În timp ce NATO și UE acuză Rusia că și-a intensificat atacurile cibernetice în țările membre, România arată că e în continuare nepregătită în fața hackerilor. Autoritățile susțin că țara noastră e atacată „aproape permanent” de ruși, că zilnic sunt sute de atacuri directe asupra infrastructurii din țară, dar că facem față problemei. Cu toate astea, o serie de atacuri din ultimii ani au expus vulnerabilitățile unor instituții cheie și au arătat că autoritățile ascund gunoiul sub preș și nu răspund jurnaliștilor atunci când sunt confruntați cu problema. 

Context.ro a indexat momentele în care infrastructura IT a statului a fost penetrată de hackeri și a descoperit că, în ciuda asigurărilor că țara noastră e pregătită să lupte cu brigada cibernetică a Rusiei, suntem umiliți de adolescenți autodidacți și de grupări de hackeri care se folosesc de metode rudimentare. Mai mult decât atât, autoritățile mușamalizează atacurile, subestimează impactul lor în comunicatele de presă, în timp ce dosarele deschise de procurori ajung pierdute în sertare.

În iulie 2023, hackerii au atacat site-urile mai multor instituții publice, inclusiv pe cel al Ministerului Cercetării, Inovării și Digitalizării, acolo unde au și afișat un mesaj. Operațiunea a avut numele #OpRomânia, iar atacatorii au furat 28 de gigabiți de date, inclusiv buletine, certificate de vaccinare, concedii medicale, mailuri interne, grile de salarizare, dar și date din platforma care monitorizează mișcările mașinilor conduse de polițiști. Datele erau de la ISU Prahova, Jandarmeria Satu Mare, Ministerul Mediului, Agenția Națională pentru Achiziții Publice și inclusiv din platforme interne ale Uniunii Europene, unde hackerii susțin că funcționarii români se autentificau cu parola „parola”. În ianuarie 2025, la peste un an de la breșa de securitate, datele furate încă sunt publice pe grupuri de Telegram. 

Chiar dacă hackerii susțin că au furat fișiere sensibile, instituțiile nu au comunicat deloc public despre atac. Informații despre existența lui sunt totuși prezente pe mai multe forumuri ale comunității de programatori și de hackeri.

sursa foto: Captură Reddit

Experți în securitate cibernetică au spus că hackerii s-au folosit de o vulnerabilitate cunoscută public și au reușit să găsească profile de social media asociate cu ei și să mapeze care sunt legăturile grupării. Membrul identificat de compania de cyber intelligence SectionX are legături cu SiegedSec, un grup de hackeri care a apărut la scurt timp după ce Rusia a invadat Ucraina. Susțin că au atacat NATO și mai multe state membre și sunt investigați de blocul nord-atlantic.

Kittensec, gruparea care a spart site-ul Ministerului Cercetării, Inovării și Digitalizării, susține că a mai atacat și Poliția din Grecia, un provider de internet din Franța și Ministerele Justiției din Italia, Panama și Chile. 

Am întrebat Ministerul Cercetării ce măsuri au fost luate după atac și de ce nu a comunicat public despre breșa de securitate. Am întrebat inclusiv dacă au fost sesizați procurorii și dacă încearcă să elimine leak-ul de pe internet. Într-un răspuns oficial, reprezentanții ministerului ne-au comunicat că incidentul de securitate a fost „soluționat într-un timp scurt” și că „nu au fost transferate informații sensibile”. 

Ministerul este contrazis însă de documentele scurse de Kittensec pe Telegram și pe site-uri de torenți.

Buletinul lui Ciolacu 

Pe 30 ianuarie 2024, Directoratul Național de Securitate Cibernetică (DNSC), instituția care e responsabilă cu protecția infrastructurii IT din țară, a anunțat că a fost sesizat de Parlament cu privire la un atac cibernetic în care gruparea de hackeri Knight a furat 250 de GB de date interne, inclusiv copia după buletinul premierului Marcel Ciolacu. 

Premierul Marcel Ciolacu, în Parlamentul României (sursa foto: Inquam Photos / George Călin)

O parte din aceste date au fost publicate pe dark web, pe site-ul grupării, cu avertismentul că toate documentele vor fi făcute publice dacă nu vor primi echivalentul a 40.000 de dolari în criptomonede. 

Acestea au fost informațiile oferite presei, dar mai multe capturi de ecran publicate pe platforma X și pe Reddit creionează o cronologie diferită. Datele au fost publicate pe site-ul grupării de hackeri pe 26 ianuarie, cu patru zile înainte de anunțul făcut de DNSC. Inițial, hackerii au cerut o răscumpărare de 40.000 de dolari, dar apoi au crescut prețul la 250.000 de dolari. Până în prezent, autoritățile nu au mai comunicat pe subiect și nu au mai oferit detalii despre atac. 

Am întrebat DIICOT, care a anunțat în ianuarie 2024 că a deschis un dosar penal in rem, în ce stadiu se află investigația. Ne-au transmis că încă este în curs de soluționare. 

Contactați de Context.ro în aprilie 2024, reprezentanții DNSC au spus că și ei investighează subiectul și că nu ne pot oferi mai multe informații. Am revenit cu o nouă solicitare în septembrie, iar în octombrie instituția ne-a transmis că încă investighează și că nu poate oferi detalii. 

Surse Adevărul au susținut că atacul a fost posibil din cauza unei parole slabe, dar, conform experților care au analizat gruparea Knight, cel mai probabil metoda prin care au penetrat site-ul a fost alta. DNSC este instituția care ar trebui să se ocupe de protecția site-ului. În 2019, Camera Deputaților a refuzat să fie protejată de divizia de securitate a SRI și nu și-a înnoit softurile și echipamentele informatice, în ciuda recomandărilor specialiștilor. 

Knight este succesorul grupării Cyclops și oferă „ransomware-as-a-service”. Asta înseamnă că un client plătește gruparea ca să atace o țintă, să le cripteze datele și apoi să ceară răscumpărare. Metoda folosită implică trimiterea unor e-mailuri false cu oferte la platforma de turism TripAdvisor. E-mailurile conțin un fișier care, odată descărcat, începe să extragă date din calculatorul compromis. 

Țintele lor sunt companii de consultanță, retail, transport sau servicii medicale din America Latină, SUA și Asia, Italia și Spania. În afară de Camera Deputaților, alte instituții publice care au căzut pradă hackerilor au fost un orășel de 15 mii de oameni din Ohio, SUA, și departamentul de sănătate publică dintr-un stat indian.

sursa foto: Captură X

Ca să obțină recompensa, hackerii amenințau că vor face datele publice pe o „listă a rușinii”. Nu au publicat datele din România. Ele au dispărut de pe site-ul lor în aceeași zi în care presa a aflat de leak. Și-au închis site-ul, iar în februarie și-au vândut codul sursă, adică programul pe care îl foloseau pentru hacking. Nu știm dacă statul român a plătit recompensa sau cum au reușit să prevină publicarea datelor. DNSC susține că instituția nu a plătit răscumpărarea: „În ceea ce privește speculațiile legate de o posibilă plată a răscumpărării sau intervenția DNSC ori a altor autorități pentru înlăturarea datelor exfiltrate, DNSC nu a fost implicat în astfel de acțiuni”.

Într-un interviu publicat pe 27 ianuarie 2024, la o zi după ce au anunțat că au spart site-ul Camerei Deputaților, gruparea Knight a susținut că nu atacă la întâmplare, ci acționează doar în baza unor comenzi. Nu știm cine i-a plătit ca să țintească site-ul Camerei Deputaților.

După atacul de la Camera Deputaților, ministrul Cercetării, Bogdan Ivan, a dat rapid vina pe „un Dorel”. Ivan a spus că datele furate au fost preponderent publice și că cele mai sensibile erau copiile după cărțile de identitate ale unor parlamentari. 

Printre datele sensibile care au fost furate sunt cereri de concedii, analize medicale, CNP-urile și datele personale ale mai multor funcționari din Parlament, protocoale interne și inclusiv deconturi și conturile bancare ale parlamentarilor. Au fost expuse inclusiv mailuri interne dintre partidul AUR și mai multe ONG-uri, dar și lista de amenzi pe care le-a primit George Simion. 

Așa cum a declarat ministrul Ivan, există și documente publice, cum ar fi declarații de avere. Doar că acestea nu sunt cenzurate, iar semnătura, adresa de domiciliu și CNP-ul sunt vizibile.

Sistemul Hipocrate

Alt atac care ar fi putut să aibă consecințe grave este cel asupra sistemului Hipocrate, software-ul pe care îl folosesc spitalele ca să stocheze datele personale ale pacienților, istoricul medical și costurile asociate cu acesta. 

La începutul lunii februarie 2024, la mai puțin de două săptămâni de la atacul asupra Camerei Deputaților, 26 de spitale au fost obligate să se deconecteze de la sistemul Hipocrate.

Anunțul de pe pagina oficială a DNSC

Hackerii le-au criptat datele și au cerut recompensă de peste 150.000 de dolari. DNSC a anunțat că atacul a fost făcut cu aplicația de ransomware BackMyData și că ținta a fost Romanian Soft Company (RSC), firma care administrează sistemul Hipocrate. 

Conform analizei companiei de securitate cibernetică SentinelOne, BackMyData e folosit ca să atace companii mici, pe care le penetrează dacă au parole nesigure. E a treia oară când sistemul Hipocrate e atacat cu exact aceeași metodă. Conform DNSC, prima oară a fost în 2019, apoi în 2021.

Pentru mentenanța sistemului, RSC primește de la spitalele din țară sute de mii de euro anual. 

Compania e înființată în 2000 de Sebastian Vlădescu, fost ministru de finanțe în guvernele Tăriceanu și Boc, condamnat definitiv în 2023 la șapte ani și patru luni de închisoare pentru corupție.

Sebastian Vlădescu este escortat de către polițiști în afara secției 6 de poliție din București, 26 mai 2023 (sursa foto: Inquam Photos / George Călin)

Conform unei investigații publicate de România Curată, Vlădescu este un apropiat al lui Sebastian Ghiță, iar Romanian Soft Company a fost asociată cu firma fostului deputat fugit din țară, Teamnet. Jurnaliștii de la România Curată scriau în 2015 că cele două firme au primit mai multe contracte cu prețuri peste media pieței și cu „cerințe absurde, care au limitat accesul celorlalți participanți la licitație”. 

În prezent, acționarii companiei RSC sunt Gheorghe Gabriel Oprea, Cristina Ioana Crăciun și Genius IT Solutions. Cristina Ioana Crăciun e parteneră de afaceri în altă companie care oferă tot servicii IT pentru spitale, Medist SRL, împreună cu fosta soție și cu fiul lui Vlădescu. 

Și în cazul atacului cibernetic asupra sistemului Hipocrate, DIICOT a anunțat că face cercetări in rem. I-am contactat ca să aflăm în ce stadiu se află ancheta. Au răspuns că încă se află în curs de soluționare. 

Atacuri și anchete

Publicația Buletin De București a relatat, în octombrie 2024, că datele personale a peste 200.000 de bucureșteni din Sectorul 5 au fost furate de hackeri. Ulterior, acestea au fost puse la vânzare pe dark web iar anunțurile conțineau informații sensibile chiar despre oficialii Primăriei Sector 5 de unde au fost furate informațiile.

În aprilie 2023, site-ul Ministerului Dezvoltării, Lucrărilor Publice și Administrației a fost spart și a afișat, pentru scurt timp, un mesaj de susținere a fraților Tate. 

O lună mai târziu, site-ul Ministerului Educației a fost atacat și a afișat un mesaj care spunea că sistemul de învățământ „nu te învață nimic” și că „ce te învață școala în 10 ani poți învăța gratis pe youtube în 10 luni”.

Mesajul afișat pe site-ul Ministerului Educației (sursa foto: webarchive.org via Edupedu.ro)

Datele nu au fost furate, iar atacurile par comise de adolescenți sau de hackeri amatori. Nu e o situație deloc nouă. 

În 2020 și 2021, un hacker de 15 ani, cu doar patru clase, a spart site-urile Poliției Locale Ploiești și a Consiliului Județean Cluj. S-a prezentat la sediul DIICOT de-abia în 2022, iar în 2023 a fost condamnat la măsura educativă a supravegherii pentru șase luni. 

În 2018, doi adolescenți de 14 și 16 ani au sabotat și accesat ilegal mai multe site-uri, inclusiv cel al PSD, Evidenței Populației din București, MAI și al Poliției Locale din Ploiești. Judecătorii au decis să aplice măsuri educative pentru șase luni. 

În timp ce adolescenții sunt prinși, anchetele care vizează grupările de hackeri rămân în sertarele procurorilor. O mare parte din condamnările date în ultimii 7 ani pentru accesarea ilegală a sistemelor informatice sunt pentru oameni care au furat carduri, nu pentru grupări specializate în crime cibernetice.

În ultimul raport, Consiliul Suprem de Apărare a Țării spune că nu putem neglija operațiunile cibernetice care ar putea să fie lansate de Rusia. Putin se concentrează tot mai mult pe operațiuni informatice ca parte din războiul hibrid dus cu țările membre NATO, iar metodele lor evoluează și sunt din ce în ce mai avansate. Atât regimul de la Kremlin, cât și Coreea de Nord se folosesc de hackeri inclusiv ca să evite sancțiunile internaționale și să obțină fonduri. 

Spre deosebire de raportul CSAT, care menționează doar că nu putem „neglija”, miniștrii telecomunicațiilor din țările UE cer îmbunătățirea capacităților de securitate cibernetică a blocului comunitar, fiindcă „sistemele digitale sunt esențiale pentru multe aspecte critice ale societăților noastre”, iar asta le face o țintă ideală pentru Rusia. Toate acestea sunt de importanță majoră pentru securitatea Uniunii. 

Cu toate acestea, hackerii reușesc să fure date de la Camera Deputaților în timp ce autoritățile subestimează problema, deschid dosare care rămân la sertar și, atunci când au ocazia, nici măcar nu informează publicul despre atacuri în care sunt compromise cantități uriașe de date.