Exclusiv Anton Rog, director Cyberint, la Interviurile Digi24.ro, despre atacurile Killnet: Sunt o grupare pro-rusă care apără interesele Rusiei

Anton Rog, general de brigadă al Serviciului Român de Informaţii (SRI) şi director al Centrului Naţional Cyberint, a vorbit la Interviurile Digi24.ro despre atacurile cibernetice ale hackerilor de la Killnet, dar și despre spionajul cibernetic făcut de grupări de hackeri coordante de serviciile secrete ruse.

Digistoria – cele mai importante evenimente petrecute pe 16 mai

Explozie puternică într-un bloc din Germania

Premierul Slovaciei a fost împușcat

19 copii răniți în Gaza vor fi aduși la spitale din România

Zelenski e în Harkov

Corespondență din Slovacia

Un fost șef de poliție a fost prins în timp ce conducea haotic în Constanța

Digistoria – cele mai importante evenimente petrecute pe 15 mai

Georgia a adoptat legea „agenților străini” inspirată din Rusia

Principalele declarații:

• Cetățeanul român nu făcea atacuri cibernetice. Rolul lui era unul instigator, de a indica ținte din România pe care să le atace gruparea Killnet. Aceste atacuri nu vizează numai România, ci țări din întreaga Europă.
• Dacă ne luăm după declarațiile făcute pe grupurile lor, motivul pentru care ne atacă cibernetic este că România sprijină în mod ferm Ucraina în acest război.
• Atacurile de tip DDoS sunt atacuri care nu provoacă pagube, este un rol de imagine prin care ei să arate că pot tăia accesul și să facă inaccesibilă o astfel de resursă de tip site web.
• Avem informații că sunt români care activează pe lângă această grupare, indică ținte, iar dacă nu indică ținte fac comentarii pro-Rusia, împotriva UE, României, NATO. Sunt mai mulți români care comentează în mediile în care este implicată această grupare.
• SRI este un serviciu de informații. Nu a fost implicat în reținere, SRI și-a făcut strict partea lui. Prin metodele secrete a reușit să contribuie cu informații la indentificare și localizarea, informații pe care le-a pus la dispoziția organelor de aplicare a legii din România, și împreună cu partenerul din Marea Britanie au făcut o descindere, au ridicat românul și l-au dus la interogatoriu.
• Cred că constituie o infracțiune ce a făcut, nu sunt în măsura, dar da, cred că este o infracțiune.
• Există o legătură între vizitele oficialilor români la Kiev și atacurile cibernetice. 
• Killnet afirmă că sunt o grupare de criminalitate cibernetică care nu au legătură cu guvenrul Rusiei, trebuie să vedem dacă există sau nu și există o investigație. Cei mai mulți dintre ei sunt de origine rusă, dar sunt și alții care comunică între ei în limba engleză. Putem să tragem concluzia că unii nu sunt neapărat ruși. Sunt o grupare pro-rusă care apără interesele Rusiei.
• Este treaba noastră să dovedim dacă această grupare este afiliată guvernului Rusiei. Afilierea înseamnă că este coordonată de unul sau mai multe servicii de informații din Rusia, sau este finanțată de guvernul rus. Interesul României este de a identifica membrii acestei grupări, cu numele lor, cu adresă, cu un cod unic de identificare, și în România, în alte state unde au fost astfel de atacuri, să ajungă să fie judecați, și eventual condamnați de către statele care au fost victimele unui astfel de atac.
• Unii dintre ei nu cred că înțeleg prea mult. Unii dintre ei sunt convins că o fac din teribilism fără să se gândească la consecințele penale.
• Atacurile de tip DDoS nu produc pagubă în sensul furtului de date. Trimițând către un site un număr mare de solicitări, sau se blochează canalul de date, sau siteul nu mai poate să răspundă deloc. Nu e afectată integritatea sitului, el devine doar indisponibil. Un atac DDoS nu poate să dureze la infinit, el durează ore, zile dar atât. Au resurse care sunt limitate pentru a face acest DDoS. 
• Românul din Marea Britanie avea un singur rol, de incitare, să spună pe niște grupuri de Telegram: „Atacați Digi24.ro”, să nu dau alt exemplu. Nu ați fost singura instituție media atacată. Echipa tehnică a fost în legătură cu noi, nu a avut nevoie de un sprijin deosebit, din fericire aveți o echipă tehnică, dar într-adevăr atacul întreptat împotriva Digi24 a fost unul serios. Echipa tehnică a făcut față, au fost momente în care siteul a mers mai greu, dar nu a fost jos. Motive: Acele siteuri de știri care au promovat mesaje corecte împotriva războiului din Ucraina au devenit ținte pentru ei. 
• Atacurile de tip DDoS nu presupun niște cunoștiințe tehnologice/tehnice deosebit de complexe.
• Metoda cea mai rapidă să te protejezi este să permiți accesul la site a cererilor care vin doar din țara ta. Limitând accesul, atacul nu mai are efect. A doua metodă, există mecanisme de tipul Cloudflare, pe care le oferă o companie mare de bigtech. 
• Noi nu ne uităm doar la aceste atacuri de tip DDoS. Mai sunt și atacuri avansate, realizate de grupări de criminalitate cibernetică dovedite de noi sau de parteneri că sunt afiliate în mod clar guvernului Rusiei. Patru, cinci infrastructuri din România au fost ținta acestor atacuri. Scopul lor nu este să pună siteul jos, este spionajul cibernetic. Interesul lor este să fie cât mai mult timp prezenți în rețeaua respectivă și aceste date se fură și se duc mai departe la guvernul respectiv.
• FSB și GRU, din punct de vedere cibernetic, au încercat și încearcă continuu să fie prezente în unle structuri ale României pentru a face spionaj cibernetic. Sunt convins că nu le găsim pe toate (grupările cibernetice).
• Momentul în care intră în joc Cyberint este momentul în care este afectată securitatea națională. Serviciul se activează când apare o chestiune de fenomen.
• Cu siguranță aceste atacuri vor continua. Atacurile avansate, care urmăresc spionajul cibernetic, urmăresc să rămân în rețelele respective pentru o perioadă cât mai lungă de timp. Nu am avut nici măcăr o zi din 2017 până în 2022 să nu descoperim că a fost o încercare de atac.
• Nu aș zice că a crescut numărul de atacuri de când a început războiul, dar insistența cu care fac aceste atacuri a rămas. 
• Vin atacuri și din alte țări? Absolut, da. Dar, deoarece avem relații diplomatice bune cu unele țări, nu vreau să le amintesc.
• Prin faptul că STS găzduiește o multitudine de siteuri guvernamentale, acele servere au fost sub atac. Am făcut schimb de adrese de IP folosite în aceste atacuri cibernetice de tip DDoS.
• Despre siteul Aeroportului Otopeni: L-au găzduit în Polonia. A fost atacat doar siteul, nu partea operațională.
• Nu exclud în viitor un atac în zona instalațiilor de control industrial, în care să afecteze unul dintre operatorii de utilități: gaze, apă, transport. Este unul dintre scenariile pe care SRI îl are în lucru.
• Despre un eventual atac asupra unei centrale nucleare: Pot să vă spun că au o echipă tehnică foarte bună, că respectă protocoale de securitate foarte stricte, prin mediul internet nu pot să ajung la rețea, nu sunt conectate la internet.
• Din datele pe care le dețin la acest moment, nu există un pericol pentru afectarea unor instalații de control industrial.
• Noi am fost primii în valul acesta de atacuri, noi am avut deja expertiză, cu cei din Moldova le-am pus la dispoziție IP-uri, sfaturi și schimb de date.
• Sfaturi pentru a ne proteja: Ar fi bine să am un sistem de operare cumpărat, să îmi pun toate actualizările la zi. Ar fi bine să am un produs antivirus chiar gratuit. La telefon, la fel, sistemul de operare este bine să fie actualizat la zi, pentru că producătorii încearcă să elimine cât mai multe vulnerabilități. Dacă ajungem la factorul uman, vă rog să nu dați click pe linkurile care vin de la persoane necunoscute, să îmi pun parole complexe, pe care să le țin minte și să nu le pun pe bilețele. 
• Cloud guvernamental: Este o infrastructură tehnologică formată din servicii hardware și software care poate fi privit din diverse unghiuri. Cetățeanul se poate uita la cloud din punct de vedere al serviciilor care pot să îi facă viața mai ușoară. Din punct de vedere al unei companii, nu putem să discutăm despre un cloud guvernamental solid fără să avem registrul comerțului parte din cloud. Când toate aceste instituții ale guvernului României vor fi prezente în cloud, atunci schimbul de date între ele se poate face prin mecansime automatizate, controlate din punct de vedere al accesului și auditate. Rolul cloudului este să asigure interoperabilitate și să scutească companiile, cetățeanul de plimbările pe la acele ghișee. Dacă eu trebuie să merg la Casa de Sănătate și trebuie să pun o copie după buletin, să nu o mai pun, să și-o tragă automat de la evidența populației.
• De ce e controversat? Pentru că nu toată lumea e bine intenționată, pentru că anumiți oameni au anumite interese de business și cred că prin apariția cloud-ului intereselor lor le sunt amenințate, nu vor declara asta public, dar putem să găsim și astfel de motivație. Sunt dezvoltatori de software care vând deja aplicații, niște clouduri mai mici, către niște instituții publice și există teamă că ADR va dezvolta acele aplicații din banii din PNRR și nu mai poate să vând serviciile respective, pentru că vor fi în cloud.