aproape o lună şi jumătate pentru a-i determina prezenţa în sistemul RUAG⁶.

De un interes deosebit este faptul că atacatorul a acţionat probabil pe o perioadă lungă de timp şi a avut o perioadă mare de aşteptare înainte de a extrage datele dorite. De asemenea, a fost foarte atent în timpul întregii faze de infiltrare, amprentare şi explorare, cu mişcări laterale, ceea ce i-a permis să acţioneze ulterior asupra ţintelor specifice. Mişcările laterale pot fi repetate pe parcursul mai multor luni, pentru a verifica în permanenţă informaţiile disponibile şi pentru a le actualiza, dacă este necesar^{/7 .}

RUAG a identificat, de asemenea, un proces de atac progresiv, în care erau infectate dispozitive suplimentare şi erau obţinute privilegii din ce în ce mai extinse în cadrul sistemului. Atacatorul a creat o reţea de comunicare internă între dispozitivele infectate şi a stabilit diverse funcţii pentru a limita numărul de dispozitive şi canale utilizate pentru a extrage date. În plus, intensitatea activităţilor de spionaj a fost foarte neregulată pentru a face dificilă identificarea scurgerii.

Desfăşurarea atacului oferă informaţii valoroase. Au fost identificate trei faze principale. Prima fază a fost una de pregătire. Ţinta a fost evaluată în detaliu, iar atacatorul a trebuit să adune cât mai multe informaţii şi să plaseze malware-ul folosit ulterior. Este posibil ca atacatorul, în cazul RUAG, să fi avut o idee despre tipul de informaţii potenţial disponibile în sistemul companiei. Este posibil ca în această fază să se fi folosit ingineria socială, dar acest lucru nu este confirmat. Atacatorul a folosit malware de recunoaştere, care i-a permis să confirme interesul ţintei.

A doua fază a constat în pregătirea şi realizarea infecţiei obiectivului. Pe măsură ce prima fază a confirmat potenţialul ţintei, au fost instalate programe malware mai puternice, tot cu scopul de a obţine o persistenţă mai mare⁸. Acest program malware avea acces la privilegii de administrator de sistem. Unul dintre obstacolele cu care s-a confruntat RUAG a fost faptul că programele malware de recunoaştere, precum şi cele instalate în timpul celei de-a doua faze, au folosit procese deja existente, fără a afecta operaţiunile curente. Timp de aproape un an, RUAG nu a observat că sistemul său era infectat⁹ . În plus, au fost utilizate şi instrumente de disimulare a activităţii, de tip rootkit, foarte avansate la acea vreme¹⁰, precum şi procese care evită utilizarea fişierelor ascunse care pot deveni vizibile (Carbon DLL)¹¹. Programul malware instalat în această etapă conţinea instrucţiuni privind modul în care sistemul atacat ar trebui să funcţioneze la momentul ales.

În cele din urmă, în timpul celei de-a treia faze, atacatorul a fost pe deplin prezent în interiorul ţintei şi şi-a început exploatarea. Această fază de exploatare a continuat să se desfăşoare aproape nedetectată de către victimă. Atacatorul a reuşit, pe o perioadă extinsă de timp, să continue explorarea sistemului, să îşi completeze arsenalul, să creeze o reţea în cadrul sistemului atacat şi să obţină mai multe privilegii prin mişcări laterale. Raportul menţionează că au avut loc mişcări laterale în primele 8 luni ale atacului¹². Atacatorul a creat astfel căi de acces către informaţiile dorite şi a creat sistemul necesar pentru a le exfiltra. În timpul recunoaşterii extinse a sistemului, au fost exfiltrate foarte puţine date. Abia când atacatorul era mulţumit de nivelul atins şi credea că are toate elementele necesare, punea în aplicare exfiltrarea de date în cantităţi mari.

Această fază a fost cea mai delicată, deoarece acesta este momentul în care victima are cele mai multe şanse să conştientizeze atacul din cauza traficului de date nesolicitat de organizaţie, sau chiar a volumului brusc al acestui trafic. În cazul în care malware-ul trimite datele extrase prin intermediul unor procese care utilizează în mod normal o conexiune la internet, cum este cazul atacului RUAG, detectarea este foarte dificilă. În plus, atacatorul a avut grijă să decupleze diferitele faze ale execuţiei sarcinii, ceea ce a făcut ca întregul proces de extragere să fie mai sigur¹³. Astfel, datele erau colectate de drone în interiorul sistemului, fără comunicare cu exteriorul, iar apoi dronele de comunicare specifice foloseau internetul pentru exfiltrarea datelor¹⁴. Atacatorul a folosit, de asemenea, instrumente disponibile pe internet, cum ar fi Mimikatz, pentru a obţine parolele¹⁵ .

De asemenea, este posibil ca RUAG însăşi să fi neglijat să facă investiţiile necesare în securitatea cibernetică pentru a-şi proteja propriile sisteme în timpul celor trei faze, ceea ce ar fi facilitat accesul atacatorului¹⁶ .

• Lecţii învăţate şi recomandări

RUAG menţionează că a fost extras un total de aproximativ 23 GB de date, deşi se precizează că unele date au fost extrase de mai multe ori. Cu toate acestea, nu a fost posibil să se stabilească dacă datele extrase erau confidenţiale şi care era valoarea acestora¹⁷ . Alte surse menţionează atacuri foarte grave, deşi pagubele sunt greu de estimat¹⁸ .

De asemenea, este posibil ca, din cauza interfeţelor IT dintre RUAG şi DDPS, să fi fost afectate datele din directoarele de mesagerie ale Confederaţiei¹⁹. Raportul menţionează că rata de extracţie a fost foarte neregulată şi că, în unele zile, s-a extras aproape 1 GB, în timp ce în alte perioade, uneori destul de lungi, activitatea a fost foarte redusă. În total, faza principală de extracţie a durat 4 luni, din septembrie până în decembrie 2015²⁰ .

Pe baza experienţelor acumulate şi a informaţiilor colectate în cursul activităţii ulterioare atacului, RUAG face o serie de recomandări în raportul său pentru a îngreuna situaţia potenţialilor atacatori. Aceste recomandări constau în diverse contramăsuri care ar trebui puse în aplicare la diferite niveluri. Ne vom limita aici la evidenţierea anumitor recomandări pe care le considerăm deosebit de importante²¹.

La nivel de sistem, se recomandă utilizarea Applocker (Microsoft). Acest lucru face posibilă crearea de reguli care limitează aplicaţiile permise pentru utilizatori şi, astfel, face mai dificilă instalarea de programe malware. În mod similar, limitarea privilegiilor utilizatorilor obişnuiţi este, de asemenea, o barieră eficientă. Alte măsuri legate de sistem par evidente, dar nu sunt încă suficient de răspândite. În special, RUAG menţionează necesitatea de a monitoriza în mod constant sistemele, de a se asigura că acestea sunt actualizate în mod regulat şi de a elimina toate aplicaţiile inutile care măresc suprafaţa de atac posibilă.

De asemenea, se pot lua măsuri la nivelul directorului activ (Active Directory). RUAG recomandă monitorizarea solicitărilor adresate directorului, în special pentru a identifica solicitările de cantităţi mari de informaţii, precum şi utilizarea identificării în doi paşi. În ceea ce priveşte reţelele, sunt necesare măsuri de creştere a rezilienţei şi a capacităţilor de detectare prin crearea unui punct de control (choke point) care să permită o mai bună supraveghere a ceea ce se transmite pe internet. De asemenea, fişierele jurnal ale serverului ar trebui să fie salvate timp de cel puţin doi ani, iar sistemul ar trebui să fie gestionat dintr-o reţea separată de traficul operaţiunilor uzuale ale organizaţiei.

Aceste câteva recomandări destul de elementare, descrise uneori chiar ca fiind simple şi ieftine²², împreună cu măsurile mai tehnice recomandate, ar trebui să sporească masiv securitatea împotriva atacurilor cibernetice, chiar dacă acestea sunt sofisticate şi complexe din punct de vedere tehnic.

Raportul RUAG privind acest atac ne reaminteşte că scopul nu este de a evita toate atacurile, ci de a le face cât mai dificile, respectiv de a crea cât mai multe obstacole pentru a descuraja atacatorul. Punctul de intrare trebuie să fie dificil de găsit, iar atacurile eşuate trebuie să fie identificabile, economisind astfel timp şi permiţând dezvoltarea de noi mijloace de apărare.

RUAG reiterează faptul că schimbul de informaţii cu privire la astfel de atacuri, inclusiv la nivel internaţional, este cea mai bună contramăsură. Fără să precizeze sursele, RUAG menţionează că atacul asupra sa a fost descoperit tocmai datorită schimbului de informaţii. Potrivit Aargauer Zeiutung, serviciul federal de informaţii elveţian a fost cel care a avertizat RUAG în decembrie 2015²³ , care fusese la rândul său informat de un serviciu de informaţii străin²⁴. . În general, utilizatorii spaţiului cibernetic ar trebui să fie conştienţi de responsabilităţile pe care le au, să-şi păstreze reţelele şi datele în siguranţă şi să se asigure că serverele lor nu pot fi folosite pentru a ataca alte ţinte. RUAG însăşi nu oferă niciun indiciu cu privire la sursa atacului suferit. Cu toate acestea, Handelzeitung, citându-l pe preşedintele DelCdG, Alex Kuprecht, menţionează clar Rusia ca fiind atacatorul în acest caz²⁵. Aceste certitudini provin din faptul că originea software-ului, care a fost deja utilizat într-un atac anterior asupra Ministerului Afacerilor Externe, este cunoscută şi că un atac atât de sofisticat nu poate proveni decât de la un actor de stat²⁶.

Atacul a avut consecinţe şi în cadrul administraţiei federale. La 23 mai 2016, Consiliul Federal a adoptat 14 măsuri pe termen scurt şi mediu pentru a elimina riscul de furt de date²⁷. Cu toate acestea, măsurile nu pot fi descrise şi comentate, deoarece nu au fost publicate, însă informaţiile comunicate menţionează măsuri "în principal legate de procedurile şi controalele interne"²⁸, precum şi măsuri organizatorice între RUAG şi Confederaţie, cum ar fi separarea reţelelor²⁹.

În mod similar, a fost înfiinţat un grup operativ specific, numit RHINO, "pentru a lua măsurile de urgenţă necesare şi pentru a evalua pagubele provocate"³⁰. În general, este interesant de remarcat faptul că acest atac a servit ca un semnal de alarmă. Acesta a demonstrat importanţa securităţii cibernetice şi necesitatea absolută şi urgentă ca administraţia federală şi întreprinderile federale să-şi îmbunătăţească protecţia sistemelor.

--------------------------

Colonelul Marc-Andre Ryter este licenţiat în politică de securitate şi în ştiinţe politice şi este, în prezent, şef de stat major în cadrul Diviziei de construcţii militare a Statului Major al Forţelor Armate. În această calitate, acesta monitorizează şi studiază evoluţiile tehnologice care pot fi relevante pentru forţele armate şi pentru diferitele domenii de operaţiuni, în special în vederea adaptării doctrinei militare.