Sunteți pe pagina 1din 46

UNIVERSITATEA MARITIMĂ CONSTANŢA

FACULTATEA DE NAVIGAȚIE ȘI TRANSPORT NAVAL

LUCRARE DE DISERTAȚIE

Coordonator ştiinţific
Conf.univ.dr.ing. Gabriel RAICU

Masterand
Adriana Luminița BÎTLAN

2017
UNIVERSITATEA MARITIMĂ CONSTANŢA

FACULTATEA DE NAVIGAȚIE ȘI TRANSPORT NAVAL

Specializarea Inginerie și Management în Domeniul Maritim și


Portuar

EVOLUȚIA AMENINȚĂRILOR DE
SECURITATE ÎN DOMENIUL NAVAL
- CONCEPTUL DE MARITIME CYBER
SECURITY

Coordonator ştiinţific
Conf.univ.dr.ing. Gabriel RAICU

Masterand
Adriana Luminița BÎTLAN

Constanţa
2017
DECLARAŢIE

Prin prezenta declar că Lucrarea de Disertație cu titlul “Evoluția amenințărilor de


securitate în domeniul naval. Conceptul de Maritime Cyber Security ” este scrisă de mine şi nu a
mai fost prezentată niciodată la o altă facultate sau instituţie de învăţământ superior din ţară sau
străinătate. De asemenea, declar că toate sursele utilizate, inclusive cele de pe Internet, sunt
indicate în lucrare, cu respectarea regulilor de evitare a plagiatului

Constanţa,
_______________
Absolvent
Adriana Luminiţa BÎTLAN
____________________
CUPRINS
Introducere……………………………………………………………………………………….6
Capitolul 1. Cyber Risk – un nou domeniu de vulnerabilitate în industria maritimă…………….8
1.1 Analiza literaturii de specialitate…………………………………………………………..8
1.2 Importanța securității cibernetice în sectorul maritim……………………………………..9
1.3 Linii directoare IMO și BIMCO privind securitatea cibernetică maritimă………………..10
1.3.1 Liniile directoare IMO privind Managementul Riscului Cibernetic pentru nave…..10
1.3.2 BIMCO - Liniile directoare privind securitatea cibernetică la bordul navelor………12
1.4 Încorporarea securității cibernetice în codurile ISPS și ISM………………………………12
1.5 Uniunea Europeană și securitatea cibernetică……………………………………………..15
1.5.1 Strategia de securitate cibernetică a UE…………………………………………….16
1.5.2 Securitatea cibernetică maritimă și strategiile de securitate maritimă a UE………...17
Capitolul 2. Maritime cyber security – atacuri și incidente recente……………………………..19
2.1 Atacuri maritime recente………………………………………………………………….19
2.1.1 Islamic Republic of Iran…………………………………………………………….20
2.1.2 Virusul Duqu – Advanced Persistent Threat (APT)………………………………...21
2.1.3 Transportul fantomă………………………………………………………………...22
2.1.4 Unitățile mobile de foraj marin……………………………………………………..23
2.2 Vulnerabilitățile echipamentelor de la bordul navelor……………………………………24
2.2.1 Sistemul industrial de control……………………………………………………….24
2.2.2 Sistemul de identificare automată…………………………………………………..25
2.2.3 Sistemul de poziționare globală…………………………………………………….27
2.2.4 Sistemul de afișare a hărților electronice……………………………………………28
2.3 Actorii cibernetici…………………………………………………………………………29
Capitolul 3. Studiu de caz – analiza virusului Icefog……………………………….…..………...31
3.1 Introducere……………………………………………………………….………………..31
3.2 Analiza atacului……………………………………………………………………….…..31
3.2.1 Atacurile spear – phishing – Microsoft Office exploits…………………………….32
3.2.2 Atacurile spear – phishing – Java exploits………………………………………….35
3.3 Statistici…………………………………………………………………………………...36
3.4 Consecințele unui atac Icefog asupra operațiunilor unui port……………………….…….40
Concluzii……………………………………………………………………………….……………42
Bibliografie ………………………………………………………………...……………………...44
LISTA FIGURILOR

Fig. 1.1 Comisia Europeană – roluri și implicare………………………………………………...15


Fig. 2.1 Sistemul de control industrial…………………………………………………………....24
Fig. 2.2 Sistemul de identificare automată……………………………………………………….26
Fig. 2.3 Sistemul de poziționare globală…………………………………………………………27
Fig. 2.4 Conceptului sistemului de afișare a hărților electronice………………………………...28
Fig. 3.1 Exemplu Icefog spear – phishing e-mail………………………………………………...32
Fig. 3.2 Exemplu Icefog spear – phishing e-mail…………………………………………………33
Fig. 3.3 Exemplu Icefog spear – phishing e-mail………………………………………………...34
Fig. .3.4 Exemplu înregistrare activitate C&C……………………………………………………36
Fig. 3.5 Organizații de care atacatorii sunt interesați…………………………………………….37
Fig. 3.6 Distribuția în funcție de numărul de accesări (procentual)……………………………...38
Fig. 3.7 Distribuția în funcție de numărul de accesări (valoare absolută)………………………..38
Fig. 3.8 Distribuția în funcție de numărul de IP-uri (procentual)……………………….………..39
Fig. 3.9 Distribuția în funcție de numărul de IP-uri (valoare absolută)………………….……….39
LISTA ABREVIERILOR

AIS Automatic Identification System


APT Advanced Persistent Threat
CLIA Cruise Lines International Association
CSA Chamber of Shipping of America
ECDIS Electronic Chart Display Information System
EDA European Defense Agency
ENISA European Network and Information Security Agency
EUMSS European Union Maritime Security Strategy
GPS Global Positioning System
ICS Industrial Control System
ICS – CERT Industrial Control Systems Cyber Emergency Response Team
INTERCARGO International Association of Dry Cargo Shipowners
INTERTANKO International Association of Independent Tanker Owners
IMO International Maritime Organization
IRISL Islamic Republic of Iran Shipping Lines
ISM International Safety Management
ISPS International Ship and Port Facility Security
GT Gross Tonnage
MODU Mobile Offshore Drilling Units
SMS Sistem de Management al Siguranței
SOLAS Safety of Life at Sea
SSP Planul de Securitate al Navei
TEU Twenty – foot Equivalent Unit
UE Uniunea Europeană
UNCLOS United Nations Convention on the Law of the Sea
USCG United States Coast Guard
VHF Very High Frequency
VTS Serviciul de Trafic Naval
Adriana Bîtlan Introducere

INTRODUCERE

Securitatea cibernetică în secolul XXI, este în continuă evoluție și schimbare pentru a


face față amenințărilor de astăzi.
Atacurile cibernetice reprezintă una dintre cele mai importante amenințări cu care se
confruntă afacerile internaționale de astăzi și sunt în creștere. Nu trece o zi fără vești despre un
atac cibernetic atât în sectoarele publice cât și în ceea ce privesc guvernele.
Pe măsură ce tehnologiile continuă să se dezvolte, tehnologia informațională și tehnologia
operațională, sunt conectate tot mai mult la internet. Acest lucru, face ca riscul accesului
neautorizat sau atacurilor să crească.
Până în 2010, majoritatea atacurilor cibernetice au fost determinate de încercarea de a
obține date personale sau sensibile din punct de vedere financiar. Astăzi, natura amenințărilor se
schimbă și firmele de afaceri din toate sectoarele au început să sufere atacuri extrem de sofisticate
și complexe, care încearcă să producă pagube materiale și operațiuni prin încercarea de a prelua
controlul asupra sistemelor.
Industria maritimă reprezintă baza pentru funcționarea eficientă a tuturor aspectelor
societății moderne, de la aprovizionarea cu materii prime, cum ar fi uleiul, fierul, cerealele și
practic fiecare produs de pe rafturile magazinelor locale și supermarket-urilor.
Economia europeană este dependentă în mod critic de deplasarea maritimă a încărcăturii
și a containerelor. Ca o consecință, este dependentă de sistemele software care controlează
operațiunile lor.
Într-un articol recent publicat în Naval Instiute Proceedings, se evidențiează faptul că
“până la 90-94% din comerțul internațional se realizează prin intermediul transportului maritim.”.
Cum majoritatea bunurilor din lume se transportă pe mare, este crucial pentru membrii industriei
maritime să înțeleagă riscurile asociate cu domeniul cibernetic.
Atacurile cibernetice în domeniul maritim au avut loc în trecut, au loc acum și vor avea
loc și în viitor. Astăzi, cu cât mai mulți marinari, brokeri de nave, agenții și alții din jurul
comunității se bazează pe internet, cu programe care au rolul de a ajuta și de a ușura sarcinile de
lucru, cu atât mai mult comunitatea maritimă va fi vulnerabilă la atacuri cibernetice.
Deși s-au raportat puține cazuri de atacuri cibernetice asupra transporturilor maritime, a
porturilor sau a facilităților portuare, ele nu sunt de tot necunoscute și diferite industrii comparabile

6
Adriana Bîtlan Introducere
au suferit atacuri informatice, ceea ce sugerează că sectorul maritim ar putea fi vulnerabil la aceste
atacuri cibernetice.
Acest proiect evaluează punctele slabe ale securității cibernetice maritime prin studii de
caz și evenimente recente pentru a determina vulnerabilitățile în cibernetica maritimă.
Lucarea este structurată astfel încât să cuprindă aspectele necesare pentru a putea
concluziona referitor la importanța atacurilor cibernetice în sectorul maritim. Structura se regăsește
astfel:
 Introducere
 Capitolul 1 – Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
 Capitolul 2 – Maritime Cyber Security – atacuri și incidente recente
 Capitolul 3 – Studiu de caz – analiza virusului ICEFOG
În primul capitol am prezentat importanța securității cibernetice în industria maritimă
precum și Liniile directoare IMO și BIMCO în domeniul securității cibernetice maritime. Tot în
primul capitol am prezentat implicarea Uniunii Europene în domeniul securității cibernetice în
industria maritimă.
În capitolul doi am prezentat incidentele și atacurile recente care au afectat industria
maritimă, precum și vulnerabilitățile echipamentelor de la bordul navelor, unde am detaliat despre
sistemul de control industrial, sistemul de identificare automată, sistemul de poziționare globală și
sistemul de afișare a hărților electronice, de asemenea, am analizat și principalii actori cibernetici.
În capitolul trei am analizat virusul Icefog, precum și principalele consecințe a unui atac
Icefog asupra operațiunilor unui port.

7
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă

CAPITOLUL 1
CYBER RISK – UN NOU DOMENIU DE VULNERABILITATE ÎN
INDUSTRIA MARITIMĂ

1.1 Analiza literaturii de specialitate

Comunitatea maritimă încă trebuie să stabilească o definiție globală pentru “securitatea


informatică maritimă.” Această lucrare acceptă definiția securității informatice a lui Merriam –
Webster: “măsurile luate pentru a proteja un computer sau un sistem informatic împotriva
accesului neautorizat sau împotriva unui atac.”1
Această lucrare definește securitatea cibernetică ca măsurile luate pentru a proteja rețeua
și activele calculatoarelor, atât pe nave cât și în terminale, porturi, precum și protejarea tuturor
echipamentelor computerizate care sprijină operațiunile maritime.2
Un atac informatic reprezintă orice “încercare de a deteriora, perturba sau de a obține
accesul neautorizat la un sistem informatic sau la rețelele de comunicații electronice.”
Sistemul cibernetic este orice “combinație de echipamente, personal, proceduri și
combinații integrate pentru a furniza servicii informatice”.3
Domeniul maritim este definit ca fiind “toate suprafețele și lucrurile din, pe, sub, privind,
adiacente, sau învecinate pe mare, ocean, sau alte căi navigabile, inclusiv toate activitățile legate
de sectorul maritim, infrastructură, oameni, mărfuri și nave.”4
Elasticitatea este definită ca “abilitatea de a se recupera sau de a se adapta după o
schimbare.”5 Pentru scopul acestui proiect, elasticitatea ciberneticii maritime înseamnă capacitatea
comunității maritime de a se recupera dupa un atac informatic.

1
Merriam-Webster Dictionary, “Cybersecurity”,
http://www.merriam-webster.com/dictionary/cybersecurity
2
Dictionary.com,“Cyber-attack” http://www.dictionary.com/browse/cyber-attack
3
BIMCO “The Guidelines on Cyber Security onboard Ships”
4
“National Plan to Achieve Maritime Domain Awareness for the National Strategy for Maritime
Security,” Department of Homeland Security, October 2005,
https://www.dhs.gov/sites/default/files/publications/HSPD_MDAPlan_0.pdf
5
Merriam-Webster Dictionary, “Resilience”, http://www.merriam-webster.com/dictionary/resilience
8
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă

1.2 Importanța securității cibernetice în industria maritimă

Securitatea cibernetică are o mare importanță pentru industria maritimă. Într-un articol
recent publicat în Naval Instiute Proceedings, se evidențiează faptul că “până la 90-94% din
comerțul internațional se realizează prin intermediul transportului maritim.”6 Cum majoritatea
bunurilor din lume se transportă pe mare, este crucial pentru membrii industriei maritime să
înțeleagă riscurile asociate cu domeniul cibernetic.
Acest proiect evaluează punctele slabe ale securității cibernetice maritime prin studii de
caz și evenimente recente pentru a determina vulnerabilitățile în cibernetica maritimă.
Industria maritimă este reactivă în stabilirea standardelor și procedurilor bazate pe
evenimentele catastrofale. Pentru a menționa un exemplu faimos, în 15 aprilie 1912, “vasul
imposibil de scufundat” Titanic s-a ciocnit cu un iceberg în timpul primei sale curse din
Southampton, Marea Britanie, către New York City.7 Considerat de mulți a fi indestructibil,
Titanic a plecat în voiaj cu un minim de bărci și veste de salvare pentru echipaj și pasageri. Lipsa
echipamentului de siguranță a dus la pierderea a mai mult de 1500 de vieți. Ca răspuns,
comunitatea internațională, în 1913, s-a reunit pentru ocrotirea vieții omenești pe mare (SOLAS).
Convenția avea rolul de a stabili practicile de transport maritim și reglementarile pentru navele din
sectorul maritim.8 Ca răspuns la catastrofa Titanic, în 1914, liderii din domeniul maritim de la
nivel mondial au mandatat cerințele de siguranță incluzând durabilitatea, încărcarea și cerințele
specifice referitoare la construcția bărcilor de salvare și la necesarul vestelor de salvare: fiecare
persoană trebuie sa aibă acces la o vestă de salvare.9
Astăzi, industria maritimă, așa cum voi face referire în această lucrare, poate fi
considerată ca “sindromul Titanic”. În contextul amenințărilor cibernetice, acest lucru înseamnă
că, comunitatea internațională acționează de obicei, numai ca răspuns la evenimente extraordinare
în ceea ce privesc atacurile cibernetice.
Atacurile maritime cibernetice au loc mai frecvent decât membrii ai comunității maritime
cred, din cauza numărului de atacuri nedeclarate și nedetectate.10 Deși cercetările au sugerat că

6
Don Walsh, “Oceans - Maritime Cyber Security: Shoal Water Ahead?” Proceedings Magazine 14,
no. 7 (2015): 1–2, http://www.usni.org/magazines/proceedings/2015-07/oceans-maritime-cyber-security-shoal-
water-ahead
7
History, “This Day in History: April 15”, http://www.history.com/this-day-in-history/titanic-sinks
8
Dan Bender, “How the Sinking of the Titanic Changed the World,” Coast Guard Compass, Official
Blog of the U.S. Coast Guard, April 14, 2010.
http://coastguard.DoDlive.mil/2010/04/how-the-sinking-of-the-titanic-changed-the-world/.
9
International Convention for the Safety of Life at Sea, 1974,
http://www.ifrc.org/docs/idrl/I456EN.pdf
10
“Maritime Cyber-Risks: Virtual Pirates at Large on the Cyber Seas,” CyberKeel, October 15, 2014,
http://www.sfmx.org/support/amsc/cybersecurity/webdocs/Maritime%20Cyber%20Crime%2010-2014.pdf
9
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
industria maritimă este vulnerabilă la atacuri cibernetice, foarte puțin a fost făcut pentru a preveni
sau descuraja aceste atacuri. În timpul unei prezentări a corpului studențesc de la Naval
Postgraduate School în martie 2015, șeful adjuct al operațiunilor navale, amiralul Michelle
Howard a subliniat preocupările tot mai accentuate ale United States Navy (USN) în ceea ce
privește securitatea informatică maritimă și potențialele amenințări asupra ei. Amiralul Howard
subliniează din nou importanța securității informatice maritime în cadrul unui interviu dat celor de
la Navy Times “Nu există o persoană în cadrul departamentului de marină care nu are desktop, nu
se ocupă de produsele Microsoft, foi de calcul Excel, baze de date, transfer de date,e-mail.”11
Pentru ca industria maritimă să ramană una de succes, industria trebuie să gândească planuri și
proceduri standardizate pentru a deveni mai rezistentă la aceste atacuri. Cu toate acestea, în ciuda
cercetărilor, foarte puține au fost făcute pentru a aborda recentele atacuri, vulnerabilitățile
echipamentelor sau pentru dezvoltarea tehnologică necesară.

1.3 Linii directoare IMO și BIMCO privind securitatea cibernetică maritimă

Ca răspuns la creșterea amenințărilor online și a vulnerabilităților navelor la potențialele


atacuri, atât IMO cât și BIMCO, au lansat linii directoare pentru a ajuta la prevenirea atacurilor
cibernetice la bordul navelor.
Amenințările cibernetice se schimbă tot timpul, iar IMO, BIMCO și celelalte asociații din
industria maritimă, vor actualiza în mod regulat orientările în domeniul cibernetic, pentru a se
asigura că, companiile de transport maritim, au acces la cele mai recente informații existente.

1.3.1 Linii directoare IMO privind Managementul Riscului Cibernetic pentru nave

Tehnologiile cibernetice au devenit esențiale pentru funcționarea și gestionarea


numeroaselor sisteme critice pentru siguranța și securitatea transportului maritim și pentru
protecția mediului marin. În unele cazuri, aceste sisteme trebuie să respecte standardele
internaționale și cerințele pavilionului. Cu toate acestea, vulnerabilitățile create prin accesarea,
interconectarea acestor sisteme, pot duce la riscuri informatice care ar trebui abordate. Sistemele
vulnerabile ar putea include, dar nu se limitează la:
 Sistemele de manipulare și de gestionare a încărcăturii
 Sistemele de control al accesului
 Sistemele administrative și de bunăstare a echipajului
 Sistemele de comunicații

11
Sam Fellman, “VCNO Michelle Howard pushes for cyber vigilance, more women in the ranks,”
Navy Times. April 12, 2015, https://www.navytimes.com/story/military/pentagon/2015/04/12/vcno-michelle-
howard-cyber-vigilance-more-women-navy-ranks/70774264/
10
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
Trebuie luată în considerare distincția dintre sistemele tehnologice informaționale și
sistemele tehnologice operaționale. Sistemele tehnologice informaționale se axează pe utilizarea
datelor ca informații. Sistemele tehnologice operaționale se axează pe utilizarea datelor pentru a
controla sau monitoriza persoanele fizice.
În 2016, IMO a aprobat Liniile directoare interimare privind Managementul Riscului
Cibernetic Maritim.
Aceste orientări sunt menite să ofere recomandări de înalt nivel pentru managementul
riscului cibernetic maritim. Pentru scopul acestor orientări, managementul riscului cibernetic face
trimitere la măsura în care un activ tehnologic este amenințat de un potențial eveniment sau
împrejurare, care poate avea ca rezultat în transportul maritim, eșecuri legate de operațiuni,
siguranță și securitate, ca o consecință a faptului că sistemele au fost pierdute sau compromise.
Părțile interesate ar trebui să ia măsurile necesare pentru a se proteja de actualele
amenințări și vulnerabilități legate de digitalizarea, integrarea și automatizarea proceselor și
sistemelor în transportul maritim.
Managementul riscului este fundamental pentru desfășurarea operațiunilor în transportul
maritim, în condiții de siguranță și securitate. Managementul riscului, în mod traditional, a fost
axat pe operațiunile în domeniul fizic, dar încrederea mare în digitalizare, rețele, automatizare,
integrare, au dus la crearea unei nevoi tot mai mari a existenței managementului riscului cibernetic
în industria maritimă.
Aceste orientări pot fi încorporate în procesele de management al riscului deja existente.
Aceste orientări sunt destinate în primul rând tuturor organizațiilor din industria maritimă,
și sunt concepute pentru a încuraja practicile managementului securității și siguranței în domeniul
cibernetic.
Vulnerabilitățile sistemelor pot rezulta din insuficiențe în proiectarea, integrarea și/sau
întreținerea sistemelor, precum și din lipsa disciplinei informatice. Managementul riscului
cibernetic trebuie să ia în considerare ambele tipuri de amenințări.
Luând în considerare potențialele amenințări și vulnerabilități, precum și potențialele
strategii de diminuare a riscurilor, organizațiile ar trebui să ia în considerare un număr de potențiale
opțiuni de control pentru managementul riscului cibernetic. Aceste posibile controale pot fi:
controale de management, controale operaționale sau controale procedurale și controale tehnice.
Un management al riscului cibernetic ar trebui să înceapă de la cel mai înalt nivel –
managementul superior. Conducerea de la cel mai înalt nivel ar trebui să încorporeze o cultură de
conștientizare a riscurilor cibernetice în cadrul tuturor nivelurilor organizației.

11
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă

1.3.2 BIMCO - Liniile directoare privind securitatea cibernetică la bordul navelor

Pe măsură ce tehnologiile continuă să se dezvolte, tehnologia informațională și tehnologia


operațională, sunt conectate tot mai mult la internet.
Acest lucru, face ca riscul accesului neautorizat sau atacurilor să crescă. Riscurile, pot
apărea, de asemena, de la personalul care are acces la sistemele de la bordul navei, de exemplu
prin introducerea unui virus prin intermediul unui stick.
Personalul care se ocupă de sistemele de la bordul navei ar trebui sa aibă pregătirea
necesară indentificării tipului modului de operare a atacurilor cibernetice.
Siguranța, consecințele comerciale și asupra mediului, a celor care nu sunt pregătiți pentru
un incident cibernetic, pot fi semnificative.
Ca răspuns la creșterea amenințărilor cibernetice, BIMCO alături de alte organizații
internaționale de transport maritim precum: INTERCARGO, INTERTANKO, CSA, CLIA; au
dezvoltat aceste linii directoare, cu scopul de a ajuta companiile să pună în aplicare procedurile și
acțiunile necesare pentru a menține securitatea sistemelor informatice de la bordul navelor.
Orientările sunt concepute pentru a dezvolta gradul de conștientizare și de înțelegere a
aspectelor esențiale ale securității informatice.
Scopul acestor linii directoare:
 Înțelegerea amenințărilor cibernetice (tipuri și etape)
 Determinarea vulnerabilităților pentru tehnologia informațională și tehnologia
operațională
 Evaluarea riscurilor
 Cybersecurity: controale tehnice și operaționale
 Planificarea pentru situații neprevăzute (de răspuns, de recuperare, de investigare)

1.4 Încorporarea securității cibernetice în codurile ISPS și ISM

Codul ISPS

În urma atacurilor din septembrie 2001, Organizația Maritimă Internațională a adoptat în


2002, codul ISPS (International Ship and Port Facility Security Code) care definește Liniile
directoare pentru prevenirea atacurilor deliberate asupra navelor și a instalațiilor portuare.
Intrat în vigoare la data de 1 iulie 2004 (SOLAS Cap. XI-2), Codul ISPS cuprinde o serie
completă de măsuri menite să îmbunătăţească securitatea navelor şi a instalaţiilor portuare.
Obiectivele sale sunt să stabilească care sunt măsurile de securitate cele mai adecvate şi
să furnizeze un cadru coerent şi standardizat pentru evaluarea riscurilor prin stabilirea nivelurilor
corecte de securitate şi a măsurilor de securitate corespunzătoare.
12
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
Codul se aplică: navelor de pasageri, navelor de marfă cu un tonaj brut12 de 500 tone sau
mai mare, unităților mobile de foraj marin și autorităților portuare.
Codul ISPS este format din două părţi, una obligatorie (Partea A) şi una recomandată
(Partea B).
Prin acest Cod sunt stabilite sarcinile și responsabilităţile care revin Guvernelor statelor
contractante, companiilor de navigaţie și navelor, precum și autorităţilor portuare.
Planul de Securitate al Navei – SSP
Conform codului ISPS, trebuie creat un plan de securitate al navei – SSP. Procedurile
planului de securitate al navei trebuie să stabilească:
 Sarcinile și responsabilitățile întregului personal al navei care are un rol în
securitate.
 Procedurile de identificare a echipamentelor sau a sistemelor defecte sau care
funcționează necorespunzator
 Procedurile și practicile de protejare a informațiilor sensibile deținute pe hârtie
sau în format electronic
 Cerințe referitoare la întreținerea echipamentelor și a sistemelor de securitate
 Procedurile pentru stabilirea, menținerea și actualizarea unui inventar al
mărfurilor periculoase sau a substanțelor periculoase transportate la bord, inclusiv
amplasarea lor.

Codul ISM

Codul Internațional de Management pentru exploatarea în siguranță a navelor și pentru


prevenirea poluării (Codul Internațional de Management al Siguranței-Codul I.S.M.) a fost adoptat
de către Organizația Maritimă Internațională (IMO) pe 4 noiembrie 1993, și reprezintă capitolul 9
din Convenția internațională SOLAS (Safety of Life at Sea).
Codul Internațional de Management pentru exploatarea în siguranță a navelor și pentru
prevenirea poluării (Codul I.S.M.) trasează responsabilitățile persoanelor care se ocupă de
operarea navelor și prevede un standard internațional pentru operarea și managementul navelor
în siguranță și a prevenirii poluării.
Se aplică tuturor navelor de peste 500 GT și proprietarilor acestora sau societăților care
le gestionează, care și-au asumat responsabilitatea pentru exploatarea navei.

12
Tonaj brut = reprezintă volumul spaţiilor închise ale navei
13
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
Obiectivele codului sunt garantarea siguranței pe mare, prevenirea vătămărilor corporale
sau pierderea de vieți omenești și evitarea deteriorării mediului, în mod deosebit a mediului marin
și a proprietății.
Fiecare companie trebuie să elaboreze, să pună în aplicare și să mențină un sistem de
management al siguranței care să includă următoarele cerințe funcționale :
 politica în domeniul siguranței și protecției mediului ;
 instrucțiuni și proceduri pentru asigurarea exploatării în siguranță a navelor și a
protecției mediului marin în conformitate cu reglementările internaționale
relevante și cu legislația statului de pavilion ;
 niveluri de autoritate definite și linii de comunicație care să permită comunicarea
între membrii personalului de la bord și între aceștia și personalul de la tărm ;
 proceduri pentru raportarea accidentelor și a non-conformităților față de
prevederile acestui cod ;
 proceduri de pregătire și de intervenție pentru a face față situațiilor de urgență ;
Manualul de Management al Siguranței
Codul ISM prevede ca proprietarii şi operatorii de nave să aibă un Sistem de Management
al Siguranţei (SMS).
Operarea sistemului de management al siguranței trebuie să fie documentat și fiecare
navă trebuie sa aibă la bord toate documentele relevante pentru nava în cauză.
Documentele utilizate pentru descrierea și punerea în aplicare a sistemului de
management al siguranței poate fi denumit în continuare Manualul de Management al Siguranței
– SMM.
Manualul de SMM este axat pe siguranța operațiunilor, a oamenilor și a mediul
înconjurător.

Securitatea Cibernetică Maritimă la bordul navelor

Manualele de SMM si SSP includ rareori politici, controale, proceduri sau politici de
securitate cibernetică.
Manualele SMM si SSP ar trebui să includă documente care să facă trimiteri la politicile
de securitate cibernetică maritimă, precum:
 Măsurile de securitate preventive desfășurate pe navă și pe uscat pentru a diminua
riscurile în sistemele IT la un nivel acceptabil.
 Politica accesului la internet care indică restricțiile aplicabile în funcție de
operațiunile efectuate pe navă
 Politici pentru utilizarea cd-urilor,stick-urilor usb,dvd-urilor

14
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
 Politica și procedurile pentru actualizarea și întreținerea sistemelor informatice și
de navigație.
 Proceduri de gestionare a incidentelor cibernetice: detectare, raportare, evaluare
și decizie, recuperare
 Formarea ofițerilor, inginerilor și a echipajului cu privire la riscurile securității
cibernetice

1.5 Uniunea Europeană și securitatea cibernetică

Eforturile comune în ceea ce privește securitatea cibernetică a UE a început încă din 2001,
când Comisia Europeană a pus în aplicare politica privind Securitatea Rețelelor și a Informațiilor
(NIS). În anul 2006, Comisia UE a publicat Strategia pentru o Societate Informațională Sigură și
în 2009, planul pentru Protecția Infrastructurilor de Informații.13 În cele din urmă, statele membre
și-au asumat propria responsabilitate în vederea protejării sistemelor de rețea. ENISA, Europol și
Agenția Europeană de Apărare (EDA) sunt cele 3 organizații principale care sunt responsabile de
coordonarea eforturilor informatice pentru toate statele membre ale UE. Responsabilitățile
ENISA: securitatea rețelelor și informațiilor, Europol se concentrează pe aspectul de aplicare a
legii și EDA coordonează acțiunile comune pentru apărarea cibernetică pentru UE. Cu sprijin din
partea organizațiilor la nivel național, UE oferă răspunsurile cele mai favorabile și strategiile
posibile.

Fig. 1.1 Comisia Europeană – roluri și implicare


Sursa: European Commission, “Cybersecurity Strategy of the European Union: An Open,
Safe and Secure Cyberspace.”

13
European Commission, “Cybersecurity Strategy of the European Union: An Open, Safe and
Secure Cyberspace.” Joint Communication to the European Parliament, The Council, The European
Economic and Social Committee and the Committee of the Regions. July 2, 2013. 5.
https://ec.europa.eu/digital-single-market/en/news/eu-cybersecurity-plan-protect-open-Internet-and-online-freedom-
and-opportunity-cyber-security
15
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă

1.5.1 Strategia de securitate cibernetică a UE

Strategia de securitate cibernetică a UE a fost semnată la 2 iulie 2013, oferind ghiduri


pentru strategii pe termen scurt și pe termen lung pentru UE. Cele 6 strategii adoptate de UE:
 Reducerea drastică a criminalității informatice
 Elaborarea unei politici de apărare cibernetică
 Obținerea unei rezistențe cibernetice
 Dezvoltarea resurselor industriale și tehnologice pentru securitatea informatică
 Stabilirea unei politici coerente internaționale privind spațiul virtual pentru UE
 Promovarea valorilor fundamentale ale UE.14
Comitetul UE înțelege amenințările iminente ale atacurilor cibernetice în UE sau în statele
membre. Aceste 6 strategii stabilesc un cadru pentru guvernele naționale și de stat pentru a gestiona
propriile responsabilități privind securitatea cibernetică.
În primul rând, obținerea unei rezistențe cibernetice în UE presupune ca sectoarele
publice și private să lucreze împreună pe durata etapelor de pregătire. Una dintre primele directive
ale Comitetului UE pt ENISA a fost să stabilească un program voluntar de certificare pentru
specialiștii IT pentru a putea determina eficacitatea instruirii și abilităților angajaților. Alte
priorități au constat în organizarea de sesiuni de instruire școlară și invitarea cadrelor universitare
ale statelor membre să ofere soluții pentru probleme cibernetice.
În al doilea rând, economia UE suferă din cauza atacurilor cibernetice și a activității
infracționale. În scopul reducerii criminalității informatice în UE, statele membre au ratificat
Convenția Consiliului Europei privind criminalitatea informatică, un acord care definește regulile
și reglementările pentru infracțiuni cibernetice naționale. Centrul European de combatere a
criminalității informatice (EC), o parte a Europol, direcționează statele membre către cele mai
bune practici pentru reducerea criminalității informatice.15
În al treilea rând, UE consideră că partenerii din industrie din sectorul privat, care
dezvoltă tehnologii pentru sectorul cibernetic, trebuie să fie dispuși să pună ca prioritate de top
securitatea pentru propriile lor tehnologii în vederea menținerii elasticității în UE. Comisia UE
direcționează ENISA și investitorii din sectorul public și privat în vederea dezvoltării de strategii
și programe care să fie în conformitate cu prevederile comisiei.

14
European Commission, “Cybersecurity Strategy of the European Union: An Open, Safe and Secure
Cyberspace.” Joint Communication to the European Parliament, The Council, The European Economic and
Social Committee and the Committee of the Regions. July 2, 2013. 4–5. https://ec.europa.eu/digital-single-
market/en/news/eu-cybersecurity-plan-protect-open-Internet-and-online-freedom-and-opportunity-cyber-security
15
European Commission, “Cybersecurity Strategy,” 9–10.
16
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
În cele din urmă, Comisia recunoaște ca deși UE a evoluat în dezvoltarea unui domeniu
cibernetic rezistent, fără sprijinul comunității internaționale, inclusiv alte națiuni, reprezentanți ai
industriei private și sectorul public, domeniul cibernetic nu va fi niciodată pe deplin elastic.

1.5.2 Securitatea cibernetică maritimă și strategiile de securitate maritimă a UE

În 2010, Agenda Digitală pentru Europa a promovat unificarea securității cibernetice


maritime, prin: “axarea pe prevenire, pregătire și conștientizare, precum și dezvoltarea de
mecanisme eficiente pentru a răspunde la atacuri informatice noi și din ce în ce mai sofisticate”. 16
În 2011, Agenția Uniunii Europene pentru Securitatea Rețelelor și Informațiilor (
European Network and Information Security Agency - ENISA) a efectuat o analiză privind
securitatea cibernetică a statelor membre într-un raport intitulat “Analiza Aspectelor de Securitate
Cibernetică în Sectorul Maritim”. Scopul ENISA este de a dezvolta relații de lucru cu UE și statele
membre, în timp ce creează cele mai bune practici pentru sistemele de informații și construirea
unor rețele de rezistență și securitate. Statele membre cuprind 28 de națiuni independente, din care
23 de căi navigabile. În total, statele membre au 1200 de porturi comerciale și industriale cu peste
8100 de nave sub pavilion, care constituie 30% din transportul maritim din lume și 40% din
comerțul între statele membre care se deplasează pe mare.17 În industia maritimă a UE, gradul de
conștientizare cu privire la securitatea cibernetică maritimă și potențialele amenințări sau actori
care vizează perturbarea lanțurilor de aprovizionare ale UE este foarte redus. În urma cercetărilor
efectuate de ENISA, aceștia sugerează că, comunitatea maritimă a UE nu înțelege în totalitate
amenințările cibernetice și de asemenea lipsa expertizelor în sistemele si rețele ICS.18 Raportul
ENISA furnizează dovezi cum că jucătorii din sectorul maritim din UE sunt din ce în ce mai
dependenți de sistemele informatice, precum și lipsa de cunoștinte în ceea ce privesc amenințările
cibernetice.
UE a ratificat strategia Uniunii Europene pentru Siguranța Maritimă (EUMSS) în 2014,
ca și cadru principal pentru securitatea maritimă. Realizând că industria maritimă este o necesitate
absolută pentru UE, statele membre s-au unit pentru a asigura flotele UE, infrastructura, pentru ca
piețele să rămână elastice.

16
“Analysis of Cyber Security Aspects in the Maritime Sector,” European Network and Information
Security Agency (ENISA), November 2011, 4, https://www.enisa.europa.eu/topics/critical-information-
infrastructures-and-services/dependencies-of-maritime-transport-to-icts
17
“The EU Maritime Security Strategy and Action Plan Information Toolkit.” European External
Action, http://eeas.europa.eu/maritime_security/docs/maritime-securityinformation-toolkit_en.pdf
18
“Analysis of Cyber Security Aspects,” ENISA, 9–18.
17
Adriana Bîtlan Cyber Risk – un domeniu de vulnerabilitate în industria maritimă
EUMSS recunoaște nouă amenințări majore la adresa securității maritime a UE, inclusiv
atacuri cibernetice. Cu toate că această legislație specială se referă la o varietate de amenințări,
legislația stabilește 5 domenii în care statele membre lucrează împreună pentru a rămâne
rezistente.19
Cele 5 domenii ale EUMSS includ:
 Acțiuni externe
 Conștientizare maritimă, supraveghere, schimb de informații
 Dezvoltarea capacităților
 Managementul riscului, protecția infrastructurii și răspunsul la crize
 Cercetarea și inovarea în domeniul securității maritime, educație și formare
profesională.
Apărarea colectivă a UE, prin norme și legi internaționale, inclusiv UNCLOS și diferite
legislații, creează o UE mai bine poziționată.

19
General Secretariat of the Council, “European Union Maritime Security Strategy.” June 24,
2014.8. https://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2011205%202014%20INIT
18
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente

CAPITOLUL 2
MARITIME CYBER SECURITY – ATACURI ȘI INCIDENTE
RECENTE

“Sunt convins că există doar două tipuri de companii: cele care au fost atacate
de hackeri și cele care vor fi. Și acestea converg spre o singură categorie:
companii care au fost atacate și care vor fi din nou atacate”.
- fost Director FBI Robert S. Muller20
De ce indivizii sau statele desfășoară atacuri cibernetice maritime? Potrivit lui Lars
Jensen, un expert în securitatea cibernetică maritimă, motivația unui atacator variază de la câștigul
financiar, la contrabandă de bunuri, la furtul secretelor companiilor din diferite industrii marine.21
Și pe mare și pe uscat, industria maritimă operează echipamente sensibile, care sunt ușor
accesibile prin intermediul internetului. Mulți utilizatori de software de navigație sau de logistică,
de exemplu, au abilitățile necesare și de instruire pentru operarea echipamentelor, dar atunci când
se confruntă cu probleme tehnice, aceiași operatori, de obicei, au nevoie de informații – suport
IT22. Lipsa setului de competențe în IT, lasă operatorii lipsiți de apărare și companiile vulnerabile
la pierderea de informații, echipamente sau profit.
CyberKell, o firmă de securitate cibernetică maritimă situată în Danemarca, susține că
protecția cibernetică maritimă ar trebui tratată foarte serios. CyberKell consideră că fiecare
operator de la bordul navei sau a unui terminal23 trebuie să fie conștienți de potențialele amenințări
ale atacurilor cibernetice pentru a putea recunoaște o problemă care ar putea apărea.

2. 1 Atacuri maritime recente

Atacurile cibernetice au loc; dacă companiile vor să recunoască sau nu acest lucru este o
altă problemă. Amenințările și vulnerabilitățile cibernetice pot include exploatarea înregistrărilor
bancare, accesarea software-ului logistic precum și preluarea controlului comenzilor de navigație
și ale motoarelor navelor.

20
Robert S. Mueller, “Combating Threats in the Cyber World: Outsmarting Terrorists, Hackers,
and Spies," Speech for the RSA Cybersecurity Conference, San Francisco, CA, March 1, 2012,
https://archives.fbi.gov/archives/news/speeches/combating-threats-in-the-cyber-world-outsmarting-terrorists-
hackers-and-spies
21
Lars Jensen, “Challenges in Maritime Cyber-Resilience,” Technology Innovation Management
Review 5, no 4. (April 2015): 37,
https://timreview.ca/sites/default/files/article_PDF/Jensen_TIMReview_April2015.pdf
22
“Maritime Cyber-Risks,” CyberKeel.
23
Un terminal este orice parte a unui port care manipulează containere sau mărfuri
19
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
Acest capitol analizează 4 atacuri documentate: atacul cibernetic asupra companiei
Islamic Republic of Iran Shipping Lines; virusul APT; primul caz de transport maritim fantomă și
breșele rețelelor unităților mobile de foraj marin.

2.1.1 Islamic Republic of Iran

Cu sancțiuni multilaterale impuse exporturilor iraniene de către comunitatea


internațională, transportul maritim joacă un rol important în menținerea în viață a economiei
Iranului. În august 2011, Islamic Republic of Iran Shipping Lines (IRISL), o companie iraniană
de transport maritim, a căzut victima unui atac informatic24. Lars Jensen, fondatorul CyberKeel, a
raportat. “Atacurile au avariat toate datele referitoare la tarife, la ratele de încărcare, datele privind
numărul de mărfuri, ducând la pierderi financiare foarte mari.”25. Potrivit lui Mohammad Hussein
Dajmar, Directorul IRISL, atacurile cibernetice vizează mărfurile și informațiile generale ale
transportului maritim de linie, și datorită severității atacului, Dajmar crede că guvernele altor țări
au fost implicate. Cantitatea de date pierdută în urma atacului cibernetic a făcut aproape imposibil
ca docherii iranieni să țină evidența containerelor plasate pe nave sau în depozite fără a fi nevoie
să verifice în mod individual toate TEU26-rile. Cu toate că Dajmar nu a spus cât de mult timp îi va
lua companiei lui să-și revină după atacul informatic și să opereze în mod normal, acesta însă a
recunoscut că “au existat pagube considerabile”.27
Un atac informatic separat, a avut loc în Iran în octombrie 2012. Oficialii de la Teheran
au raportat că atacurile cibernetice au vizat rețelele de comunicații existente pe platformele
petroliere și pe cele de gaz din Golful Persic.28. Datorită faptului că exporturile iraniene de ulei au
atins punctul maxim în 2014 ajungând la 79% din Produsul Intern Brut, guvernul Iranian și
investitorii săi au fost ingrijorați de faptul că orice oprire a rețelelor de pe platforme va avea
repercursiuni catastrofale asupra economiei iraniene.29 . Atacurile cibernetice și amenințările
asupra infrastructurii critice iraniene au împins Teheranul să investească masiv în apărarea contra
atacurilor cibernetice.30.

24
Yeganeh Torbati and Jonathan Saul, “Iran’s Top Cargo Shipping Line Says Sanctions Damage
Mounting,” Reuters, October 22, 2012, http://www.reuters.com/article/us-iran-sanctions-shipping-
idUSBRE89L10X20121022
25
“Maritime Cyber-Risks,” CyberKeel, 6.
26
TEU = twenty equivalent unit (unitate echivalentă de 20 de picioare)
27
Torbati and Saul, “Iran’s Top Cargo Shipping Line.”
28
“Iran’s Offshore Platforms Become Target,” Maritime Executive.
29
Daniel Workman, “Iran’s Top 10 Exports,” World’s Top Exports, August 29, 2015,
http://www.worldstopexports.com/irans-top-10-exports/; MarEx. “Iran’s Offshore Platforms Become
Target to Recent Cyber Attacks.” The Maritime Executive. October 9, 2012. http://maritime-
executive.com/article/iran-s-offshore-platforms-become-target-of-recent-cyber-attacks
30
Bill Gert, “Iran Rapidly Building Cyber Warfare Capabilities,” The Washington Free Beacon, May
12, 2015, http://freebeacon.com/national-security/iran-rapidly-building-cyber-warfare-capabilities/.
20
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
Din 2012, Teheranul nu a mai făcut publice alte atacuri cibernetice asupra componentelor
sale maritime.

2.1.2 Virusul Duqu – Advanced Persistent Threat (APT)

În primăvara anului 2015, experții Kaspersky Lab au descoperit un atac cibernetic care
afecta câteva sisteme interne ale companiei. Experții Kaspersky Lab au demarat o investigație
intensă și au descoperit o nouă platformă malware dezvoltată de unul dintre cei mai experimentați
și puternici actori cibernetici din peisajul APT (Advanced Persistent Threat): un atacator
necunoscut identificat drept Duqu. Experții Kaspersky Lab consideră că, atacatorii erau siguri că
atacul cibernetic lansat nu ar fi putut fi descoperit. Grupul Duqu 2.0 a utilizat și câteva instrumente
unice și noi care aproape că nu au lăsat nicio urmă. Atacatorii au exploatat vulnerabilități de tip
zero-day, au blocat drepturile administratorului domeniului și apoi au distribuit malware în rețea
prin intermediul fișierelor MSI (Microsoft Software Installer), utilizate de obicei de administratorii
de sisteme pentru instalarea de software de la distanță pe computere cu Windows. Atacul cibernetic
nu a lăsat niciun fișier pe disc în urmă și nicio schimbare de setare pe sistem, iar localizarea
acestuia a devenit extrem de dificilă. Filosofia și strategia grupului Duqu 2.0 este mult mai
complexă decât orice alt atac descoperit până acum în lumea APT-urilor. Compania Kaspersky
Lab nu este singura țintă a acestui actor foarte puternic. Experții Kaspersky Lab au descoperit și
alte victime localizate în țări din Vest, Orientul Mijlociu și Asia. La începutul anului 2015, în
timpul unui test al unui prototip al soluției anti-APT dezvoltată de Kaspersky Lab, experții au
descoperit semne ale unui atac complex asupra rețelei companiei. Ulterior, aceștia au demarat o
investigație la nivel intern. O echipa formată din cercetători, experți în inginerie inversă și analiști
de malware au lucrat pentru a analiza acest atac extraordinar și sofisticat. Kaspersky Lab publică
toate detaliile tehnice despre Duqu 2.0 pe Securelist.
Concluzii:
1. Atacul a fost plănuit și implementat cu atenție de același grup aflat în spatele atacului
Duqu descoperit în 2011. Experții Kaspersky Lab cred că această campanie a fost sponsorizată de
un stat.
2. Experții Kaspersky Lab consideră că primul obiectiv al atacului a fost să obțină
informații despre cele mai noi tehnologii ale companiei. Atacatorii au fost interesați în mod special
de informații cu privire la tehnologiile inovatoare ale produselor precum Kaspersky Lab Secure
Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network și soluțiile și
serviciile Anti-APT. Departamentele de vânzări, marketing, comunicare și legislative nu au fost
vizate de atacatori.

21
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
3. Informațiile accesate de atacatori cu privire la produsele companiei nu sunt critice.
Experții Kaspersky Lab continuă să îmbunătățească performanțele soluțiilor de securitate din
portofoliul companiei.
4. Atacatorii au arătat un interes special față de investigațiile curente Kaspersky Lab cu
privire la cele mai avansate atacuri cu țintă specifică; erau la curent cu reputația companiei în ceea
ce privește detectarea și lupta cu cele mai avansate și complexe atacuri de tip APT.
5. Atacatorii par să fi exploatat până la trei vulnerabilități de tip zero-day. Ultima
vulnerabilitate de tip zero-day31 (CVE-2015-2360) a fost reparată de Microsoft pe 9 iunie 2015
(MS15-061), după ce a fost raportată de experții Kaspersky Lab.
Programele periculoase au utilizat o metodă avansată pentru a-și ascunde prezența în
sistem: codul Duqu 2.0 există doar în memoria computerului și încearcă să șteargă orice urmă de
pe hard drive.

2.1.3 Transportul fantomă

Traficanții de droguri au încasări foarte mari de pe urma vulnerabilității sistemelor de


rețea al transportului maritim. Între anii 2011 și 2013 traficanții de droguri olandezi au reușit să
ascundă cocaină în interiorul containerelor în drumul lor către portul Anvers prin infiltrarea în
rețelele care erau responsabile de gestionarea a ceea ce se găsea în fiecare TEU.32 Potrivit lui
CyberKeel, hackerii au putut “să aibă acces de la distanță la sisteme terminalelor, și prin urmare
ei (traficanții de droguri) au putut să direcționeze containerele către proprii șoferi de camion.”33
Angajații au observat că, containerele dispar continuu și au raportat atacurile autorităților locale.
Potrivit procurorilor olandezi, contrabandiștii au pus drogurile în containerele de bunuri
comerciale care plecau din America de Sud către Anvers, în speranța că pot ajunge neobservate.
Când transportul ajungea, traficanții soseau în camioane, veneau cu facturi false pentru a putea lua
în custodie containerele cu bunuri comerciale și droguri. În momentul în care proprietarii de drept
a TEU-rilor soseau cu facturile corespunzătoare, traficanții deja plecaseră cu marfa. Docherii
credeau că ei au transferat TEU-rile proprietarilor de drept deoarece rețelele reflectau această
informație. În cele din urmă, agenții de securitate au informat autoritățile superioare, iar poliția a
descins în ascunzătoarea suspecților, găsind dispozitive de hacking, droguri, 1.3 milioane de euro
si arme de foc.34 Danny Decraene, șeful crimei organizate din Anvers “Aceste organizații
criminale caută întotdeauna noi metode de a obține droguri în afara portului. În acest caz au angajat

31
Vulnerabilitate zero-day = “gaură” în software, necunoscută, exploatată de hackeri înainte să fie fixată
32
Tom Bateman, “Police Warning after Drug Traffickers’ Cyber-attack,” BBC News, October 16,
2013, http://www.bbc.com/news/world-europe-24539417.
33
“Maritime Cyber-Risks,” CyberKeel, 8.
34
Bateman, “Police Warning.”
22
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
hackeri de la cel mai înalt nivel, băieți inteligenți, care lucrează foarte mult cu software-urile”.
Directorul Europol, Rob Wainwreight consideră că acest luru este un “nou model de afaceri”
pentru traficanții de droguri care caută să expună comunitatea cibernetică, în special în sectorul
maritim. Până în această zi, cantitatea de droguri de contrabandă în port și în afara lui este încă
necunoscută.
Penetrarea rețelelor în acest mod, a fost denumită “transport maritim fantomă”, iar Anvers
este primul caz de acest gen. Vameșii australieni au descoperit un caz similar în 2012. Criminalii
au piratat software-ul logistic pentru a vedea daca vameșul australian urmarește containerele sale.
În cazul în care încărcătura trecea neobservată de către funcționarii vamali, grupul ar intercepta
transportul. În cazul în care containerele sale sunt expuse riscului, abandonează pur și simplu marfa
pe dig pentru a evita să fie prins.

2.1.4 Unitățile mobile de foraj marin

Unitățile mobile de foraj marin (MODU) permit companiilor de petrol și gaze extracția
resurselor neexploatate. În 2013, în timpul extracției din Golful Persic, muncitorii de la o companie
petrolieră din S.U.A, au încărcat accidental un virus în sistemul principal al MODU. Efectele
acestui atac a paralizat platforma, mai ales comunicarea cu sistemele de navigație a platformei. Un
lucrător a introdus neintenționat virusul, care conținea imagini pornografice și muzică ilegală.35
Potrivit raportului, fișierele corupte care au fost descărcate de pe internet “au trecut pe la toate
sistemele informatice ale platformei când dispozitivele au fost conectate”. Împingătoarele și
echipamentul de navigație de la bordul MODU au fost imobilizate, cauzând ca MODU să se
deplaseze departe de locul de extracție, fapt care a dus la afectarea timpilor de producție.
Două cazuri similare care implică echipamente de foraj marin au fost făcute publice.
Primul caz a cauzat dezechilibrarea unei platforme de ulei, rezultând pierderea a 7 zile de
producție. Al doilea caz a implicat transportul de la o platformă din Coreea de Sud în Brazilia , în
timpul căreia un virus a pătruns în sistemul de propulsie și a dus la întârzierea livrării cu 19 zile.
Cu toate că aceste atacuri au cauzat pierderi financiare, cercetători cred că viitoare breșe
ale MODU ar putea cauza daune aduse mediului prin deversările de petrol și pierderi de vieți
omenești.36

35
Sonja Swanbeck, “Coast Guard Commandant Addresses Cybersecurity Vulnerabilities on Offshore
Oil Rigs,” CSIS Strategic Technologies Program, June 22, 2015,
http://www.csis-tech.org/blog/2015/6/22/coastguard-commandant-addresses-cybersecurity-vulnerabilities-in-
offshore-oil-rigs
36
Kate B. Belmont, “Maritime Cyber Attacks: Changing Tides,” Blank Rome Counselors at Law,
November 16, 2015, https://www.blankrome.com/index.cfm?contentID=37&itemID=3734
23
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente

2.2 Vulnerabilitățile echipamentelor de la bordul navelor

Marinarii de astăzi se bazează foarte mult pe rețelele, sistemele și sursele externe pentru
navigare. Multe amenințări cibernetice semnificative sunt rezultatul unor vulnerabilități în
echipamentele utilizate de către industria maritimă din întreaga lume. Echipamentele vulnerabile
la atacurile cibernetice includ sistemele de navigație, iar acest subcapitol examinează patru dintre
aceste sisteme critice: sistemul de control industrial (Industrial Control System - ICS), sistemul
de identificare automată (Automatic Identification System - AIS), sistemul de poziționare globală
(Global Positioning System - GPS), și sistemul de afișare a hărților electronice (Electronic Chart
Display Information System - ECDIS).

2.2.1 Sistemul industrial de control (ICS)

Un sistem industrial de control (ICS) este alcătuit din mai multe sisteme de control de la
bordul navelor care sunt conectate la rețeaua centrală. Noduri mai mici la bordul navelor permit
marinarilor să acceseze diferite date în ceea ce privește propulsia, date privind navigația și de
direcție a navei, pentru a numi câteva.

Fig. 2.1 Sistemul de control industrial


Sursa: http://www.shippipedia.com/ship-automation-control-system/

24
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
În luna iulie a anului 2013, un grup de la Universitatea din Texas au accesat ISC-ul unui
yacht, în timp ce acesta se deplasa pe Marea Mediterană. Cu permisiunea prealabilă din partea
căpitanului, grupul a preluat controlul complet al sistemului de navigație al yacht-ului și a condus
yachtul în ce direcție a dorit grupul.37 Penetrarea a expus vulnerabilitățile grave ale sistemului
automat de navigație și la cel de control al cârmei.38 Căpitanul yacht-ului, Andrew Schofield, a
declarat că “echipa a efectuat o serie de atacuri, și practic noi nu am fost conștienți de nici o
diferență”. Abilitatea echipei de la Universitatea din Texas de a controla o navă pe o distanță de
6000 mile, oferă dovezi că sistemele maritime ca platforme sunt vulnerabile, indiferent de locul
unde acestea sunt în lume. Deși testul a fost planificat și controlat, căpitanul încă este surprins că
tranziția la echipa roșie a fost insesizabilă. Testul ridică întrebări cu privire la cine altcineva ar
putea avea capacitatea de a penetra o navă folosind această tehnică.

2.2.2 Sistemul de identificare automată (AIS)

AIS este cel mai important progres pentru navigarea în siguranță din domeniul maritim
de la introducerea radarului. Sistemul a fost dezvoltat iniţial ca un instrument de evitare a
coliziunilor, pentru a permite navelor comerciale să se "vadă" reciproc, în mod mai clar în toate
condiţiile și de a îmbunătăți informațiile cârmaciului despre mediul ce-l înconjoară. Sistemul AIS
(Automatic Identification System) reprezintă o modalitate electronică de transmitere automată la
distanță a unor informații complexe privind identitatea unei nave sau a unui convoi de barje,
încărcătura aflată la bord, destinația transportului, viteza deplasării, etc. AIS este un sistem
transponder39 de transmitere de la bordul navei, prin care navele trimit în mod continuu ID-ul lor,
poziția, cursul, viteza și alte date către toate navele aflate în apropiere precum și stațiilor VTS.
Aceste informaţii sunt primite și de alte transpondere AIS la bordul navelor și de alte stații de
coastă, folosindu-le pentru a construi un ecran grafic în timp real cu traficul naval din zonă. Oferă,
de asemenea, autorităţilor portuare şi organelor de siguranţă maritimă capacitatea de a gestiona
traficul maritim şi de a reduce hazardul navigaţiei maritime.

37
Thompson, “GPS Spoofing and Jamming,” 50.
38
John Roberts, “Exclusive: GPS Flaw Could Let Terrorists Hijack Ships, Planes.” Fox News. July
26, 2013. http://www.foxnews.com/tech/2013/07/26/exclusive-gps-flaw-could-let-terrorists-hijack-ships-
planes.html; “Maritime Cyber-Risks,” 11.
39
Transponder = un dispozitiv pentru recepționarea unui semnal radio și care transmite automat un semnal diferit.
25
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente

Fig. 2.2 Sistemul de identificare automată


Sursa: USCG, 2014 https://www.navcen.uscg.gov/?pageName=NAISmain

Punctele vulnerabile ale sistemului AIS sunt bine cunoscute. De exemplu, un studiu
realizat de Trend Micro – Forward, un grup de apărare împotriva amenințărilor care se
concentrează pe sectorul tehnologic, a fost capabil sa reproducă o frecvență VHF asupra AIS care
a simultat o “navă – fantomă” într-un port și a alertat navele din apropiere că se afla pe un culoar
în care a avut loc o coliziune.40 Mai mult , Trend Micro a expus o listă completă a abilităților AIS-
ului reprodus incluzând: culoare false, viteză, pavilionul și numele navei, alerte meteorologice
false care cauzează deviații de la planul inițial de circulație, platforme de salvare maritimă false.41
În 2012, o navă de pescuit privată, angajată ilegal în activitatea de pescuit în apele
argentiniene , a evitat Paza de Coastă Argentiniană, călătorind în afara granițelor maritime ale țării
dezactivând AIS-ul de la bordul navei. Cu toate că Paza de Coastă Argentiniană a presupus că
nava a călătorit în afara apelor sale teritoriale, paza de costă s-a aflat în imposibilitatea de a urmări

40
Ferran, “The Guys Who Can Make Oil Tankers Disappear.”
41
“ Maritime Cyber-Risks,” CyberKeel, 9.
26
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
nava.42 Aceste cazuri sugerează că, atâta timp cât AIS-ul este non-criptat problemele vor continua
să rămână și legitimitatea datelor transmise prin sistem va rămâne sub semnul întrebării.

2.2.3 Sistemul de poziționare globală (GPS)

Este un sistem global de navigație prin satelit și unde radio. Sistemul GPS este o rețea de
sateliți care orbitează în jurul Pământului în puncte fixe deasupra planetei, transmițând semnale
tuturor receptorilor aflați la sol. Aceste semnale conțin un cod de timp și un punct de date
geografice care permit utilizatorului să primească poziția exactă în care se află, viteza și ora din
orice regiune de pe planetă. GPS funcționează în orice condiții meteorologice, oriunde în lume, 24
ore pe zi.

Fig. 2.3 Sistemul de poziționare globală


Sursa: https://www.gostglobal.com/vessel-tracking/tracking/

Astăzi, în industria maritimă, datele GPS sunt cruciale pentru menținerea în siguranță a
navigației pe mare a tuturor navelor. Reproducerile și bruiajul sunt două tehnici diferite, care fac
ravagii în comunitatea maritimă ori de câte ori sunt folosite. GPS Spoofing este definit ca “un atac
electronic care implică semnale care sunt trimise unui receptor pentru a controla navigația” întru-
cât bruiajul GPS-ului implica blocarea intenționată a semnalelor GPS.

42
Middleton, “Hide and Seek,” 49.
27
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
Un incident GPS avut loc în 2013, când 4 macarale au fost scoase de la comandă într-
un port din Statele Unite timp de 7 ore, din cauza unei abateri a GPS-ului. Cu toate că acest lucru
nu a fost un atac, abaterea întărește ideea că navele se bazează pe GPS pentru menținerea
operațiunilor portuare și a fluxului de bunuri și servicii.

2.2.4 Sistemul de afișare a hărților electronice (ECDIS)

Electronic Chart Display and Information System (ECDIS) este un sistem computerizat
de navigație, constituit în principal dintr-un procesor și un afișaj, o dată de baze standardizată și
senzori de navigație. ECDIS-ul nu este doar un sistem de afișare a informațiilor de navigație în
timp real, ci poate suporta multe alte funcții cum ar fi de exemplu: planificarea voiajului,
monitorizarea voiajului și o gamă întreagă de alarme. În prezent ECDIS-ul face parte din sistemul
integrat de navigație din cadrul unei punți de comandă având două părți componente: hardware și
software.
ECDIS-ul este o unealtă de un real ajutor pentru ofițerii de cart, deoarece informația
afișată este în timp real, astfel putând fi avertizați în privința eventualelor coliziuni sau a oricăror
altor pericole de navigație, de asemenea un alt avantaj este optimizarea procesului de navigație
incluzând planificarea și monitorizarea voiajului.

Fig. 2.4 Conceptul sistemului de afișare a hărților electronice


Sursa: http://www.rasfoiesc.com/inginerie/electronica/Sisteme-de-afisare-a-hartilor-44.php
28
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
În anul 2014, o echipă de cercetare software a NNC Group au descoperit mai multe puncte
slabe a unui ECDIS, care le-au permis să acceseze și să modifice fișierele ECDIS și să insereze
conținut rău intenționat. În cazul în care ar fi exploatate în scenariu real, aceste vulnerabilități pot
provoca daune grave financiare cât și daune provocate mediului.
Yevgen Dyryavyy, consultant securitate la NCC Group, a declarat că accesul la
ECDIS la bordul navelor este oarecum limitat, dar acest lucru nu ar trebui folosit ca un mecanism
unic de apărare “Un ECDIS ar putea fi accesat în continuare printr-un stick sau prin actualizarea
on-line a hărților sau prin alte sisteme care sunt conectate la rețeaua locală a navei.”

2.3 Actorii cibernetici

Diferiți actori și grupuri pot avea motive să pirateze software-ul unui terminal pentru a
obține acces la date, terminale sau chiar la o navă în sine.
Motivele atacatorilor din sectorul maritim nu sunt diferite față de alte sectoare. Anumite
atacuri sunt motivate de câștigul financiar, văzut din diferite unghiuri. Unii au ca scop furtul de
bani direct de la companiile vizate, altele vizează mărfurile de contrabandă.
Un alt tip de atac are ca scop infiltrarea, controlul sau deterioararea infastructurii. O
perturbare a infastructurii de transport maritim ar putea avea un impact semnificativ asupra
economiilor naționale.
Industrial Control Systems Cyber Emergency Response Team (ICS – CERT), clasifică
escrocii cibernetici într-una din cele 5 categorii43:
 Guvernele naționale
 Teroriști
 Spioni industriali și grupurile de crimă organizată
 Hacktiviști44
 Hackeri45
Oricare dintre aceste persoane sau grupuri ar putea provoca mai mult rău decât altele, în
baza resurselor disponibile și a tipului atacului cibernetic planificat.
Guvernele naționale reprezintă cea mai mare amenințare în ceea ce privește atacurile
cibernetice din cauza numărului mare de resurse și fonduri pe care guvernele le poate angaja
împotriva altor națiuni. Potrivit ICS – CERT, obiectivul unui atac cibernetic sponsorizat de guvern

43
Marshall E. Newberry, “Maritime Critical Infrastructure Cyber Risk.” Coast Guard Proceedings,
vol. 71, no. 4 (2014–2015):42. http://uscgproceedings.epubxp.com/i/436751-win-2015
44
Hacktivist = o persoană care câștigă accesul neautorizat la fișierele sau rețelele unui calculator în scopuri sociale
sau politice
45
Hacker = persoană care încearcă să obțină în mod illegal, controlul unui sistem de securitate, computer sau rețea,
cu scopul de avea acces la informații confidențiale sau avantaje materiale
29
Adriana Bîtlan Maritime Cyber Security – atacuri și incidente recente
împotriva altor națiuni este “de a slăbi, perturba sau distruge”.46 Cu toate că majoritatea statelor
naționale dispun de finanțarea și resursele necesare în vederea sprijinirii unui atac pe care le
consideră necesare, ICS – CERT crede că acest lucru se va schimba în următorii 5-10 ani.
Teroriștii tradiționali nu joacă un rol la fel de important în domeniul cibernetic, deoarece
potrivit lui Marshall Newberry de la ICS – CERT :“capacitățile lor cibernetice sunt mai puțin
dezvoltate decât ai altor adversari”.47
Spionii industriali și grupurile de crimă organizată sunt în căutarea de a pune bani în
buzunarele lor sau a companiilor lor. Acești spioni pot lucra în cadrul industriei maritime,
încercând să fie cât mai sus față de competitori.
Hactiviștii sunt grupuri care au o agendă politică mică. De exemplu, Greenpeace ar putea
avea hactiviști infiltrați pe o platformă petrolieră pentru a protesta împotriva forajului petrolier.
Hackerii alcătuiesc majoritatea infractorilor cibernetici de astăzi. Ceea ce îi face pe
hackeri unici, este capacitatea lor de a lucra aproape oriunde și de a ataca orice. Newberry afirmă
“ cu un număr tot mai mare de hackeri calificați și rău intenționați, probabilitatea atacurilor
finalizate cu succes crește continuu”.
Amenințarea care provine din interior însă, este cea mai periculoasă. Potrivit lui Carnagie
Mellon în 2012, o amenințare din interior este “un actual angajat, contractor sau partener de afaceri
care: are sau a autorizat accesul la rețelele, sistemele sau datele unei organizații; poate ocoli
măsurile existente de securitate fizică și electronică.48 Amenințările din interior sunt deosebit de
periculoase, deoarece acestea pot avea loc din mai multe motive. Greg Smith, un specialist în
informații afirmă că motivele amenințărilor din interior pot varia de la probleme la locul de muncă
la loialitate divizată, șantaj, comportament compulsiv sau probleme cu familia cuiva. Amenințarea
din interior poate fi mai dificil de recunoscut sau combătut într-un șantier naval și terminale.
Angajatorii speră că firmele lor vor angaja oamenii potriviți pentru locul de muncă. Amenințările
în domeniul cibernetic maritim precum și în ceea ce privește securitatea națională, sunt provocate
de persoane care cunosc foarte bine un terminal și vor să provoace daune directe și indirecte țării.

46
ICS-CERT, “Cyber Threat Source Description,” https://ics-cert.us-cert.gov/content/cyber-threat-source-
descriptions
47
Newberry, “Maritime Critical Infrastructure Cyber Risk,” 42.
48
Greg Smith, “Combating Inside Threat: The greatest Threats are the Ones with Access,” Coast
Guard Proceedings 71, no. 4 (2014–2015): 70, http://uscgproceedings.epubxp.com/i/436751-win-2015
30
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

CAPITOLUL 3
STUDIU DE CAZ - ANALIZA VIRUSULUI ICEFOG

3.1 Introducere

“Icefog” este un virus dezvoltat de unul dintre cei mai experimentați și puternici actori
cibernetici din peisajul APT ( Advanced Persistent Threat) care este activ începând din 2011,care
vizează în principal Japonia și Coreea de Sud. Printre țintele cunoscute se includ:
 Instituții guvernamentale;
 Contractori militari;
 Grupuri maritime și navale;
 Operatori de telecomunicații;
 Companii industriale și de high-tech;
 Mass-media.
Numele de “Icefog” provine de la un șir de caractere utilizat în serverul de comandă și
control. Software-ul de comandă și control este denumit în limba chineză “Dagger Tree”.
“Icegog” backdoor49 (de asemenea, cunoscut și sub numele de “Fucobha”) este un
instrument de spionaj interactiv, care este controlat în mod direct de către atacatori. Există versiuni
atât pentru Microsoft Windows cât și pentru Mac OS X.
În ultima sa “încarnare”, “Icefog” nu extrage automat date, în schimb este operat de
atacatori pentru a efectua acțiuni direct în sistemele victimei.
În timpul atacurilor “Icefog”, o serie de instrumente rău intenționate sunt încărcate în
mecanismele victimei, pentru extragerea de date. Acest studiu de caz include o descriere a
instrumentelor rău intenționate.

3.2 Analiza atacului

“Icefog”se bazează pe atacurile spear-phishing50 e-mail, prin care se încearcă păcălirea


victimei în vederea deschiderii unui atașament rău intenționat sau a unui site web.
S-au identificat mai multe tipuri de exploatare folosite prin intermediul e-mailuri-lor
împotriva țintelor:

49
Backdoor = program (de obicei secret) prin care hackerii instalează fișiere sau programe software, modifică
coduri sau detectează fișiere și câștigă acces la datele din sistem
50
Spear-phishing = practică frauduloasă de a trimite e-mail-uri, aparent de la un expeditor cunoscut sau de
încredere, în scopul de a induce persoanelor vizate dezvaluirea de informații confidențiale
31
Adriana Bîtlan Studiu de caz – analiza virusului Icefog
 CVE-2012-1856 (“Tran Duy Linh” exploit fixat în Microsoft MS12-060 security
bulletin51)
 CVE-2012-0158 (MSCOMCTL.OCX fixat cu Microsoft MS12-027 security bulletin)
 HLP exploits
Primele două vulnerabilități sunt exploatate prin intermediul documentelor Microsoft
Office (Word si Excel). Acestea par a fi cele mai comune metode folosite de atacatori în acest
moment.

3.2.1 Atacurile spear – phishing – Microsoft Office exploits

Victima primeste un e-mail cu un atașament care este fie un fișier Word (.doc) fie un
fișier Excel (.xls).
Exemplul “A”

MD5 FILENAME KASPERSKY NAME


b8bed65865ddecbd22efff0970b97321 E-mail message Exploit.MSWord.CVE-2012-
0158.bu
5f1344d8375b449f77d4d8ecfcdeda9a “AKB48 Sashihara Rino Exploit.MSWord.CVE-2012-
was super cheetah (with 0158.bu
picture). Doc based on his
confession”
9de808b3147ec72468a5aec4b2c38c20 Temporary dropper Backdoor.Win32.CMDer.ct
120f9ed8431a24c14b60003260930c37 wdmaud.drv Backdoor.Win32.CMDer.ct

Atașamentul este un “Tran Duy Linh” standard exploit pentru CVE-2012-1856.

Fig. 3.1 Exemplu Icefog spear-phishing e-mail


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 5.

51
Microsft Security Bulletin = furnizarea de informații și îndrumări cu privire la actualizările care sunt disponibile
în vederea abordării vulnerabilităților software care pot exista în produsele Microsoft
32
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

După executarea cu succes, display-ul afișează un document momeală care oferă o


imagine a unei femei îmbracată sumar:

Fig. 3.2 Exemplu Icefog spear-phishing e-mail


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 6.

Exemplul “B”

MD5 FILENAME KASPERSKY NAME


32e8d4b2f08aff883c8016b7ebd7c85b Name varies Exploit.MSWord.CVE-2012-0158.u
d544a65f0148e59ceca38c579533d040 n/a Trojan-Downloader.Win32.Agent.wqqz
9a64277e40e3db8659d359126c840897 wdmaud.drv Trojan-Downloader.Win32.Agent.wqqz

33
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

După executarea cu succes, acesta arată un document fals:

Fig. 3.3 Exemplu Icefog spear-phishing e-mail


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 7.

Exemplul “C”

MD5 FILENAME KASPERSKY NAME


61ed85d28eb18b13223e033a01cb5c05 量産用材料の件.eml Exploit.MSWord.CVE-2012-
/ Reviews for mass 0158.az
production material
43edcbd20bb5fec2c2d36e7c01d49fc7 20130128.xls Exploit.MSWord.CVE-2012-
0158.az

Acesta este un e-mail de afaceri în japoneză:

34
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

Alt exemplu (d6c90955c6f2a346c9c91be82a1f9d8c) arată așa:

3.2.2 Atacurile spear – phishing – Java exploits

Pe lângă Microsoft Office exploits , atacatorii “Icefog” sunt cunoscuți că folosesc și Java
exploits.
De exemplu, unul dintre site-urile malițioase folosite în atacuri a fost
“money.cnnpolic.com”. Java exploits descarcă și execută un “Icefog” de la următoarea adresă
URL:
www.securimalware[dot]net/info/update.exe

“Update.exe” este un “Icefog” standard dropper52, cu următorele informații:

MD5 COMPILEDON KASPERSKY NAME


78d9ac9954516ac096992cf654caa1fc 2012-07-26 03:10:51 Trojan-Downloader.Win32.Agent.
gzda

La executare, se instalează virusul “Icefog” ca “sxs.dll” în folderul Internet Explorer ( de


obicei “C:\Program Files\Internet Explorer”):

MD5 COMPILEDON KASPERSKY NAME


387ae1e56fa48ec50a46394cc51acce7 2012-07-26 03:10:48 Trojan-Downloader.Win32.Agent.
xsub

52
Dropper = un program (componentă malware) care a fost proiectat pentru a instala viruși, backdoor-uri etc. la un
sistem țintă
35
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

Pentru a primi controlul, virusul DLL (“sxs.dll”) folosește o tehnică cunoscută ca


“comandă de căutare și piratare DLL”, care profită de faptul că Internet Explorer va încărca acest
fișier din propriul său director, în loc de folderul din sistemul Windows.

Atacurile spear-phishing – HLP

Atacatorii Icefog folosesc de asemenea și fișiere HLP pentru a infecta țintele lor. Fișierele
HLP nu conțin exploits dar profită de anumite “caracteristici” Windows pentru a instala virusul.
Acest format este unul mai vechi, cunoscut sub numele de “Winhelp”,care a fost susținută
în mod nativ până la Vista și Windows 7, atunci când Microsft a livrat o componentă separată
Winhlp32.exe pentru a ajuta la eliminarea treptată a tehnologiei. Cel mai probabil, alegerea de a
profita de Winhelp indică faptul că atacatorii au o idee despre versiunea de operare a sistemului
pe care îl atacă.

3.3 Statistici

Serverele de comandă și control mențin toate înregistrările victimelor împreună cu


diversele operații efectuate asupra acestora de către operatorii C&C. Aceste înregistrări sunt
criptate cu o simplă operație XOR și disponibile pentru oricine care cunoaște locația și numele lor
pe server. Așa arată o înregistrare decodată:

Fig. 3.4 Exemplu înregistrare activitate C&C


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 33.

36
Adriana Bîtlan Studiu de caz – analiza virusului Icefog
Aceste înregistrări pot ajuta uneori la identificarea țintelor atacurilor și în unele cazuri a
victimelor.
Printre acestea se numără antreprenori din industria de apărare, cum ar fi: LigNex1 și
Selectron Industrial Company; companiile de construcții navale cum ar fi: DSME Tech, Hanjin
Heavy Industries; operatorii de telecomunicații cum ar fi: Coreea Telecom; companii media cum
ar fi: Fuji Tv si Asociația Economică Japoneză-Chineză.

Fig. 3.5 Organizații de care atacatorii sunt interesați


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 33.

În urma cercetărilor efectuate de cei de la Kaspersky, s-au identificat 12 domenii utilizate


de atacatori53:
 spekosoft.com
 kechospital.com
 unikorean.com
 pasakosoft.net
 chinauswatch.net
 msvistastar.com
 defenseasia.net
 pinganw.org
 kevinsw.net
 avatime.net
 shinebay.net
 securimalware.net – folosit în atacurile spear-phishing
Toate acestea au fost redicționate către serverul Kaspersky la: 95.211.172.143
Pentru computerele care utilizează Windows, avem următoarele caracteristici:

53
Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers” https://kasperskycontenthub.com/wp-
content/uploads/sites/43/vlpdfs/icefog.pdf, 34.
37
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

2.31

15.59 1.74

35.54 0.67
China
Korea
Germania
Austria
Taiwan
44.15
Japonia

Fig. 3.6 Distribuția în funcție de numărul de accesari(procentual)


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 35.

Chart Title
140000

120000

100000

80000

60000

40000

20000

0
Taiwan Japonia Korea China Germania Austria

Fig. 3.7 Distribuția în funcție de numărul de accesari (valoare absolută)


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 35.

38
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

2.38 1.7 0.68


2.72

China
34.35
Korea
58.16 Germania
Austria
Taiwan
Japonia

Fig. 3.8 Distribuția în funcție de numărul de IP-uri (procentual)


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 36.

180

160

140

120

100

80

60

40

20

0
China Korea Germania Austria Taiwan Japonia

Fig. 3.9 Distribuția în funcție de numărul de IP-uri (valoare absolută)


Sursa: Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”, 36.

Pentru computerele cu operare Macfog s-au observat peste 430 de IP-uri unice. În ceea
ce privește computerele cu sistem Windows, s-au identificat conexiuni de la aproape 200 de IP-
uri unice, în șase țări.
39
Adriana Bîtlan Studiu de caz – analiza virusului Icefog

3.4 Consecințele unui atac Icefog asupra operațiunilor unui port

Porturile maritime depind în mod critic de sectoarele de Energie, Comunicații și de


Sistemele de Transport pentru desfășurarea operațiunilor de zi cu zi. Alte sectoare sunt, de
asemenea, esențiale pentru funcționarea porturilor maritime, inclusiv sistemele de apă, servicii
financiare, tehnologia informației, servicii de urgență și facilitățile guvernamentale.
Porturile folosesc mai multe sisteme de informații și tehnologii de comunicații pentru
diverse funcții, incluzând navigație, comunicare, operarea echipamentelor, circulația și urmărirea
mărfurilor, operațiunile de afaceri, securitate. Companiile maritime se bazează pe sistemele
software de navigație pentru navigarea în condiții de siguranță a navelor.
Consecințele unui atac icefog asupra unui terminal de containere: impactul negativ poate
dura câteva saptamani și poate include:
 închiderea terminalului pentru câteva ore sau pentru o anumită perioadă de timp;
 închiderea terminalului va cauza pierderi financiare foarte mari;
 camioanele vor fi blocate timp de 4-6 ore;
 vor cauza întârzieri semnificative în unele lanțuri de aprovizionare;
 în urma atacului, infractorii au informații privind locația și detaliile de securitate
a containerelor, ceea ce face ca atacatorii să-și trimită proprii șoferi să fure marfa
înaintea sosirii proprietarilor de drept, fapt care duce la pierderea unor unități de
marfă;
 pierderea tuturor datelor referitoare la preț, inclusiv date despre încărcare,
numărul de mărfuri, dată și loc;
 pot deteriora macaralele pentru mai mult de 7 ore, care la rândul lor, ar putea avea
un impact semnificativ asupra operațiunilor terminalului sau portului;
 ar putea duce la o explozie și la eliberarea de poluanți în cursurile de apă. Un astfel
de atac ar putea avea ca rezultat o întrerupere a operațiunilor portului timp de
câteva săptămâni sau chiar luni;
 poate provoca ca o navă să-și schimbe direcția cursului cu scopul de a se ciocni
cu altă navă, mai ales atunci când se operează într-un canal de transport maritim
îngust. Consecința unui astfel de eveniment ar putea avea o importanță mai mare
pentru o navă care transportă mărfuri periculoase. O navă deteriorată poate
închide un port sau un canal de transport pentru câteva zile sau stoparea
operațiunilor portului.
 virusul poate afecta de asemenea și sistemele de control al accesului și de
monitorizare. Aceștia pot să manipuleze sistemele video pentru a fura informații
40
Adriana Bîtlan Studiu de caz – analiza virusului Icefog
despre cum poți avea acces în interiorul portului de la persoanele care au acces în
port. Deși, aceste atacuri nu au efecte directe asupra circulației mărfurilor, ar
permite infractorilor sa intre în port fără mari dificultăți;
 ar putea efecta și rețelele de operare de afaceri, cum ar fi cele utilizate pentru
facturare și comunicații, care pot duce la perturbarea operațiunilor unui port sau
terminal. Capacitatea operatorului terminalului de a funcționa în mod eficient ar
putea fi diminuată, până când sistemele vor fi restaurate.

Consecințele întreruperii operațiunilor unui port datorită unui atac cibernetic


asupra sectorului de producție

Multe industrii din cadrul sectorului de producție se bazează pe lanțurile de aprovizionare


“just-in-time”, care ar putea fi perturbate în cazul în care importul de materiale necesare pentru
producție ar fi întârziată de o întrerupere a operațiunilor portuare. În funcție de durata întreruperilor
portuare, companiile din sectorul de producție ar putea fi nevoite să reducă sau să oprească
producția anumitor produse până când operațiunile portuare revin la normal sau se aplică o altă
metodă de import care să nu includă porturile afectate.

Consecințele întreruperii operațiunilor unui port datorită unui atac cibernetic


asupra industriei chimice

O întrerupere a lanțului de aprovizionare pentru importul produselor chimice ar putea


duce la o creștere temporară a prețurilor interne pentru produsele chimice afectate. În cazul în care
unul sau mai multe porturi sunt închise sau se reduc în mod semnificativ operațiunile timp de
câteva zile sau săptămâni, companiile atât din interiorul cât și în afara sectorului chimic s-ar putea
confrunta cu o penurie54 de anumite substanțe chimice care împiedică producția unor chimicale
sau a altor bunuri.

54
Penurie = lipsa unor lucruri necesare
41
Adriana Bîtlan Concluzii

CONCLUZII

Domeniul cibernetic pentru comunitatea maritimă este un iceberg care așteaptă să


“lovească Titanicul”. Cu toate că au fost efectuate cercetări și diferite entități au identificat
amenințările la adresa comunității maritime, studiile au arătat faptul că rezistența cibernetică nu
este luată foarte în serios de către comunitatea maritimă.
Nu există 2 atacuri cibernetice la fel. Când au de-a face cu un domeniu vast de rețele,
sisteme și echipamente, infractorii aleg rețelele vulnerabile să se infiltreze. Este sarcina sectorelor
publice și private ale națiunilor să se asigure că, căile navigabile ale lor rămân deschise.
Ca răspuns la creșterea amenințărilor online și a vulnerabilităților navelor la potențialele
atacuri, atât IMO cât și BIMCO, au lansat linii directoare pentru a ajuta la prevenirea atacurilor
cibernetice la bordul navelor.
Amenințările cibernetice se schimbă tot timpul, iar IMO, BIMCO și celelalte asociații din
industria maritimă, vor actualiza în mod regulat orientările în domeniul cibernetic, pentru a se
asigura că companiile de transport maritim, au acces la cele mai recente informații existente.
Concluziile IMO:
 vulnerabilitățile sistemelor pot rezulta din insuficiențe în proiectarea, integrarea și/sau
întreținerea sistemelor, precum și din lipsa disciplinei informatice. Managementul riscului
cibernetic trebuie să ia în considerare ambele tipuri de amenințări.
 organizațiile ar trebui să ia în considerare un număr de potențiale opțiuni de control pentru
managementul riscului cibernetic. Aceste posibile controale pot fi: controale de
management, controale operaționale sau controale procedurale și controale tehnice.
 Un management al riscului cibernetic ar trebui să înceapă de la cel mai înalt nivel –
managementul superior. Conducerea de la cel mai înalt nivel ar trebui să încorporeze o
cultură de conștientizare a riscurilor cibernetice în cadrul tururor nivelurilor organizației.
Un atac cibernetic poate avea consecințe grave atât asupra operațiunilor unui port, cât și
asupra sectorului de producție și asupra industriei chimice. Impactul negativ poate dura câteva
săptămâni și poate include:
 închiderea terminalului pentru câteva ore sau pentru o anumită perioadă de timp;
 pierderea tuturor datelor referitoare la preț, inclusiv date despre încărcare, numărul de
mărfuri, dată și loc;
 pot deteriora macaralele pentru mai mult de 7 ore, care la rândul lor, ar putea avea un
impact semnificativ asupra operațiunilor terminalului sau portului;

42
Adriana Bîtlan Concluzii
 ar putea duce la o explozie și la eliberarea de poluanți în cursurile de apă. Un astfel de atac
ar putea avea ca rezultat o întrerupere a operațiunilor portului timp de câteva săptămâni
sau chiar luni;
 poate provoca ca o navă să-și schimbe direcția cursului cu scopul de a se ciocni cu altă
navă, mai ales atunci când se operează într-un canal de transport maritim îngust. O navă
deteriorată poate închide un port sau un canal de transport pentru câteva zile sau stoparea
operațiunilor portului.
Un lucru este pentru experții în domeniul securității cibernetice să înțeleagă problema
amenințărilor cibernetice; și alt lucru este să-i convingă și să-i educe în totalitate pe operatorii de
la fiecare nivel asupra urgenței de a se pregăti pentru ele. Constatările ENISA sugerează că
securitatea cibernetică maritimă a fost insuficientă și, în unele cazuri, inexistentă.55 ENISA
recomandă traininguri de conștientizare cibernetică și campanii , care să se axeze asupra tuturor
membrilor domeniului maritim, inclusiv operatori de terminale și marinari. Training-urile și
certificările pot fi realizate pe tot parcursul anului, când este necesar, cu sprijinul autorităților
guvernamentale care reglementează și standardizează procesul. Informarea tuturor membrilor din
comunitatea maritimă despre domeniul securității cibernetice ar putea fi un prim pas spre apărarea
cibernetică în vederea prevenirii incidentelor cibernetice accidentale de către angajați.
Dependența comunității maritime de tehnologie va continua să se extindă în viitor.
Tehnologia reprezintă un avantaj pentru operatorii care doresc să-și maximizeze eficiența și
producția. În ciuda beneficiilor sale, tehnologia a devenit o problemă pentru mulți membri ai
comunității maritime.
CyberKell consideră că, comunitatea trebuie să fie deschisă în ceea ce privesc atacurile
cibernetice din două motive. În primul rând, odată ce a avut loc un atac, terminalele, vasele sau
porturile pot lucra pentru a consolida apărarea lor împotriva atacurilor similare. În al doilea rând,
atunci când un membru al comunității maritime raportează un atac cibernetic, după ce a avut loc,
în loc să păstreze informația despre atac secretă, ar trebui să caute consiliere din partea firmelor
de securitate, cu scopul de a dezvolta lecții și proceduri pentru restaurarea sistemelor sau
descurajarea atacurilor.
Dacă alte națiuni maritime au strategii cibernetice maritime mai puternice decât ale
Statelor Unite sau ale UE, acestea ar trebui evaluate într-o directivă, pentru a servi intereselor
naționale de securitate.
Împreună, toți acești pași ar duce la o mai mare rezistență cibernetică pentru funcționarea
eficientă a industriei maritime, de care depindem toți.

55
“Analysis of Cyber Security Aspects,” ENISA, 1.
43
Adriana Bîtlan Bibliografie

BIBLIOGRAFIE

1. Bateman, Tom. “Police Warning after Drug Traffickers’ Cyber-attack.” BBC News, Oct
16, 2013. http://www.bbc.com/news/world-europe-24539417.
2. Bender, Dan. “How the Sinking of the Titanic Changed the World.” Coast Guard
Compass, Official Blog of the U.S. Coast Guard. April 14, 2010.
http://coastguard.dodlive.mil/2010/04/how-the-sinking-of-the-titanic-changed-the-world/.
3. Council of the European Union, "European Union Maritime Security Strategy," June 24,
2014.
http://register.consilium.europa.eu/doc/srv?l=EN&f=ST%2011205%202014%20INIT
4. CyberKeel, “Maritime Cyber-Risks: Virtual Pirates at Large on the Cyber Seas,” October
15, 2014
http://www.sfmx.org/support/amsc/cybersecurity/webdocs/Maritime%20Cyber%20Crim
e%2010-2014.pdf
5. Donati, Jessica, and Daniel Fineren, “Exclusive: Iran Shipping Signals Conceal Syria Ship
Movements.” Reuters, Dec 6, 2012. http://www.reuters.com/article/us-syria-iran-tracking-
idUSBRE8B50KX20121206.
6. European Network and Information Security Agency (ENISA), “Analysis of Cyber
Security Aspects in the Maritime Sector,” November 2011,
https://www.enisa.europa.eu/topics/critical-information-infrastructures-and-
services/dependencies-of-maritime-transport-to-icts.
7. European Commission, “Cybersecurity Strategy of the European Union: An Open, Safe
and Secure Cyberspace,” July 2, 2013, https://ec.europa.eu/digital-single-
market/en/news/eu-cybersecurity-plan-protect-open-Internet-and-online-freedom-and-
opportunity-cyber-security.
8. European Union, “The EU Maritime Security Strategy and Action Plan: Information
Toolkit,” accessed April 20, 2016, http://eeas.europa.eu/maritime_security/docs/maritime-
security-information-toolkit_en.pdf.
9. Gertz, Bill. “Iran Rapidly Building Cyber Warfare Capabilities.” The Washington Free
Beacon, May 12, 2015. http://freebeacon.com/national-security/iran-rapidly-building-
cyber-warfare-capabilities/.
10. Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). “Cyber Threat
Source Descriptions.” Accessed April 3, 2016. https://ics-cert.us-cert.gov/content/cyber-
threat-source-descriptions#nat.
44
Adriana Bîtlan Bibliografie
11. ISPS code IMO http://www.imo.org/OurWork/Security/Guide_to_Maritime_Security
12. ISM code IMO http://www.imo.org/OurWork/HumanElement/SafetyManagement.
13. Jensen, Lars. “Challenges in Maritime Cyber-Resilience.” Technology Innovation
Management Review 5, no. 4 (April 2015): 35-8. http://timreview.ca/article/889.
14. Kaspersky Lab. “The ICEFOG APT: a tale of cloak and three daggers”
https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/icefog.pdf
15. Newberry, Marshall, E. “Maritime Critical Infrastructure Cyber Risk.” Coast Guard
Proceedings 71, no. 4 (2014–2015): 42-44. http://uscgproceedings.epubxp.com/i/436751-
win-2015.
16. Roberts, John. “Exclusive: GPS Flaw Could Let Terrorists Hijack Ships, Planes.” Fox
News, July 26, 2013. http://www.foxnews.com/tech/2013/07/26/exclusive-gps-flaw-
could-let-terrorists-hijack-ships-planes.html.
17. Torbati, Yeganeh, and Jonathan Saul. “Iran’s Top Cargo Shipping Line Says Sanctions
Damage Mounting.” Reuters, October 22, 2012. http://www.reuters.com/article/us-iran-
sanctions-shipping-idUSBRE89L10X20121022.
18. USCG Vessel Security Plan: http://www.gpo.gov/fdsys/pkg/CFR-2010-title33-
vol1/pdf/CFR-2010-title33-vol1-sec104-405.pdf
19. USCG Vessel safety program: http://www.uscg.mil/pvs/SPV.asp.
20. Walsh, Don. “Oceans - Maritime Cyber Security: Shoal Water Ahead?” Proceedings
Magazine 14, no. 7 (2015): 88-92. http://www.usni.org/magazines/proceedings/2015-
07/oceans-maritime-cyber-security-shoal-water-ahead.
21. Workman, Daniel. “Iran’s Top 10 Exports.” World’s Top Exports, August 29, 2015.
http://www.worldstopexports.com/irans-top-10-exports/.

45