O campanie globală de spionaj electronic a afectat două ministere şi două instituţii de stat româneşti. Campania "Epic Turla" a fost descoperită de experţii de la Kaspersky Lab şi atacurile asupra site-urilor româneşti au fost confirmate de Serviciul Român de Informaţii.

Potrivit purtătorului de cuvânt al SRI, Sorin Sava, instituţia este în alertă. În total, pe teritoriul României au fost identificate 15 victime: două ministere, două instituţii guvernamentale, companii private, dar şi utilizatori de internet rezidenţial sau de mobil.

Campania hackerilor este o operaţiune de spionaj cibernetic ce vizează informaţii clasificate, a declarat Ştefan Tănase, senior security researcher Kapersky, pentru Adevărul. "Informaţiile căutate de malware odată ce a infectat un computer sunt informaţii confidenţiale. Cât despre domeniile de interes, caută în principal documente sau emailuri legate de NATO, Uniunea Europeană şi ce ţine de politica de energie a UE. Căutările se fac pe bază de cuvinte cheie", mai spune Tănase.

La nivel global au fost atacate ministere de Interne, ministere de Comerţ, ambasade şi ministere de Externe, dar şi nişte ţinte educaţionale, de cercetare şi companii private. "România este pe locul şapte ca număr de victime, iar ca site-uri infectate care distribuie acest atac, suntem pe primul loc, cu şase site-uri. Asta înseamnă că, în momentul de faţă, apetitul atacatorilor pentru noi victime în România este foarte ridicat", explică expertul Kaspersky.

Printre site-urile româneşti infectate se numără un site de antreprenoriat rural în zona de graniţă. Pe hackeri îi mai interesează şi comunităţile locale şi comunităţile religioase din Transilvania şi zona de vest. Sunt afectate site-uri ale cultelor ortodoxe din acea regiune.

Câteva detalii găsite în codul sursă indică către o grupare de hackeri din Rusia, sau dintr-o ţară vorbitoare de limbă rusă.

"Nu avem cum să ştim exact de unde originează operaţiunea, dar ar putea fi dintr-o ţară vorbitoare de limbă rusă. În codul malware-ului am găsit unele linii şi unele module care au nume ruseşti. De exemplu, există un modul numit «zagruzchik», care este echivalentul rusesc al cuvântului bootloader. De asemenea, în momentul în care malware-ul este activat de la sediul de comandă şi control, codul se schimbă în caractere chirilice. Asta nu înseamnă neapărat că operaţiunea vine din Rusia, ci doar că cei din spatele ei sunt vorbitori de limbă rusă", explică Tănase.

Costurile acestei campanii se ridică la câteva sute de milioane de dolari şi în spate se află, cel mai probabil, un stat. "Un atac de o asemenea sofisticare are în spate o entitate puternică. Nu este făcut de amatori, într-un garaj. Iar costurile de investiţie sunt uriaşe", spune Costin Raiu, Director de Cercetare şi Analiză la Kaspersky.