Document SRI desecretizat de CSAT: Atacurile cibernetice ample care au vizat infrastructura IT din procesul electoral indică un mod de operare specific unui actor statal

Modul de operare, precum și amploarea atacurilor cibernetice asupra infrastructurilor IT folosite în procesul electoral conduc la concluzia ca atacatorul dispune de resurse considerabile, corelate cu un mod de operare specific unui atacator statal, se arată într-o analiză SRI desecretizată miercuri de CSAT, în care nu se menționează însă despre ce stat ar fi vorba.

Potrivit sursei citate, în data de 24.11.2024, SRI a obținut date cu privire la publicarea unor credențiale de acces asociate ,bec.ro”, ,roaep.ro” si ,registrulelectoral.ro” in cadrul unor platforme de criminalitate cibernetică de sorginte rusă, date similare fiind identificate și în cadrul unui canal privat de Telegram recunoscut pentru diseminarea de date exfiltrate din foarte multe state, mai puțin Federația Rusa.

În urma verificărilor demarate s-a stabilit ca exfiltrarea s-a realizat fie prin targetarea utilizatorilor legitimi către care au fost distribuite credențialele de tip utilizator/parola, fie prin exploatarea serverului legitim de instruire pus la dispoziție de către STS la adresa https://operatorsectie.roaep.ro.

Referitor la topologia infrastructurii, STS gestionează secvența principală aferenta procesului de votare: înregistrarea prezentei la vot, asigurarea corectitudinii numărării buletinelor de vot prin înregistrarea video a procesului de deschidere a urnelor si numărarea voturilor și centralizarea rezultatelor.

Secvența de infrastructura gestionată de AEP deservește: afișarea în timp real a prezenței la vot, statistici referitoare distribuția votului pe diverse criterii (categorii, de vârstă, sex, mediu urban/rural etc.), precum și punerea la dispoziție a legislației electorale.

Aceste postări au fost efectuate după ce în data de 19.11.2024, un incident cibernetic a targetat și a afectat infrastructura IT&C a AEP, în urma căruia atacatori cibernetici au compromis un server de hărți (gis.registrulelectoral.ro), conectat atât în exterior, la internet, cat și la rețeaua interna a AEP.

În context, a fost identificat un număr ridicat-de atacuri cibernetice (peste 85.000), care au vizat exploatarea vulnerabilităților existente la nivelul sistemelor informatice de suport pentru procesul electoral, în vederea obținerii accesului la datele din sistemele informatice, alterării integrității acestora, schimbării conținutului prezentat publicului larg și indisponibilizării infrastructurii.

Centrul National Cyberint a derulat evaluări tehnice asupra sistemelor informatice conexe prin analizarea fișierelor de jurnalizare aferente intervalului 20-26.11.2024, generate de echipamentele de securitate cibernetica utilizate de:

• – prezenta.roaep.ro — platforma de monitorizare si afisare statistici privind prezenta la vot;
• – voting.rogep.ro — platforma cu tranzacții blockchain;
• – prezidentiale1-sicpv.bec.ro — sistem informatic de centralizare al proceselor verbale;
• – simpv.bec.ro — sistem informatic de monitorizare a prezentei la vot;
• – simpv.roaep.ro — sistem informatic de monitorizare a prezentei la vot;
• – simpv.stsnet.ro — sistem informatic de monitorizare a prezentei la vot.

Atacurile în cauză au continuat intr-un mod susținut, inclusiv in ziua alegerilor si in noaptea post alegeri (25.11.2024). Pentru lansarea atacurilor au fost utilizate sisteme informatice din peste 33 de tari, folosind metode de anonimizare avansate pentru a îngreuna procesul de atribuire.

SRI precizează în acest document ca au fost demarate investigații specifice împreună cu AEP si STS. “Întrucât evaluarea cu privire la atacul cibernetic este in derulare, in prezent nu deținem date certe cu privire la atacator ori cu privire la afectarea procesului electoral”, potrivit sursei citate.

Totodata, infrastructura AEP rămâne afectată înca de vulnerabilități care, in măsura in care sunt exploatate de către atacatori, acestia pot realiza acțiuni de escaladare a accesului in cadrul rețelei si asigurarea persistenței, se mai arată în document.