Hackeri ruși au vizat infrastructura critică britanică
O amplă campanie de atacuri cibernetice, denumită „FortiBleed” de către cercetători, a compromis peste 80.000 de firewall-uri Fortinet, afectând conturi ale unor instituții guvernamentale britanice, inclusiv ale Ministerului de Externe și ale administrațiilor locale. Potrivit investigațiilor publicate de The Telegraph și citate de Digi24 și HotNews (via Mediafax), atacatorii au obținut adrese de e-mail și parole aparținând unor funcționari britanici aflați în misiuni peste hotare, precum și ale unor angajați din autoritățile locale precum Derbyshire și Waltham Forest. Volodîmîr Diachenko, cercetătorul în securitate cibernetică care a identificat atacul, a avertizat că breșa ar putea oferi acces la „rețelele centrale” ale Ministerului Afacerilor Externe și ar putea afecta și alte departamente guvernamentale.
Atacul, încă activ conform experților, a exploatat o vulnerabilitate a sistemelor Fortinet și a folosit credențiale obținute anterior din alte breșe de securitate. Accesul la aceste conturi compromise este acum oferit spre vânzare pe forumuri de pe dark web pentru sume care ajung până la 60.000 de dolari (aproximativ 44.000 de lire sterline). Printre conturile vizate se numără și cele ale specialiștilor IT din ambasadele britanice din Thailanda și Mauritius, detalii subliniate de toate sursele analizate.
Pe lângă instituțiile guvernamentale, infrastructura critică a Regatului Unit a fost o țintă majoră. Datele de autentificare compromise includ detalii de conectare pentru organizații din sistemul sanitar britanic (NHS), companii din sectorul energetic și furnizori cheie de medicamente. Dr. Saif Abed, expert în securitate cibernetică și fost medic NHS, a avertizat că o astfel de breșă poate fi primul pas către atacuri de tip ransomware cu efecte „catastrofale” asupra funcționării spitalelor și asupra siguranței pacienților. El a subliniat că organizațiile NHS, farmaciile, laboratoarele și furnizorii acestora depind în mare măsură de produse precum cele compromise de FortiBleed.
Acest avertisment vine în contextul unui atac cibernetic anterior, din iunie 2024, atribuit unor hackeri susținuți de Rusia, asupra companiei de servicii de patologie Synnovis. Atacul a dus la anularea a peste 1.000 de operații și aproximativ 2.000 de programări medicale în Regatul Unit, un exemplu concret al impactului devastator pe care astfel de incidente îl pot avea asupra serviciilor esențiale. Experții în securitate cibernetică menționează că hackerii folosesc date de autentificare valide din scurgeri anterioare pentru a transforma dispozitivele compromise în centre de colectare a datelor pentru exploatări ulterioare, o tehnică sofisticată de persistență.
Centrul Național pentru Securitate Cibernetică (NCSC) din Marea Britanie a confirmat existența unui atac de tip „brute force” asupra echipamentelor Fortinet și a emis o alertă urgentă. NCSC a instruit organizațiile să își verifice urgent rețelele, să izoleze dispozitivele compromise și să schimbe parolele reutilizate sau implicite. Un purtător de cuvânt al NCSC a declarat că au oferit sprijin organizațiilor afectate și a recomandat înscrierea la serviciul de alertă timpurie pentru a detecta și opri atacurile. Această recomandare subliniază gravitatea situației și necesitatea unei reacții rapide din partea entităților vizate.
Deși codul utilizat în atac ar fi fost scris în limba rusă și cercetătorii afirmă că operațiunea provine din Rusia, autoritățile britanice precizează că nu există dovezi directe care să indice implicarea statului rus. Cu toate acestea, serviciile britanice de informații au avertizat în repetate rânduri că grupările de hackeri care operează din Rusia beneficiază adesea de un mediu permisiv și pot acționa în interesul Moscovei fără o legătură oficială demonstrată. Anne Keast-Butler, șefa agenției britanice de informații GCHQ, declara în mai 2024 că există o apropiere tot mai mare între serviciile de informații ruse și grupările de hackeri care desfășoară atacuri asupra unor ținte occidentale. Ea a afirmat că Rusia nu mai creează doar un mediu propice, ci „susține și inspiră aceste entități cibernetice nestatale”, sugerând o relație de tip „quid pro quo” prin care hackerii beneficiază de azil în schimbul atacurilor cibernetice.
De ce contează
Acest incident subliniază vulnerabilitatea infrastructurii critice și guvernamentale în fața atacurilor cibernetice sofisticate. Compromiterea datelor de autentificare poate duce la acces neautorizat în sisteme vitale, perturbând servicii publice esențiale precum sănătatea și energia. Faptul că aceste date sunt scoase la vânzare pe dark web amplifică riscul de exploatare ulterioară, transformând o breșă inițială într-o amenințare continuă. Pentru cetățeni, aceasta înseamnă riscul de întreruperi ale serviciilor medicale, energetice și de securitate națională, afectând direct calitatea vieții și încrederea în instituțiile statului.
Impactul potențial al acestor atacuri este vast, de la spionaj cibernetic până la sabotaj direct al infrastructurii. Relația ambiguă dintre statul rus și grupurile de hackeri adaugă un strat de complexitate, făcând dificilă atribuirea directă și, implicit, răspunsul diplomatic. Organizațiile și guvernele trebuie să investească masiv în securitate cibernetică, să implementeze politici stricte de gestionare a parolelor și să colaboreze internațional pentru a contracara aceste amenințări persistente.
Pe termen lung, este crucială dezvoltarea unor strategii de reziliență cibernetică care să permită recuperarea rapidă și eficientă după astfel de incidente.