Institutul de Cercetări Nucleare de la Pitești, atacat cibernetic de hackeri asimilați guvernului chinez

La sfârșitul anului trecut, cercetătorii companiei de securitate cibernetică Resecurity din Los Angeles au descoperit un volum masiv de date furate, în timp ce investigau accesarea ilegală a datelor unui retailer italian. Printre instituțiile spionate de hackeri se numără și Institutul de Cercetări Nucleare de la Pitești, România, potrivit Bloomberg, citat de Rador.

Microsoft a pus rapid atacul cibernetic din 2021 pe seama unui grup de hackeri chinezi sponsorizați de stat, pe care i-a numit Hafnium, iar SUA, Marea Britanie și aliații lor au susținut ceva similar luna trecută, atribuind atacul unor hackeri afiliați guvernului chinez.

Institutul de Cercetări Nucleare de la Pitești este o sucursală a Regiei Autonome Tehnologii pentru Energia Nucleară (RATEN), o instituție care coordonează activitatea de cercetare în domeniul energeticii nucleare, asigură menținerea și dezvoltarea suportului științific și tehnologic pentru Programul Energetic Nuclear National.

Pe o platformă de stocare în cloud era ascuns un volum de cinci gigabiți de date care fuseseră furate în ultimii trei ani și jumătate de la ministere de externe și companii energetice prin piratarea serverelor locale ale Microsoft Exchange. În total, cercetătorii de la Resecurity au găsit documente și e-mail-uri de la șase ministere de externe și opt companii energetice din Orientul Mijlociu, Asia și Europa de Est.

Alte victime au fost Doosan Fuel Cell Co. din Coreea; Institutul de Cercetări Nucleare de la Pitești, România; Compania petrolieră de stat din Azerbaidjan, cunoscută sub numele de SOCAR; Sharjah National Lube Oil Corp. din Emiratele Arabe Unite și Electric Distribution Company și National Electric Power Company din Iordania, conform Resecurity.

Atacurile, care nu au fost raportate anterior, au servit ca un preambul al unui atac izbitor de similar, pe larg mediatizat, al serverelor Microsoft Exchange, din ianuarie până în martie în acest an, potrivit Resecurity. O persoană familiarizată cu ancheta asupra atacului din 2021, care nu a fost autorizată să vorbească public și a solicitat anonimatul, a făcut o acuzație similară, spunând că furtul de date descoperit de Resecurity a urmat aceleași metode. Atacul cibernetic din 2021 a fost extraordinar în amploarea sa, infectând până la 60.000 de victime globale cu malware.

Resecurity nu poate spune cu certitudine că atacurile au fost comise de același grup. Chiar și așa, memoria cache a documentelor conținea informații care ar fi fost de interes pentru guvernul chinez, potrivit lui Gene Yoo, directorul executiv al Resecurity. Persoana avizată a spus că victimele selectate de hackeri și tipul de informații adunate de atacatori au indicat, de asemenea, o operațiune chineză.

Cercetătorii de la alte firme de securitate cibernetică, care au solicitat anonimatul pentru că nu au analizat toate constatările Resecurity, au avertizat că atacurile ar fi putut fi comise de orice națiuni interesate de diplomația din Orientul Mijlociu și de comunicările interne ale unor companii energetice influente.

Oricum, ambele campanii de hacking subliniază modul în care vulnerabilitățile din popularele servere locale de e-mail ale Microsoft – care sunt controlate de clienții care utilizează aceste sisteme – au acționat de ani de zile ca un element-cheie pentru ca hackerii să deblocheze date sensibile de la companii guvernamentale și private.

Guvernul chinez a respins acuzațiile potrivit cărora hackerii săi sponsorizați de stat ar fi fost implicați în oricare dintre aceste atacuri.

„China se opune cu hotărâre oricărei forme de atac sau infiltrare online. Aceasta este poziția noastră clară și consecventă ”, a declarat Ministerul Afacerilor Externe. „Legile chineze relevante privind colectarea și gestionarea datelor protejează în mod clar securitatea datelor și se opun categoric atacurilor cibernetice și altor activități infracționale.”

În plus, Ministerul a declarat că este o „problemă tehnologică complexă” de a determina sursa atacurilor, adăugând că speră că mass-media va evita „speculațiile nefondate” și se va baza pe „dovezi clare în determinarea naturii evenimentelor cibernetice”. China a propus deja un standard global de securitate a datelor și îndeamnă „toate părțile să colaboreze cu noi pentru a proteja cu adevărat securitatea globală a datelor”, conform declarației Ministerului.

Purtătorul de cuvânt al Microsoft Corp., Jeff Jones, a declarat că „mulți actori statali” vizează sistemele de e-mail pentru a obține informații confidențiale și că echipele de securitate ale Microsoft „lucrează constant cu partenerii noștri de securitate” pentru a identifica noi vulnerabilități care ar putea fi utilizate în atacuri viitoare.

Microsoft a urmărit încă din aprilie 2020 grupul Hafnium, pe care l-a acuzat de atacul din 2021, inclusiv prin colectarea de date despre operațiunile sale de spionaj cibernetic, a spus Jones. Unitatea Microsoft de informații privind amenințările a urmărit de atunci mai multe campanii ale Hafnium și a notificat țările care au fost victime ale atacurilor, potrivit lui Jones, care nu a identificat țările. Scopul grupului Hafnium este spionajul, cu accent pe furtul de date, a spus el.

Într-o serie de atacuri care se întind din 2017 până în 2020, hackerii au sustras documente și e-mail-uri de la ministerele de externe din Bahrain, Irak, Turcia, Oman, Egipt și Iordania – și e-mail-uri și date de la opt companii energetice, inclusiv de la gigantul malaezian Petronas Nasional Bhd și de la India Hindustan Petroleum Corp., potrivit Resecurity și unei analize a datelor furate, făcută de Bloomberg News.

Unele e-mail-uri și documente par să conțină informații sensibile: telegrame diplomatice, date critice de rețea, inclusiv nume de utilizatori și parole și date de consumator privat.

De exemplu, o notă a unui atașat din Bahrain descria o întâlnire din 9 decembrie 2018, în care principalii diplomați în Asia ai țării s-au întâlnit cu omologii chinezi, într-un moment în care China se confrunta cu o posibilă sesiune specială a Consiliului pentru Drepturile Omului a Organizației Națiunilor Unite pentru a analiza tratamentul aplicat uigurilor musulmani. În cadrul ședinței, chinezul Lin Jiming a reamintit că, mai devreme cu doi ani, țara sa a apărat situația drepturilor omului în Bahrain, în timpul unei analize oficiale a ONU, conform memorandumului, care a fost transmis ministrului de Externe al Bahrainului și Direcției pentru drepturile omului, împreună cu o recomandare pentru a susține poziția Chinei.

Bahrainul s-a numărat printre cele 37 de țări care au semnat o scrisoare, la mijlocul anului 2019, susținând politicile Chinei în regiunea de vest Xinjiang. Sesiunea specială nu a avut loc niciodată.

Există, de asemenea, documente cu detalii zilnice, cum ar fi anunțurile interne despre schimbările de personal, rezumate de știri, o cerere de autograf pentru un ministru de externe și invitații la conferințe diplomatice, conform Resecurity și documentelor analizate de Bloomberg.

Oficialii din Bahrain nu au răspuns la un mesaj care solicita comentarii. Oficialii din Irak au confirmat că guvernul a fost ținta atacurilor cibernetice, dar au spus că nu au provocat daune. Reprezentanții din Turcia, Oman, Egipt și Iordania nu au răspuns la solicitările de comentarii. HPCL nu a răspuns.

Hackerii au compromis, de asemenea, datele unor companii energetice, utilități și institute de cercetare administrate de stat, care acoperă regiuni care se întind din Europa de Est până în Asia de Sud-Est, potrivit Resecurity. Împreună cu datele administrative sensibile și de proprietate intelectuală, cercetătorii Resecurity au găsit, de asemenea, liste de utilizatori, permisiuni interne de rețea și detalii despre parole, toate acestea putând fi utilizate de hackeri pentru a-și extinde amprenta în rețelele victimelor, potrivit cercetătorilor Resecurity și documentelor.

În serverele Petronas, hackerii au găsit liste cu nume de utilizatori și parole, conform Resecurity și documentelor de la Hindustan Petroleum, au găsit mii de înregistrări ale utilizatorilor și e-mail-uri ale angajaților, conform cercetătorilor și documentelor.

Ca răspuns la o întrebare adresată de Bloomberg, Doosan a declarat că serverul său Exchange a fost atacat, dar că hackerii au fost împiedicați să fure orice fel de date. Petronas nu a răspuns la întrebări specifice despre presupusul atac, dar a furnizat o declarație despre „strategia lor robustă și cuprinzătoare de securitate cibernetică”.

Celelalte companii și Institutul de Cercetări Nucleare din România nu au răspuns la solicitările de comentarii.

Atacul din 2021 a avut loc după ce hackerii au descoperit o serie de vulnerabilități necunoscute anterior – numite zero days (zi zero/ 0 zi) – în sistemul de e-mail al Microsoft Exchange și apoi le-au folosit pentru a exploata zeci de mii de victime la nivel global. Deși extinderea atacului a fost fără precedent, relativ puțini dintre clienții ai Exchange care au fost infectați cu programe malware au fost apoi vizați pentru atacuri mai invazive, cum ar fi furtul de date sau ransomware, a precizat Microsoft într-un blog.

Nu este clar cum hackerii din spatele atacurilor anterioare asupra ministerelor de externe și companiilor energetice s-au infiltrat inițial în rețele.

Dar după compromisul inițial, ambele atacuri au fost aproape identice. Hackerii au instalat coduri web shell pe rețelele victimelor, care le-au permis accesul de la distanță la pagina de autentificare internă pentru fiecare server. Atacatorii au folosit apoi un software open-source numit Mimikatz (și o versiune modificată a Mimikatz) pentru a fura parolele și a stabili o conexiune în interiorul rețelei.

Astfel de metode nu sunt unice. În schimb, astfel de metode de atac generice le permit hackerilor să-și ascundă urmele și au devenit o semnătură pentru grupurile guvernamentale de hacking, inclusiv unele afiliate guvernului chinez, a declarat Ben Read, directorul de analiză de spionaj cibernetic la firma de securitate cibernetică Mandiant.

Compania de cercetare în domeniul securității Cybereason Inc. și-a publicat săptămâna aceasta propriile acuzații cu privire la hackerii chinezi. Compania a susținut că cel puțin cinci giganți ai telecomunicațiilor au fost vizați de hackerii chinezi sponsorizați de stat, într-o operațiune care datează din 2017. Grupurile de hacking au furat înregistrări telefonice și date de geolocalizare prin exploatarea sistemelor, inclusiv a serverelor Microsoftt Exchange, potrivit unui raport publicat pe 3 august. Ministerul chinez de Externe a declarat că raportul „exacerbează zvonuri politice” create de SUA și de aliații lor și „sunt pure invenții”. (Foto: Captură Youtube)