Atac cibernetic împotriva unui grup de presă german
30 decembrie 2020Una dintre cele mai mari organizații media de limbă germană a căzut victimă unui atac cibernetic susținut în timpul sărbătorii de Crăciun, forțând mai multe ziare să își întrerupă activitatea sau să publice ediții restrânse cantitativ. Ofensiva, care este încă în desfășurare, a început marțea trecută.
Funke Media Group, care deţine zeci de publicații și care controlează mai multe posturi de radio locale, precum și site-uri de știri online, a anunțat luni că aproximativ 6.000 dintre computerele sale au fost ”potențial infectate” în timpul atacului, care a afectat mai multe servere centrale în toate filialele sale din Germania.
Andreas Tyrock, redactor-șef al Westdeutsche Allgemeine Zeitung (WAZ), ziar apaţinând trustului Funke, a catalogat atacul drept ”colosal”, precizând că hackerii au criptat datele stocate în sistemele IT ale gazetei și că acestea sunt ”deocamdată inutilizabile”.
S-a dispus măsura deconectării tuturor sistemelor IT pentru a preveni daune suplimentare, ceea ce înseamnă că „toate sistemele editoriale și întreaga tehnologie pentru producția de ziare au fost oprite, în clipa de față chiar și munca la distanță fiind imposibilă”, a precizat Tyrock. ”Paginile ziarelor sunt realizate în esență manual, în multe cazuri de angajați care lucrează de acasă”, a mai precizat jurnalistul.
O rețea de calculatoare carantinate
Grupul nu a comentat zvonurile lansate în presă, potrivit cărora hackerii ar fi cerut o răscumpărare care să fie plătită în Bitcoin. Procurorii și poliția conduc în prezent ancheta, în timp ce grupul media Funke a anunțat că a apelat la o echipă de experți IT pentru a construi o ”rețea de carantină” din computere neafectate de atac și un sistem IT scheletic care să permită continuarea activităților redacționale.
Astfel de asalturi reprezintă scenarii de coșmar pentru o companie de presă precum Funke, care are aproximativ 6.000 de angajați în toată Republica Federală, iar încercarea de a le stopa a devenit de multă vreme o sarcină de rutină, spun experții.
”Acest lucru se întâmplă în mod constant și a devenit un model de afaceri”, avertizează Thorsten Urbanski, șeful departamentului de comunicare în cadrul companiei internaționale de securitate cibernetică ESET. Potrivit expertului, rețelele internaționale de hackeri, care de multe ori nu se cunosc între ele, pot colabora în cadrul unui atac, formând echipe de trei până la 20 de persoane, în funcție de amploarea ofensivei.
”Acestea sunt structuri profesioniste, în spatele cărora uneori se află actori statali”, a declarat acesta pentru DW. ”Este o activitate foarte profitabilă, iar diviziunea muncii este bine organizată: o echipă o dezvoltă, o alta o distribuie și mai există și un serviciu de plată care o procesează, de obicei prin Bitcoin”.
Pentru înfăptuirea unui ”atac ransomware” hackerii au nevoie ca un angajat să deschidă un e-mail special preparat de aceștia și care conține un fișier ”potrivit”. Adesea aceste e-mailuri par inofensive, ba chiar plauzibile, fiind deghizate fie într-un CV care conține un document Word sau un PDF, fie apărând sub formă de facturi sau de link către un anumit fișier.
”Mecanismul nu este chiar atât de sofisticat”, spune Christian Beyer de la compania germană Securepoint. ”Deschideți un document Word care conține o așa-numită macrocomandă, iar aceasta descarcă un malware (program dăunător, n.r) de pe internet”. O macrocomandă reprezintă o serie de comenzi care pot fi utilizate pentru a automatiza o activitate repetată.
Infecții care nu pot fi identificate
Malware-ul se instalează apoi pe computerul angajaților și găsește rapid o modalitate de a se infiltra în întreaga rețea. Pentru a înrăutăți lucrurile, astfel de programe pot rămâne inactive câteva luni înainte de a se activa și a începe criptarea datelor, ceea ce adesea înseamnă că nici măcar departamentul IT al companiei nu poate urmări ”infecția” inițială.
Deși numeroase companii de securitate elaborează instrumente de filtrare eficientă a acestor e-mailuri, pentru a se strecura în rețea programul nociv are adesea nevoie doar de o eroare umană. ”Provocarea este să îngreunezi operațiunea hackerilor atât de mult, încât aceștia să simtă că nu merită efortul”, spune Urbanski.
Beyer spune că atacul care a vizat Funke este ”o poveste relativ veche”. ”Am văzut astfel de atacuri în 2011 sau 2012”, a declarant acesta pentru DW. ”Bineînțeles că atacurile au devenit mai sofisticate de-a lungul timpului, identificând diferite puncte slabe”.
Dacă la început astfel de atacuri vizau părți ale unui sistem IT care erau accesibile de pe Internet, acum ele încearcă din ce în ce mai mult să păcălească angajații. ”Există mii de atacuri în fiecare zi”, spune Beyer.
Atacurile ce urmăresc plătirea unei recompense pentru decriptarea datelor pot fi uneori deosebit de periculoase. În septembrie 2020, un atac cibernetic a avariat grav sistemele critice la un spital universitar din Düsseldorf, oraș situat în vestul Germaniei. Presa a scris la acea vreme că hackerii intenționau de fapt să atace universitatea orașului și că au furnizat codul de decriptare atunci când poliția le-a spus că sunt în pericol viețile pacienților.
În cazul din Düsseldorf se crede că infecția inițială a avut loc cu nouă luni înainte de lansarea propriu-zisă a atacului. Evenimentul a subliniat o dată în plus că spitalele – care dispun de fonduri limitate - sunt potențiale ținte ușoare pentru atacurile cibernetice. Și din acest motiv, guvernul de la Berlin dorește să investească circa 15 la sută din noul buget digitalizării sistemului de sănătate în securitatea IT.
Neclar este cât de des se dă curs somațiilor venite din partea hackerilor. ”Cei care plătesc răscumpărările nu vorbesc despre aceasta. Însă acest lucru nu este recomandabil, pentru că ți se pune pecetea de bun de plată. Oamenii care plătesc o dată vor plăti din nou”.
Faptul că multe companii plătesc recompense este explicabil. Operațiunea de curățare demarată de Funke - înființarea eficientă a unui sistem IT separat, rămas intact – costă multă forță de muncă și resurse. Pentru o companie mică sau mijlocie, consecințele financiare pot fi realmente devastatoare.
Iar faptul că atacul a fost lansat în perioada Crăciunului, când mulți angajați sunt în vacanță, va prelungi și mai mult eforturile de repunere pe picioare a sistemului IT.