![](https://www.criticmedia.ro/wp-content/uploads/2024/12/documente-din-sedinta-csat-desecretizate-reteaua-calin-georgescu-coordonata-de-un-actor-statal-850x491.jpg)
Documente din ședința CSAT desecretizate: ”Rețeaua Călin Georgescu, coordonată de ”un actor statal” serverele STS pentru alegeri au fost atacate”.
Președintele României, Klaus Iohannis, a fost de acord cu declasificarea documentelor prezentate de serviciile de informații în ședința CSAT, în legătură cu campania lui Călin Georgescu. Documentele arată rețeaua uriașă de conturi de TikTok care a fost activată cu 2 săptămâni înainte de alegeri, precum și finanțatorii și susținătorii lui Georgescu. De asemenea, din documente aflăm despre implicațiile Federației Ruse, precum și despre atacuri cibernetice ale unor „actori statali”.
”Președintele României, Klaus Iohannis, a fost de acord cu declasificarea, potrivit legii, la solicitarea instituțiilor emitente, a informațiilor prezentate de Serviciul Român de Informații, Serviciul de Informații Externe și Ministerul Afacerilor Interne în cadrul ședinței Consiliului Suprem de Apărare a Țării, din data de 28 noiembrie 2024. Totodată, precizăm că Hotărârea adoptată de membrii CSAT în ședința din data de 28 noiembrie 2024 a fost transmisă, la finalul ședinței, Serviciului Român de Informații, Serviciului de Informații Externe, Ministerului Afacerilor Interne, Serviciului de Telecomunicații Speciale, Autorității Electorale Permanente, Biroului Electoral Central, Parchetului de pe lângă Înalta Curte de Casație și Justiție, Ministerului Justiției și Autorității Naționale pentru Administrare și Reglementare în Comunicații pentru a întreprinde de urgență demersurile necesare, conform competențelor legale, în vederea clarificării aspectelor prezentate în ședința CSAT”, se arată într-un comunicat al Administrației Prezidențiale.
Ce a descoperit SRI despre rețeaua Călin Georgescu:
Potrivit documentelor prezentate de SRI, activitatea de promovare masivă a lui Călin Georgescu a presupus o campanie pe TikTok, prin intermediul mai multor conturi coordonate ce au publicat activ continuț electoral, atât cu ajutorul algoritmilor de recomandare, cât și prin promovare plătită.
1. Reteaua de conturi asociată direct campaniei lui Călin GEORGESCU a fost formată inițial din 25.000 de conturi la nivelul platformei TikTok, care au devenit foarte active cu două săptămâni înainte datei scrutinului electoral.
Campania de promovare a avut o organizare deosebit de bună, numărul urmăritorilor crescând semnificativ.
S-a observat faptul că 797 dintre conturile care au format inițial rețeaua de susținere au fost create încă din anul 2016. Acestea au avut o activitate foarte redusă (1%) până la 11.11.2024, moment la care a fost activată la capacitate maximă.
Prezintă o importanță deosebită faptul că nu au fost utilizate resurse tehnice comune și nu au fost observate adrese IP partajate (IP sharing). Concret, conturile de TikTok în cauză au avut alocate adrese IP unice, ceea ce denotă un mod de operare menit să îngreuneze activitățile de identificare a amplorii rețelei pe baza utilizării unei infrastructuri comune (aspect caracteristic rețelelor de boți).
2. Activitatea conturilor din rețea a fost organizată în afara platformei TikTok, respectiv la nivelul aplicației de mesagerie instantă Telegram.
A fost identificat canalul de Telegram Propagator – implică-te și tu, Renașterea României, Hrană Apă Energie (@propagatorcg), care are rol de a coordona alți utilizatori cu privire la postările și conținutul video distribuit.
Abonatii@propagatorcg au primit instructiuni clare privind modalitatea de actiune a conturilor, recomandãri privind comportamentul utilizatorilor la nivelul TikTok, respectiv mesajele care ar fi urmat sã fie promovate sau distribuite, în sensul includerii unor emoji special alese si a numelui candidatului pentru a exploata algoritmii TikTok.
Acestea erau pregătite anterior si încărcate instant în cadrul TikTok. Astfel, la nivelul unor grupuri dedicate de Telegram au fost identificate postãri care incurajau urmăritorii sã posteze anumite etichete predefinite (,#CG”, „#diaspora”, „#calingeorgescu”), sã distribuie anumite videoclipuri postate pe grupuri, respectiv indicatii pentru eludarea mecanismelor de verificare ale platformei TikTok (inregistrarea ecranelor si modificarea continutului pentru a fi percepute de platformä drept continut original).
În 24.11.2024,@propagatorcg avea 1.088 abonati, iar la 01.12.2024 acesta avea 5.005 utilizatori, cu o crestere de 603 membri fată de ziua anterioară.
Prima sesizare a TikTok cu privire la faptul cã se desfäsoarã o campanie de promovare a lui Călin Georgescu a avut loc în 2020, iar, în anul 2021, a fost raportat de acestia (cel mai probabil către conducerea TIK TOK) ca fiind o activitate suspectă.
Concluziile analizei actuale relevă următoarele:
• au fost identificate canale de Telegram si Discord unde se discuta cum sã se coordoneze si sa evite blocarea pe platformã, astfel că nu s-a identificat o legãtură directă între multiplele conturi de TikTok utilizate in promovarea lui Călin Georgescu, dat fiind că activitatea era desfăsurată din geolocatii multiple;
• activitatea conturilor ar fi fost coordonatã de către un actor statal, care ar fi utilizat un canal alternativ de comunicare pentru „rostogolirea” mesajelor pe platformă;
• nu foloseste ferme de boti pe platformã, ci opereazã mai discret din afară, ca sã nu încalce politicile de utilizare a platformei;
• cei implicati in campania de promovare a celui în cauză dovedesc o cunoastere foarte buna a politicilor de securitate ale TikTok, având si know-how-ul necesar pentru eludarea acestora;
• in spate este o firmã foarte bună de digital marketing;
• conturile care l-au promovat pe Călin Georgescu pe TikTok au diseminat mesaje identice, fãră sã existe coordonare pe platformă (nu au fost decelate amprente digitale care sã conecteze dispozitivele utilizate).
Cresterea conturilor nu a fost organicã (similarã unor evenimente virale natural), astfel că TikTok apreciază că, practic, sunt voluntari coordonati
Cine sunt finanțatorii:
Potrivit SRI, candidatul Călin GEORGESCU a declarat la autoritatea electoralã română (AEP) 0 lei buget de campanie electorala, respectiv că nu a cheltuit nicio sumã in cadrul acesteia.
Datele detinute au relevat implicarea contului de TikTok „bogpr”, utilizat de cetăteanul român Bogdan PESCHIR, în finantarea promovării lui Călin GEORGESCU la nivelul platformei de socializare.
Acesta, utilizând contul „bogpr” a realizat donatii pe TikTok de peste un milion de euro. Dupã ce a devenit subiect de dezbatere publicã, implicarea „bogpr” in finantarea promovării lui Călin GEORGESCU la nivelul platformei a fost confirmatã inclusiv de reprezentantii TikTok în dialogul cu autoritätile române in data de 28.11.2024.
Aceștia au confirmat identitatea utilizatorului „bogpr” și au mentionat că acesta a efectuat plăți în valoare de 381.000 de dolari, în perioada 24.10-24.11.2024, către utilizatori ai unor conturi de TikTok implicati in promovarea candidatului Călin GEORGESCU, inclusiv după data încheierii campaniei electorale. Acestea reprezintă încălcări ale politicilor TikTok si ale legislatiei electorale române.
Bogdan PESCHIR afiseaza un nivel de trai care nu corespunde activităților derulate prin intermediul companiei detinute, respectiv DIGITAL ON-RAMP SOLUTIONS SRL Brasov, înființată in anul 2021. Anterior infiintării societătii, acesta a lucrat, ca programator în cadrul unor entități (GLÓBAYA FINTECH SRL si BITXATM TECHNOLOGY SRL, ambele din Brasov) care sunt asociate cu domeniul criptomonedelor si sunt detinute, printre altii, de Gabriel PRODĂNESCU (persoanã care este si cetätean al Africii de Sud, unde a emigrat in 1995).
De asemenea, finantarea influencerilor TikTok a fost asigurată prin platforma FameUp (dedicată monetizării activitãtilor de promovare în mediul online), la nivelul căreia a fost publicatã oportunitatea de reclamá, aläturi de descrieri bine definite. Una dintre metodele de atragere la colaborare a influencerilor români pentru promovarea candidaturii lui Călin GEORGESCU a fost contactarea pe e-mail a acestora de firma
FA Agency, de origine sud-africanã, care oferea suma de 1.000 de euro pentru distribuirea unui videoclip realizat de acestia.
Atacuri cibernetice în perioada electorală
Actiuni ale unui actor cibernetic statal asupra infrastructurilor IT&C suport pentru procesul electoral, găzduite de Autoritatea Electorală Permanentă (AEP) si Serviciul de Telecomunicatii Speciale (STS).
Prin metode specifice, în data de 24.11.2024, SRI a obtinut date cu privire la unor credentiale de acces asociate „bec.ro”, „roaep.ro” si
.registrulelectoral.ro” in cadrul unor platforme de criminalitate ciberneticã de sorginte rusã, date similare fiind identificate si în cadrul unui canal privat de Telegram recunoscut pentru diseminarea de date exfiltrate din foarte multe state, mai putin Federatia Rusă.
În urma verificărilor demarate s-a stabilit că exfiltrarea s-a realizat fie prin targetarea utilizatorilor legitimi către care au fost distribuite credentialele de tip utilizator/parola, fie prin exploatarea serverului legitim de instruire pus la dispozitie de către STS la adresa https://operatorsectie.roaep.ro.
Referitor la topologia infrastructurii, STS gestioneazã secventa principalã aferentã procesului de votare: inregistrarea prezentei la vot, asigurarea corectitudinii numãrării buletinelor de vot prin inregistrarea video a procesului de deschidere a urnelor si numãrarea voturilor si centralizarea rezultatelor.
Secventa de infrastructură gestionată de AEP deserveste: afisarea in timp real a prezentei la vot, statistici referitoare distributia votului pe diverse criterii (categorii, de vârstã, sex, mediu urban/rural etc.), precum si punerea la dispozitie a legislatiei electorale.
Aceste postări au fost efectuate dupã ce în data de 19.11.2024, un incident cibernetic a targetat si a afectat infrastructura IT&C a AEP, în urma căruia atacatori cibernetici au compromis un server de härti (gis.registrulelectoral.ro), conectat atât in exterior, la internet, cât si la reteaua internă a AEP.
În context, a fost identificat un număr ridicat de atacuri cibernetice (peste 85.000), care au vizat exploatarea vulnerabilitãtilor existente la nivelul sistemelor informatice de suport pentru procesul electoral, în vederea obtinerii accesului la datele din sistemele informatice, alterării integritătii acestora, schimbării continutului prezentat publicului larg si indisponibilizãrii infrastructurii.
Centrul National Cyberint a derulat evaluäri tehnice asupra sistemelor informatice conexe prin analizarea fisierelor de jurnalizare aferente intervalului 20-26.11.2024, generate de echipamentele de securitate cibernetică utilizate de:
– prezenta.roaep.ro – platformă de monitorizare si afisare statistici privind prezenta la vot;
– voting.roaep.ro – platformã cu tranzactii blockchain;
– prezidentiale1-sicpv.bec.ro – sistem informatic de centralizare al proceselor verbale;
– simpv.bec.ro – sistem informatic de monitorizare a prezentei la vot;
– simpv.roaep.ro – sistem informatic de monitorizare a prezentei la vot;
– simpv.stsnet.ro – sistem informatic de monitorizare a prezentei la vot.
Atacurile în cauză au continuat într-un mod sustinut, inclusiv in ziua alegerilor si în noaptea post alegeri (25.11.2024). Pentru lansarea atacurilor au fost utilizate sisteme informatice din peste 33 de tãri, folosind metode de anonimizare avansate pentru a îngreuna procesul de atribuire.
Mentionăm că au fost demarate investigatii specifice împreună cu AEP si STS întrucât evaluarea cu privire la atacul cibernetic este în derulare, în prezent nu detinem date certe cu privire la atacator ori cu privire la afectarea procesului electoral.
Modul de operare, precum si amploarea campaniei cibernetice conduc la concluzia cã atacatorul dispune de resurse considerabile, corelate cu un mod de operare specific unui atacator statal. Totodatã, infrastructura AEP rămâne afectată încã de vulnerabilitäti care, în măsura în care sunt exploatate de către atacatori, acestia pot realiza actiuni de escaladare a accesului în cadrul retelei si asigurarea persistentei.
Campania lui Georgescu, identică cu cea desfășurată de Rusia în Ucraina înainte de invazie
În documentele desecretizate, SIE precizează că „în urma analizei spatiului informational, raportat la lecțiile învătate prezentate la nivelul altor state, a fost identificat un tipar actional similar la nivelul Ucrainei activ în perioada premergătoare inițierii agresiunii de către Federația Rusă.
În concret campania informationalã „Echilibru si Verticalitate” este identicã cu campania ”Frate lângă Frate” derulată de Federatia Rusă în Ucraina, ambele realizându-se prin manipularea unor micro-influenceri legitimi.
Astfel, campania de influentare a Federatiei Ruse în Ucraina a fost inițiată prin intermediul unor canale de Telegram gestionate de către un administrator anonim care a solicitat realizarea unor elemente de continut pe coordonate bine definite ce promovau narativul coeziunii grupurilor etnice.”
![](https://www.criticmedia.ro/wp-content/uploads/2024/12/documente-din-sedinta-csat-desecretizate-reteaua-calin-georgescu-coordonata-de-un-actor-statal.jpg)