Cautare




, Contributor

Forbes.com

IT |
|

Românul care a descoperit operațiunea “Octombrie Roșu”

kasperski.jpg
A refuzat să se mute în SUA, dar a ales să lucreze la Moscova. De acolo, Costin Raiu a identificat, recent,  o campanie avansată de spionaj cibernetic, care țintește instituții guvernamentale și diplomatice din întreaga lume.

Trecut prin grupul Gecad, fondat de unul dintre cei mai cunoscuți antreprenori români din industria software, Radu Georgescu, Costin Raiu este, astăzi, unul din pilonii grupului fondat de cel mai cunoscut nume rusesc din industria de software, Kaspersky. Își amintește că odată cu vânzarea Rav Antivirus către Microsoft era practic obligat să se mute în SUA. A refuzat oferta și, în urmă cu 12 ani, s-a angajat la Kaspersky, unde a făcut carieră.

Dacă până în urmă cu trei ani era Chief Security Expert pe zona EMEA, în prezent, Raiu conduce echipa GREAT, formată din 30 de cercetători de vârf care analizează atacurile speciale ale hackerilor din întreaga lume. Românul își petrece cel puțin o săptămână în fiecare lună în Rusia și, ca o paralelă, își compară echipa, fără prea multă modestie, cu trupele SEAL din armata americană. „Îl știam de mult timp pe Eugen Kaspersky. Ne cunoșteam destul de bine pentru că la începutul carierei încercam să îmi fac relații și să discut cu unii dintre cei mai buni experți din domeniu. Trimiteam câte 2 – 3 email-uri pe zi, iar singurul care răspundea era el. Mă ajuta cu informații și de atunci m-am gândit că mi-ar plăcea să lucrez în echipa lor”, povestește Raiu pentru Forbes România.

Își amintește cu nostalgie că deși inițial era o firmă mică – 40 de oameni în total, atunci când mergea la sediul din Moscova își recunoștea toți colegii după nume. Astăzi, echipa Kaspersky numără peste 2.400 de angajați, răspândiți pe întreg mapamondul. Singurul lucru care a rămas neschimbat, după părerea românului, este faptul că în continuare, Kaspersky Lab are cea mai bună tehnologie din lume. “Pariul meu a fost că o firmă mică cu o tehnologie foarte bună pe termen lung va câștiga în fața unor firme mari care vând cutii colorate, dar fără conținut. Am ajuns azi să văd că tot ceea ce am spus s-a adeverit”, adaugă reprezentantul Kaspersky. Și cum echipa lui, dispersată în 13 țări, este responsabilă pentru descoperirea programelor malware Flame și Gauss (instrumente de spionaj cibernetic), Raiu a identificat recent operațiunea „Octombrie Roșu”, o campanie avansată de spionaj cibernetic care țintește instituții guvernamentale și diplomatice din întreaga lume.

România în TOPUL celor mai virusate țări din 2012.

Cum a reușit, totuși, românul să dea de cap unei astfel de operațiuni? Totul a început în octombrie 2012 printr-o simplă anchetă a unui mostre (sample), alese din cele peste 200.000 de noi amenințări primite zilnic. Echipa de experți a Kaspersky Lab, condusă de el, a lansat, astfel, o investigație amănunțită și a descoperit într-un final o serie de atacuri împotriva unor servicii diplomatice la nivel internațional. Inițial, analiștii au observat că aceste atacuri au venit dintr-o țară în care se vorbește limba rusă nativ și au creat o victimă falsă. Au infectat-o și au așteptat să vadă ce se întâmplă. “Nu putem spune dacă este vorba neapărat de Rusia. Putem vorbi la fel de bine de Ucraina, Belarus, Kazakhstan. Pot spune că am găsit la Octombrie Roșu una din cele mai sofisticate rețele, iar implicațiile sunt uriașe. Atacatorii au furat informații criptate, comunicații între Ambasade. Ne-am dat repede seama că atacatorii erau interesați de informații clasificate ce aveau ca scop obținerea de avantaje geopolitice. Țintele erau speciale și includeau alături de ambasade, guverne, contractori militari, firme de petrol și gaze și companii implicate în energie nucleară”, mai spune Raiu care a colectat și analizat, cot la cot, cu echipa lui, peste 1000 de module, mici bucățele de atac, pentru a afla date despre victime.

„Tehnicile de lucru ale atacatorilor erau speciale, iar ei erau cu adevărat profesioniști”, adaugă reprezentantul Kaspersky Lab și recunoaște că pe parcursul investigaței a fost descoperită și analizată o adevărată rețea de spionaj cibernetic. Cu toate acestea, șeful GREAT susține că hackerii au fost destul de minuțioși și au alergat doar după puține surse. Aseamănă atacul cu o gripă puternică, dar care afectează doar 300 de oameni în toată lumea. Și în tot acest timp, șansele ca doctorii să observe că este ceva grav sunt foarte mici.

Activi cel puțin din 2007 până în prezent, atacatorii din rețeaua Octombrie Roșu și-au dezvoltat propria platformă de malware, identificată sub numele de „Rocra”, cu o arhitectură modulară proprie, constând în special în extensii malițioase, module de furt de informații și troieni. Raiu mai spune că informația furată din rețelele infectate a fost deseori folosită pentru a obține acces la sisteme adiționale. De exemplu, parolele de acces şi numele de utilizatori furate au fost compilate într-o listă specială și utilizate de câte ori atacatorii aveau nevoie să ghicească parole de acces în alte locații. Pentru a controla rețeaua de calculatoare infectate, atacatorii au creat peste 60 de domenii în diferite țări, în principal în Germania și Rusia. Analiza Kaspersky asupra infrastructurii de comandă a Rocra a arătat că diversele servere erau utilizate ca proxy-uri pentru a ascunde localizarea serverului de control principal. În plus, malware-ul este capabil să fure informații din smartphone-uri, dar poate recupera și fișiere șterse de pe dispozitivele USB.

Și, chiar dacă mai multe țări nu erau incluse inițial pe harta atacurilor, odată operațiunea pornită aproape nimeni nu a scăpat. Analiștii Kaspersky au pus la dispoziția organelor abilitate toate informațiile tehnice despre acest atac, iar pe baza datelor au fost descoperite cazuri atât în România, cât și Polonia (două țări curate la o primă verificare). În lista fișierelor descoperite de echipa condusă de la Moscova de Costin Raiu au fost găsit și nume românești, agende de telefoane ale unor instituții, dar și multe fișiere cu nume în limba poloneză. „E un spațiu geografic fierbinte. Toată zona a fost lovită, inclusiv fostele țări URSS. Nici în prezent nu s-au închis toate portițele și există și azi calculatoare infectate în Kazakhstan, Rusia, Brazilia”, susține analistul, care recunoaște că operațiunea nu s-a încheiat complet, iar slăbiciunea victimelor trebuie să dea de gândit și trebuie luate măsuri. Întrebarea lui este însă simplă: vor fi suficiente aceste măsuri?

Postează un comentariu

sau înregistrează-te pentru a adaugă un comentariu.

*

Comentarii

Nu există comentarii