În 24 noiembrie, atunci când a avut loc primul tur al alegerilor prezidențiale, începând cu ora 20:00, am fost invitat în studioul TVR Info pentru a comenta, alături de alți analiști și jurnaliști, rezultatele exit-poll.
În jurul prânzului, votasem împreună cu soția, și sesizasem pe străzi o prezență a forțelor de ordine mai mare în comparație cu alte alegeri, dar nu am dat importanță.
În schimb, seara, când am plecat cu trotineta electrică spre sediul televiziunii publice, ceea ce a fost până atunci doar o senzație a devenit certitudine – Bucureștiul era înțesat de patrule de poliție.
Pe un drum de trei kilometri, am numărat vreo patru echipaje mobile ale Ministerului de Interne și trei staționate, ceea ce m-a determinat să nu mai scurtez traseul, luând-o pe un sens interzis, ci să ocolesc puțin și să respect indicatoarele.
O săptămână mai târziu, la alegerile parlamentare, forțele de ordine nu au mai fost atât de prezente și atât de vizibile. Diferențele observate au făcut să mi se întipărească în minte gândul că în 24 noiembrie, la primul tur al alegerilor prezidențiale, a fost o situație tensionată, care a ridicat nivelul de alertă.
La patru zile după vot are loc o ședință CSAT, iar o săptămână mai târziu, în 4 decembrie, administrația prezidențială desecretizează extrase din documentele prezentate de agențiile de informații în ședința Consiliului Suprem de Apărare al Țării.
Criminalitate cibernetică de sorginte rusă
„Prin metode specifice, în data de 24.11.2024, SRI a obținut date cu privire la publicarea unor credențiale de acces asociate cu <bec.ro>, <roaep.ro> și <registrulelectoral.ro> în cadrul unor platforme de criminalitate cibernetică de sorginte rusă”, se arată într-unul dintre cele două rapoarte SRI, desecretizate.
„Date similare au fost identificate și în cadrul unui canal privat de Telegram recunoscut pentru diseminarea de date exfiltrate din foarte multe state, mai puțin Federația Rusă”, se mai precizează în raport.
Răspunsul la ridicarea nivelului de alertă, remarcat cu ochiul liber în data de 24 noiembrie, se află în acest prim paragraf al raportului SRI.
Cei implicați în campania de promovare a lui Călin Georgescu au demonstrat o cunoaștere foarte bună a politicilor de securitate ale TikTok și know-how-ul necesar pentru eludarea acestora.
Raport SRI, 4 decembrie 2024
Informațiile respective indică și faptul că acela a fost momentul în care reprezentanții Serviciului Român de Informații au conștientizat faptul că instituții din țară se află sub un atac extern de o gravitate deosebită.
Pentru cei care susțin în continuare că Rusia nu a fost identificată ca actor ostil care a intervenit în procesul electoral din România, atât în documentul SRI, cât și în cel SIE, sunt referințe clare ce descriu acțiunile Moscovei.
Obiectivele atacului
„În urma verificărilor demarate, s-a stabilit că exfiltrarea s-a realizat fie prin targetarea utilizatorilor legitimi, către care au fost distribuite credențialele de tip utilizator/parolă, fie prin exploatarea serverului legitim de instruire pus la dispoziție de către STS la adresa https://operatorsectie.roaep.ro", se arată în raportul SRI.
Ofițerii de informații folosesc un limbaj complicat, intenționat sau nu, greu de înțeles de către public și deloc explicat în cadrul dezbaterilor care au loc în aceste zile pe marginea crizei generate de anularea alegerilor.
Cu alte cuvinte, SRI anunță că un atac cibernetic cu originea în Rusia a urmărit preluarea controlului asupra serverului care stoca informațiile electorale - liste, procese verbale, rezultate - prin două metode:
- păcălirea unor utilizatori legitimi prin mesaje electronice (fishing) pentru a le fi furată parola;
- scoaterea din uz a serverului prin trimiterea unui număr uriaș de solicitări către acesta într-o perioadă scurtă de timp;
„STS gestionează secvența principală aferentă procesului de votare: înregistrarea prezenței la vot, asigurarea corectitudinii numărării buletinelor de vot prin înregistrarea video a procesului de deschidere a urnelor și numărarea voturilor, precum și centralizarea rezultatelor”, se precizează în raportul SRI.
De asemenea „secvența de infrastructură gestionată de AEP deservește: afișarea în timp real a prezenței la vot, statistici referitoare la distribuția votului pe diverse criterii (categorii de vârstă, sex, mediu urban/rural etc.), precum și punerea la dispoziție a legislației electorale”, se mai arată în documentul agenției de informații.
Paragrafele de mai sus indică scopul atacului, acela de a prelua controlul asupra afișării rezultatelor pe site-ul AEP, acolo unde milioane de cetățeni români urmăreau live numărătoarea voturilor.
Ce nu spune raportul e în ce măsură acest atac lansat de Rusia a avut sau nu succes.
Resurse considerabile
Trebuie amintit aici, că în aceeași zi în care a avut loc ședința CSAT, Curtea Constituțională a luat decizia de renumărare a voturilor de la turul 1 al alegerilor prezidențiale.
Menționăm că au fost demarate investigații specifice împreună cu AEP și STS. Întrucât evaluarea cu privire la atacul cibernetic este în derulare, în prezent nu deținem date certe cu privire la atacator sau cu privire la afectarea procesului electoral.
Raport SRI, 4 decembrie 2024
În contextul desfășurării evenimentelor ulterioare, care au dus, în final, la anularea alegerilor prezidențiale, și analizarea atentă a datelor din documentele desecretizate, e posibil ca decizia CCR de renumărare să aibă o legătură și cu faptul că autoritățile nu știau dacă atacul cibernetic al Rusiei a avut sau nu succes. Dacă rezultatele publicate pe site au fost compromise, iar cifrele afișate corespund sau nu cu cele numărate manual în secțiile de votare.
„Modul de operare, precum și amploarea campaniei cibernetice, conduc la concluzia că atacatorul dispune de resurse considerabile, corelate cu un mod de operare specific unui atacator statal”, se arată în raportul SRI.
„Totodată, infrastructura AEP rămâne afectată încă de vulnerabilități care, în măsura în care sunt exploatate de către atacatori, aceștia pot realiza acțiuni de escaladare a accesului în cadrul rețelei și asigurarea persistenței”, se subliniază în documentul serviciului secret.
Cu alte cuvinte, la momentul în care au fost strânse și redactate informațiile, SRI nu știa dacă atacul Rusiei a avut succes sau nu. După deciziile politice luate, cum ar fi hotărârea CCR de renumărare, tendința în interiorul CSAT a fost să se considere că atacul a produs pagube și a compromis procesul electoral.
Au fost identificate canale de Telegram și Discord unde se discuta cum să se coordoneze și să evite blocarea pe platformă, astfel că nu s-a identificat o legătură directă între multiplele conturi de TikTok utilizate în promovarea lui Călin Georgescu, activitatea desfășurându-se din geolocații multiple.
Raport SRI, 4 decembrie 2024
Contradicții între SRI și STS
Expresia folosită în document „atacatorul dispune de resurse considerabile” reprezintă și o constatare a slabei pregătiri în ce privește apărarea cibernetică din România, a vulnerabilităților sistemelor de comunicare digitală și a surprizei pe care a provocat-o acțiunea ostilă a Rusiei atât serviciilor secrete cât și guvernului și administrației prezidențiale.
Astăzi, putem spune - cu datele pe care le avem în față, cu blocajul politic și cu luarea unor decizii instituționale brutale - că operațiunea de compromitere a procesului electoral a avut două componente principale:
- O acțiune condusă pe rețelele sociale, în special pe TikTok, care urmărea să crească în mod brusc și artificial susținerea pentru Călin Georgescu - acțiunea care a reușit. Călin Georgescu a fost urcat până pe locul cinci în tendințele globale de pe TikTok, o premieră pentru un candidat la alegeri din spațiul european.
- O acțiune de atac cibernetic asupra serverelor STS prin care se urmărea provocarea unei disrupții majore în ce privește colectarea datelor din secțiile de votare, urmată de modificarea acestora; Despre cea de a doua acțiune nu sunt date suficiente în acest moment pentru a ști ce pagube a făcut și în ce măsură a reușit sau nu.
„Activitatea conturilor ar fi fost coordonată de către un actor statal, care ar fi utilizat un canal alternativ de comunicare pentru <rostogolirea> mesajelor pe platformă”, se arată în raportul SRI.
Deși nici președintele în funcție, nici primul ministru nu recunosc oficial, criza provocată sistemului electoral din România de acțiunile ostile din exterior și din interior a fost atât de mare încât a compromis atât Autoritatea Electorală Permanentă cât și Biroul Electoral Central, instituții a căror funcționare, conducere, proceduri și protecție cibernetică trebuie refăcute din temelii.
Dar mai există o problemă majoră ce reiese din rapoartele desecretizate, o direcție de conflict între SRI și STS, care au dat informații, cel puțin în unele faze de desfășurare a crizei, care se bat cap în cap. Dar o încercare de descifrare a acestui conflict, va fi făcută în articolul viitor.