Cyberoperacje rosyjskiego wywiadu. Wiele metod, ten sam cel

FBI oraz Departament Bezpieczeństwa Wewnętrznego (DHS) dokonały oceny działalności grupy hakerskiej CozyBear (znanej również jako Dukes lub APT29), powiązanej ze Służbą Wywiadu Zagranicznego Rosji (SVR). Jak podkreślono w raporcie, jej członkowie nadal będą prowadzić operacje wywiadowcze w Stanach Zjednoczonych oraz innych krajach, uciekając się do włamań do sieci i systemów konkretnych celów.

W opublikowanym dokumencie wskazano, że SVR jest zainteresowane przede wszystkim rządowymi sieciami, firmami technologicznymi, a także infrastrukturą ośrodków badawczych i podmiotów zajmujących się analizą prowadzonej polityki. Taki stan rzeczy potwierdza tzw. „hack dekady”, podczas którego hakerzy rosyjskiego wywiadu wykorzystali narzędzie do zarządzania IT „Orion” firmy SolarWinds jako wektor włamania do naczelnych agencji federalnych USA (m.in. Departamentu Stanu, Departamentu Energii czy Departamentu Bezpieczeństwa Wewnętrznego) oraz firm na całym świecie.

FBI oraz DHS jednoznacznie oceniły, że cyberoperacje SVR „od dawna stanowią zagrożenie dla Stanów Zjednoczonych”. Jak wskazały, z biegiem czasu metody oraz techniki działania rosyjskiego wywiadu zmieniają się. Przed 2018 rokiem cyberataki polegały głównie na agresywnym włamywaniu się do infrastruktury ofiary i wykorzystaniu specjalistycznych narzędzi, które miały zminimalizować możliwość wykrycia. Z kolei w ostatnich latach SVR skupiło się na użyciu złośliwego oprogramowania w celu uzyskania dostępu do zasobów chmurowych poprzez przejęcie kont (np. Microsoft Outlook 365).

Jak działa rosyjski wywiad?

Jedną z podstawowych metod używanych w cyberoperacjach przez SVR jest rozpylanie haseł, aby w ten sposób wykorzystać słabą jakość danych logowania do kont powiązanych z administratorem sieci. Przy tego typu działaniach hakerzy CozyBear nie spieszą się, a ich aktywność jest niska – wszystko w celu nie zwracania na siebie uwagi i tym samym uniknięcia wykrycia. Po przejęciu konta członkowie APT29 zmieniają uprawnienia, a następnie przejmują np. korespondencję e-mail.

Aby lepiej zabezpieczyć się przed wrogimi działaniami, polegającymi na metodzie rozpylania haseł, FBI i DHS wskazuje na konieczność obowiązkowego korzystania z uwierzytelniania wieloskładnikowego oraz prowadzenie regularnych kontroli skrzynek e-mailowych i uprawnień przypisanych do kont. Równie ważne jest wymuszanie na użytkownikach wprowadzania silnych haseł, regularne przeglądanie programu do zarządzania hasłami w danej organizacji oraz prowadzenie cyklicznych szkoleń w zakresie cyberbezpieczeństwa. W raporcie zwrócono także uwagę na kwestię ograniczenia zdalnego dostępu do sieci z nieautoryzowanych urządzeń.

Idąc dalej, FBI i DHS podkreślają, że rosyjski wywiad w ramach swoich działań często wykorzystuje podatności „0-day” w celu uzyskania dostępu do sieci i systemów. Zidentyfikowano przypadki, w których hakerzy przeprowadzili operacje używając luki VPN (CVE-2019-19781), co pozwoliło im na penetrację zasobów podmiotu będącego ofiarą. W tego typu atakach najczęściej członkowie CozyBear tworzą „przyczółek” do dalszych działań, aby w ten sposób zwiększyć skuteczność kampanii i zminimalizować ryzyko wykrycia.

Jak się bronić przed tą techniką ataków? FBI i DHS zwracają uwagę na konieczność wykorzystania oprogramowania antywirusowego, które należy regularnie aktualizować i nigdy nie wyłączać usługi ze względu na istniejące ryzyko. Oczywiście także i tutaj bardzo pomocne jest używanie uwierzytelniania dwuskładnikowego oraz stosowanie silnych haseł.

Następnie w raporcie wyróżniono złośliwe oprogramowanie „Wellmess”, które stanowi cyberbroń grupy APT29. Jak wynika z dokumentu, w ubiegłym roku rządy Wielkiej Brytanii, Kanady i USA przypisały włamania z udziałem tego wirusa hakerom rosyjskiego wywiadu. FBI wskazało na podobny we wszystkich kampaniach schemat działania w przypadku cyberoperacji z udziałem „Wellmess” – najpierw wykorzystywana jest podatność w danym oprogramowaniu, a następnie wdrażane złośliwe oprogramowanie. Metoda ta była głównym sposobem działania w przypadku cyberataków na podmioty zajmujące się szczepionkami przeciwko COVID-19.

Jak wskazano w raporcie, ochrona sieci przed tego typu włamaniem jest trudna, lecz nie niemożliwa. W związku z tym FBI i DHS rekomendują przede wszystkim zainstalowanie oprogramowania do identyfikowania podejrzanych aktywności w systemach, wdrażanie rozwiązań do ochrony punktów końcowych z możliwością monitorowania incydentów, a także – co wydaje się być stałym elementem – posługiwanie się uwierzytelnieniem dwuskładnikowym i silnymi hasłami.