Atacurile cibernetice de tip Advanced Persistent Threat (APT), atribuite în principal serviciilor de informații rusești și chineze, reprezintă cea mai sofisticată categorie a amenințărilor cibernetice contemporane. Spre deosebire de atacurile criminale comune (motivate financiar, cu sofisticare tehnică modestă, cu obiective de profit imediat), atacurile APT operează cu profil persistent (cu prezență în sistemele țintă luni sau ani), cu sofisticare tehnică avansată (cu malware customizat, cu tehnici de evitare a detectării, cu coordonare operațională elaborată), cu obiective strategice de durată (spionaj politic și economic, pregătire pentru operațiuni de sabotaj, influențarea proceselor decizionale). România, ca stat aliat NATO și UE de pe flancul de sud-est, vecin direct al Federației Ruse prin Republica Moldova și al teatrului de operațiuni ucrainean, reprezintă țintă constantă a unor astfel de operațiuni. Articolul de față oferă o trecere în revistă a acestor componente.
(a) DEFINIȚIA ȘI CARACTERISTICILE
Categorie de amenințare
Advanced Persistent Threat (APT)
Trăsături principale
Persistent, sofisticat, strategic
Principalul adversar RO
Federația Rusă (declarații DNSC, SRI)
Servicii rusești atribuite
GRU, SVR, FSB
Grup Cozy Bear
Atribuit SVR (APT29)
Grup Fancy Bear
Atribuit GRU Unit 26165 (APT28)
Grup Sandworm
Atribuit GRU Unit 74455
Grup Turla
Atribuit FSB (APT34, Snake)
China principal serviciu
Ministerul Securității Statului (MSS)
Grup APT10
Atribuit MSS (Stone Panda)
Grup APT41
Atribuit MSS (Winnti, Barium)
Iran principal grup
Charming Kitten (APT35)
Coreea de Nord grup
Lazarus Group (APT38)
Atribuiri publice RO
Periodice prin DNSC și SRI
Advanced Persistent Threat (APT), categorie tehnică introdusă în uz curent în 2006 de United States Air Force, reprezintă cea mai sofisticată formă de atac cibernetic. Trei componente definesc APT: Advanced (avansat, cu sofisticare tehnică superioară, cu malware customizat și cu tehnici de evitare a detectării), Persistent (persistent, cu prezență în sistemele țintă luni sau ani, cu menținerea accesului prin metode multiple), Threat (amenințare, cu obiective strategice, cu suport instituțional al unui actor statal sau cvasistatal). Aceste trăsături cumulate diferențiază APT de atacurile criminale comune.
Ciclul tipic al unui atac APT cuprinde mai multe faze. Faza de recunoaștere (cu colectarea de informații publice despre țintă, cu identificarea angajaților cheie, cu maparea infrastructurii IT), faza de penetrare inițială (frecvent prin spear-phishing țintit asupra angajaților cu acces privilegiat), faza de stabilire a accesului persistent (cu instalarea de backdoor-uri, cu compromiterea credențialelor administrative), faza de mișcare laterală în rețea (cu privilege escalation, cu identificarea sistemelor cu informații sensibile), faza de exfiltrare a datelor (cu transmiterea informațiilor către servere de comandă-control), faza de mascare a urmelor.
Atribuirea atacurilor APT, deși cu provocări tehnice specifice (cu actori statali utilizând tehnici de mascare avansate), oferă cadre de cunoaștere strategică. Tehnici de atribuire cuprind: analiza tehnică a malware-ului (cu identificarea codului-sursă comun, a stilului de programare specific, a infrastructurii utilizate), analiza tiparelor de operare (cu orele de activitate care corespund fusurilor orare ale serviciilor atribuite, cu pauzele care corespund sărbătorilor naționale), analiza obiectivelor și a țintelor (cu corespondența cu interesele strategice ale serviciilor atribuite), cooperarea internațională pentru schimburi de threat intelligence.
(b) GRUPURI RUSEȘTI
Cozy Bear (APT29, SVR)
Cozy Bear (APT29), grup atribuit Serviciului de Informații Externe rusești (SVR), reprezintă unul dintre cele mai sofisticate grupuri APT la nivel mondial. Cu activitate documentată din 2008, Cozy Bear este responsabil pentru atacul SolarWinds din 2020 (compromiterea lanțului de aprovizionare al software-ului Orion al companiei SolarWinds, cu impactul asupra a aproximativ 18.000 organizații client, inclusiv multiple agenții federale americane), pentru atacul Microsoft Exchange din 2021, pentru atacuri repetate asupra Comitetului Național Democrat american (DNC) în 2016, pentru spionaj cibernetic asupra Comisiei Europene și a NATO.
Fancy Bear (APT28, GRU)
Fancy Bear (APT28), grup atribuit Direcției Principale de Intelligence a Statului Major Rus (GRU), Unitatea 26165, reprezintă alt actor APT major. Cu activitate documentată din 2007, Fancy Bear este responsabil pentru atacurile asupra DNC în 2016 (cu publicarea ulterioară a documentelor prin WikiLeaks și DCLeaks), atacurile asupra Agenției Mondiale Antidoping (WADA) din 2016 (cu publicarea datelor medicale ale sportivilor occidentali ca răspuns la sancțiunile pentru doping rusesc), atacurile asupra Parlamentului German din 2015, atacurile repetate asupra structurilor ucrainene din 2014. Atribuirea publică a Fancy Bear, prin acte de inculpare federale americane din 2018, a oferit cadre oficiale.
Sandworm (GRU sabotaje)
Sandworm (atribuit GRU Unitatea 74455), specializat în sabotaje cibernetice cu impact asupra infrastructurilor critice, reprezintă cel mai periculos grup rusesc. Cu activitate documentată din 2009, Sandworm este responsabil pentru atacurile NotPetya din iunie 2017 (cele mai costisitoare atacuri cibernetice din istorie cu daune cumulate peste 10 miliarde dolari), atacurile BlackEnergy asupra rețelei energetice ucrainene din decembrie 2015 (primul atac cibernetic care a produs blackout demonstrabil), Industroyer asupra rețelei energetice ucrainene din decembrie 2016, atacurile repetate asupra infrastructurii Ucrainei din 2022-2026. Atribuirea publică prin acte de inculpare federale americane din 2020 a oferit cadre oficiale.
(c) GRUPURI CHINEZE
Ministerul Securității Statului
Ministerul Securității Statului (MSS) al Republicii Populare Chineze coordonează majoritatea operațiunilor cibernetice statale chineze. Cu rețea de servicii regionale (cu State Security Bureaus în provincii cheie), MSS operează prin grupuri APT diverse: APT10 (Stone Panda, Menupass), APT41 (Winnti, Barium), APT40 (Periscope, Leviathan, atribuit MSS Hainan State Security Department), APT31 (Zirconium, Judgment Panda). Activitățile cumulate cuprind spionaj economic masiv (cu țintirea industriilor strategice occidentale), spionaj politic asupra instituțiilor decizionale aliate.
APT10 și Cloud Hopper
APT10 (Stone Panda), atribuit MSS Tianjin State Security Department, a fost responsabil pentru Operațiunea Cloud Hopper documentată în 2017 de PwC și BAE Systems. Operațiunea a compromis cel puțin 14 furnizori globali de servicii IT (Managed Service Providers), oferind acces indirect la sutele de companii client. Atribuirea publică prin acte de inculpare federale americane din decembrie 2018, cu identificarea a doi cetățeni chinezi Zhu Hua și Zhang Shilong ca operatori APT10, a oferit cadre oficiale. APT41, grup hibrid cu profil dual (spionaj statal și activități criminale colaterale), reprezintă caz unic.
Operațiuni asupra Europei și RO
Operațiuni chineze cibernetice asupra Europei și României sunt periodice. Atacuri asupra companiilor strategice românești (frecvent cu profil de spionaj industrial pentru tehnologii avansate, cu țintirea sectorului auto, energetic, IT), atacuri asupra instituțiilor academice (cu țintirea cercetărilor cu aplicații duale, cu țintirea tehnologiilor militare), atacuri asupra structurilor diplomatice (cu spionaj politic), oferă cadre. Cooperarea cu serviciile aliate, prin schimburi de threat intelligence, oferă cadre de monitorizare. Răspunsul instituțional, prin atribuirile publice și prin sancțiuni europene specifice, oferă cadre de descurajare.
(d) IMPLICAȚII PENTRU ROMÂNIA
Ținte principale
Implicațiile pentru România cuprind multiple dimensiuni. Țintele principale ale APT rusești pe teritoriul românesc cuprind: instituții guvernamentale (MAE, MApN, structurile aliate găzduite), partide politice (cu țintirea liderilor politici proeuropeni), mass-media credibilă (cu profil de discreditare a jurnaliștilor de investigație), structurile aliate găzduite (cu accent pe MNC-SE Sibiu, Brigada Multinațională Cincu, baza Mihail Kogălniceanu), companii energetice strategice (Transelectrica, Transgaz, OMV Petrom). Cazurile concrete documentate de DNSC și CYBERINT oferă cadre operative.
Operațiuni rusești alegeri 2024
Operațiuni rusești asupra alegerilor românești 2024 au constituit cea mai gravă serie de incidente. Cazul Călin Georgescu (cu campania pe TikTok cu peste 25.000 conturi promovate, cu finanțare prin Bogdan Peschir din Brașov, cu cooperarea cu Comandamentul Vlad Țepeș al lui Radu Theodoru), a integrat operațiuni cibernetice ample. Atacuri cibernetice asupra Autorității Electorale Permanente (AEP), cu peste 80.000 atacuri în ziua votului, cu zeci de mii ulterior, au fost atribuite serviciilor rusești. Anularea alegerilor prezidențiale de Curtea Constituțională (Hotărârea 32/2024, unanim 9 magistrați, 6 decembrie 2024), a reflectat gravitatea ingerinței.
Operațiuni asupra structurilor aliate
Operațiunile cibernetice asupra structurilor aliate găzduite reprezintă altă dimensiune critică. Atacuri repetate asupra rețelelor MNC-SE Sibiu, asupra Brigăzii Multinaționale Cincu, asupra bazei Mihail Kogălniceanu, oferă cadre constante. Cooperarea cu structurile aliate (cu NATO Cyber Operations Centre Mons, cu CYBERCOM american, cu serviciile naționale aliate), oferă cadre de monitorizare și de contracarare. Lecții acumulate din aceste cazuri au generat reforme operative substanțiale. Capabilitățile defensive consolidate ale CAC, în cooperare cu DNSC și cu CYBERINT, oferă cadre de protecție.
(e) RĂSPUNS INSTITUȚIONAL
Componente tehnice, atribuire, răspuns
Răspuns instituțional la atacurile APT integrează multiple componente. Componenta tehnică, cu detectare prin sistemele DNSC, CYBERINT, CAC, cu colaborarea sectorului privat IT (Bitdefender, alte companii), oferă cadrele operative. Componenta atribuire, prin investigații tehnice avansate și prin cooperarea internațională, oferă cunoștințele strategice. Componenta răspuns, prin recuperarea sistemelor compromise, prin remedierea vulnerabilităților, prin consolidarea protecțiilor, oferă cadre de recuperare.
Atribuiri publice
Atribuirile publice de operațiuni cibernetice, instrument relativ nou al politicii cibernetice europene și aliate, oferă cadre de descurajare. Statele Unite (cu acte de inculpare federale ale operatorilor APT identificați), Marea Britanie, Germania, Franța, Olanda, alte state aliate, utilizează masiv aceste cadre. România, prin DNSC și prin SRI, a făcut atribuiri publice periodice (cu accent pe operațiunile rusești în legătură cu alegerile 2024, cu cazurile concrete documentate). Aceste atribuiri, deși fără efect direct asupra adversarilor (care păstrează posibilitatea negării), oferă cadre publice și internaționale.
Sancțiuni cibernetice UE
Sancțiuni cibernetice europene, instrumentate prin cadre specifice ale UE, oferă cadre de represalii. Regimul de sancțiuni cibernetice UE (cu cadrele juridice din 2019), permite sancționarea operatorilor APT identificați cu măsuri specifice: înghețarea activelor în UE, interzicerea intrării pe teritoriul UE, interzicerea cooperării entităților UE cu persoanele și entitățile sancționate. Sancțiunile aplicate operatorilor APT rusești și chinezi, deși cu efect operațional limitat (operatorii rareori au active substanțiale în UE), oferă cadre politice. Cooperarea cu Statele Unite pentru cadre similare oferă cadre transatlantice.
(f) PERSPECTIVE 2026-2030
Continuarea amenințării
Perspectivele atacurilor APT pentru intervalul 2026-2030 sunt configurate de multiple dinamici. Continuarea războiului ucrainean (scenariu probabil pe termen mediu), va menține intensitatea operațiunilor cibernetice rusești asupra României și aliaților. Consolidarea capabilităților ofensive cibernetice chineze, în acord cu strategia generală chineză, va consolida amenințarea. Diversificarea actorilor cibernetici (cu Iran și Coreea de Nord ca actori cu profil crescător), va extinde spectrul amenințărilor. Aceste dinamici cer adaptare instituțională continuă.
Investiții capabilități defensive
Investiții accelerate în capabilități defensive reprezintă direcție prioritară. Programe specifice prin SAFE european (cu componentă cibernetică substanțială), prin bugetul național MApN crescut, prin programe DNSC, oferă cadre. Adaptarea la noile tehnologii ofensive ale adversarilor (cu utilizarea AI pentru atacuri customizate, cu deepfakes pentru operațiuni de inducere în eroare, cu atacuri asupra modelelor AI ale apărătorilor), cere cadre tehnologice de vârf. Cooperarea cu sectorul privat IT, cu mediul academic, cu instituțiile aliate, oferă cadre cumulate.
Sistem matur 2030
Pe orizont lung, viziunea conturează un sistem național matur de monitorizare și de contracarare a atacurilor APT. Către 2030, în acord cu Strategia Națională Cybersec actualizată și cu Strategia Națională de Apărare 2025-2030, România va consolida poziționarea ca actor regional credibil în domeniul cibernetic. Cooperarea cu Polonia (cu sectorul cibernetic dezvoltat), cu statele baltice (lideri tehnologici), cu Ucraina (cu experiență operațională directă), cu Statele Unite (CYBERCOM, NSA), va consolida cadrele aliate. Această dimensiune oferă răspuns adecvat la spectrul divers al amenințărilor secolului 21.
SURSE PRINCIPALE
● Conceptul Advanced Persistent Threat (APT), USAF (2006).
● Cozy Bear (APT29), atribuit SVR (Serviciul de Informații Externe rusești).
● Fancy Bear (APT28), atribuit GRU Unitatea 26165.
● Sandworm, atribuit GRU Unitatea 74455.
● Atac SolarWinds (decembrie 2020), atribuit Cozy Bear.
● Atac NotPetya (iunie 2017), atribuit Sandworm.
● Atac BlackEnergy (decembrie 2015), Industroyer (decembrie 2016).
● Ministerul Securității Statului (MSS) chinez.
● APT10 (Stone Panda), Operațiunea Cloud Hopper (PwC, BAE Systems, 2017).
● Atribuire publică APT10 (decembrie 2018, Zhu Hua, Zhang Shilong).
● Anularea alegerilor RO de CCR (Hotărârea 32/2024, 6 decembrie 2024).
● Regim sancțiuni cibernetice UE (cadre din 2019).