Președintele Guvernului, Pedro Sánchez, s-a întâlnit la Kiev cu omologul său ucrainean pe 24 februarie.

Acolo, el a anunțat ajutoare în valoare de 1.000 de milioane de euro anual, timp de un deceniu, pentru a sprijini efortul de război al țării. Două zile după întâlnire, s-a dezlănțuit o campanie de atacuri cibernetice împotriva obiectivelor instituționale și antreprenoriale spaniole care este încă activă. Intruziunile au fost revendicate de grupuri de hackeri ruși și se înscriu în ceea ce Sánchez a numit războiul hibrid pe care Moscova îl susține împotriva țărilor UE. „Cu aceste atacuri vrem să spunem guvernului (sic) spaniol să înceteze să mai sprijine Ucraina. Dacă acest lucru nu se întâmplă (sic) vom trece la site-urile web guvernamentale. Și, de asemenea, la marile companii”, a publicat grupul de hackeri ruși TwoNet într-un grup de Telegram pe 3 martie.

Printre victimele care au confirmat sau ale căror intruziuni au fost identificate de comunitatea hackerilor se numără primării, consilii provinciale, consilii ale comunităților autonome și ministere precum cele de Interne, Apărare, Externe sau Incluziune, Securitate Socială și Migrații.

Centrul Criptologic Național (CCN-CERT), Statul Major al Apărării (EMAD) sau Departamentul de Securitate Națională au fost, de asemenea, atacate, la fel ca La Moncloa, Casa Regală, fundații precum Real Instituto Elcano sau Cidob, companii precum El Corte Inglés sau Legálitas și mass-media precum Newtral.

Amestecul de obiective nu este întâmplător: se combină atacuri asupra sistemelor presupus slab apărate, cum ar fi cele ale primăriilor sau consiliilor provinciale, cu cele ale instituțiilor cele mai reprezentative ale puterii suverane (Moncloa, Apărare, Interne sau CCN).

„Aceste atacuri cibernetice caută notorietate și crearea senzației că suntem neprotejați”, susține Marcelino Madrigal, expert în rețele și securitate cibernetică.

Mai multe informații

Alejandro Cáceres, hackerul care a lăsat Coreea de Nord fără internet de acasă: „Atacul meu a fost un răspuns la încercarea lor de a mă spiona”

Majoritatea atacurilor cibernetice înregistrate în ultimele trei săptămâni (cel puțin 70, conform surselor consultate) sunt de tip Distributed Denial of Service (DDoS), care constau în saturarea sistemelor prin bombardarea serverelor cu un val de solicitări.

„Odată ce cad, atacatorii fac o captură de ecran ca dovadă a succesului lor și o expun ca pe un trofeu”, subliniază Hervé Lambert, director de operațiuni globale al Panda Security.

Această varietate de atacuri cibernetice, de complexitate tehnică foarte scăzută, reușește să întrerupă serviciile sistemelor țintă, deși nu șterg date.

„În general, ceea ce am văzut sunt întreruperi punctuale și scurte, care nu au avut consecințe de durată asupra operaționalității”, spun surse de la Institutul Național de Securitate Cibernetică (Incibe).

¿Grupuri autonome sau coordonate?

Au fost identificați cel puțin șapte grupuri de hackeri legate de Rusia ca autori ai campaniei de atacuri cibernetice.

Printre cele mai active se numără TwoNet sau NoName057, dar au participat și altele, precum People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet sau Z-Pentest. „Deși nu se poate confirma cu certitudine, probabil sunt legate într-un fel sau altul de guvernul rus și de interesele sale”, asigură José Rosell, CEO al S2Grupo. Este aproape imposibil să atribui originea unui atac cibernetic dacă cel care îl comite are suficiente cunoștințe tehnice și vrea să treacă neobservat. De aici și faptul că multe guverne recurg neoficial la arena cibernetică pentru a efectua acțiuni de sabotaj.

Poco se știe despre echipele de hackeri ruși implicate în campania împotriva Spaniei, dincolo de predarea lor auto-revendicată unei cauze comune (apărarea intereselor Rusiei) și de faptul că comunică între ele prin Telegram, populara aplicație de mesagerie instantanee de origine rusă.

Ei folosesc acest canal pentru a-și difuza comunicatele și pentru a-și indica obiectivele prin apeluri la care se pot alătura hackeri autonomi. Sunt operaționale de la începutul războiului, deși în ultimele săptămâni și-au intensificat considerabil activitatea. „Nu ar trebui să se mărească aceste atacuri, care sunt mai degrabă de rutină. Au o componentă ridicată de propagandă”, notează pentru acest ziar surse din CCN-CERT.

Curios, la aceste grupuri de hackeri ruși s-au alăturat alții de origine diferită, precum Mr Hamza, din Algeria; un grup hacktivist islamic din Malaezia, Dxploit, sau grupul anti-israelian Dark Storm, care și-a atribuit în această săptămână un atac cibernetic care a afectat X.

„Mă frapează faptul că Dark Storm și-a intensificat activitatea în Spania în ultima săptămână, tocmai când o fac și grupurile rusești. Este foarte dificil de știut dacă este o coincidență, oportunism sau coordonare”, spune David Arroyo Guardeño, cercetător principal al grupului Ciberseguridad y Protección de la Privacidad del CSIC.

La acest cocktail trebuie adăugate grupuri pro-rusești situate în Spania, care difuzează comunicatele hackerilor și le susțin munca.

„Există multe canale de dezinformare pro-rusești care sunt aceleași cu cele care se declară anti-agenda 2030, care au participat la tractorade sau care au difuzat propaganda anti-vaccin în timpul pandemiei. Pare clar că sunt celule permanente care caută să facă zgomot și să destabilizeze Guvernul”, prezice Madrigal.

Război hibrid

„Atacurile DDoS sunt supărătoare, dar nu produc daune majore”, subliniază Madrigal.

Și adaugă: „Aceste campanii sunt folosite și pentru a sonda nivelul de securitate pe care îl are o victimă în vederea unor atacuri viitoare”. Aceasta este tocmai una dintre necunoscutele care înconjoară atacurile cibernetice pe care le suferă Spania: dacă intensitatea lor se va disipa odată cu trecerea timpului sau dacă sunt preambulul a ceva mai mare care urmează să vină. Concentrat în ultimele zile pe argumentarea motivelor pentru care Spania trebuie să crească cheltuielile militare, președintele Guvernului a înscris această campanie în așa-numitul război hibrid pe care Moscova îl susține împotriva unei mari părți a UE. „Am avut săptămâna trecută un atac cibernetic care venea din Rusia”, a recunoscut președintele miercuri la Helsinki după ce s-a întâlnit cu omologul său finlandez, Petteri Orpo. „Este important să ne confruntăm cu o dezbatere centrală [despre creșterea cheltuielilor militare]”, a spus el.

„Atacurile DDoS sunt uneori folosite ca o cortină de fum pentru a acoperi operațiuni mai dăunătoare”, adaugă Lambert.

„Prin distragerea atenției tehnicienilor pentru a repara căderea vizibilă, atacatorii ar putea profita de distragere pentru a se infiltra pe o altă cale, a fura date sensibile sau a implanta malware [cod malițios] fără a fi detectați”.

Această a doua sarcină, mai sofisticată, ar reveni unei alte modalități de hackeri: așa-numitele amenințări persistente avansate (APT), echipe sponsorizate de țări compuse din profesioniști cu capacități echivalente cu cele ale serviciilor secrete.

„Rusia are grupuri de ciberspionaj militar extrem de sofisticate, precum APT28 (Fancy Bear) și APT29 (Cozy Bear) – de la SVR, informații externe –, care au fost active în obiective spaniole”, abundă Lambert. Acest expert amintește că, în 2023, APT28 a fost acuzat că a lansat campanii de phishing (uzurpare de identitate prin comunicații frauduloase) împotriva companiilor din industria de apărare spaniolă, precum Navantia, pentru a fura credențiale și date tehnologice sensibile. Același grup ar fi atacat în acel an rețele interne ale ministerelor spaniole, conform rapoartelor CNI. La rândul său, APT29 a reușit să acceseze și în 2023 servicii în cloud ale sectorului public spaniol prin e-mailuri compromise trimise de la ambasade.

„Atacurile DDoS recente din Spania au fost în principal un act de război cibernetic de nivel scăzut și impact limitat, ca un fel de represalii vizibile pentru sprijinul acordat Ucrainei.

Cu toate acestea, nu trebuie luate cu ușurință: pe lângă efectul lor propagandistic și perturbator momentan, pot fi vârful aisbergului unei strategii mai ample”, este de părere Lambert.