Hack Dekady. Amerykański scenariusz nie grozi Polsce?

22 grudnia 2020, 15:23
50699509678_c0de716a37_c
Fot. Sejm RP/Flickr/CC BY 2.0
  • Departament Skarbu, Departament Handlu, Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, część Pentagonu, Departament Energii (w tym Narodowa Administracja Bezpieczeństwa Jądrowego) oraz Narodowy Instytut Zdrowia USA to obecnie instytucje rządowe, będące ofiarami szeroko zakrojonej cyberoperacji ze strony aktora państwowego.
  • Specjaliści wskazują, że kampanię przeprowadziła ta sama rosyjska grupa (APT29 powiązana z FSB), która jest odpowiedzialna za cyberatak na amerykańskiego giganta FireEye i kradzież narzędzi hakerskich. Więcej pod linkiem.
  • Podczas wrogich działań wykorzystano backdoora w oprogramowaniu do zarządzania IT „Orion”. Produkt firmy SolarWinds jest popularny wśród podmiotów rządowych w wielu państwach, w tym w Polsce.
  • Szczegóły na temat cyberataku przedstawiliśmy już wcześniej na naszym portalu. Więcej informacji na temat incydentu można znaleźć tutaj.

Ministerstwo Spraw Wewnętrznych i Administracji wykorzystuje inną wersję programu „Orion” niż ta, która została użyta przez hakerów do ataku na rząd Stanów Zjednoczonych – twierdzi MSWiA w oświadczeniu przesłanym naszej redakcji. Czy korzystanie z „innej wersji” likwiduje problem potencjalnej działalności wroga w infrastrukturze polskiego rządu?

Hakerzy podczas ataku na instytucje federalne Stanów Zjednoczonych wykorzystali oprogramowanie do zarządzania IT „Orion”, którego producentem jest amerykański koncern SolarWinds. Aby włamać się do wewnętrznych sieci i systemów rządu USA, ukryli złośliwe oprogramowanie w aktualizacji do wspomnianego wyżej oprogramowania, co następnie pozwoliło im na zainstalowanie backdoora i uzyskanie dostępu do zasobów poszkodowanych instytucji.

Największe firmy technologiczne, w tym specjaliści ds. cyberbezpieczeństwa, a także służby i agencje USA prowadzą dochodzenie w sprawie incydentu. Eksperci jednoznacznie ocenili, że ostatnie wydarzenia należy uznać za „hack dekady”. Wszelkie odkryte do tej pory dowody wskazują, że za wrogą kampanię odpowiadają hakerzy działający na zlecenie rosyjskiego wywiadu FSB (Cozy Bear, APT29), którzy w połowie grudnia br. włamali się do amerykańskiego giganta cyberbezpieczeństwa FireEye i wykradli narzędzia hakerskie.

Oceny specjalistów nie są przesadzone. Wystarczy spojrzeć na potencjalną skalę zagrożenia, które dotyczy nie tylko podmiotów ze Stanów Zjednoczonych, ale również innych państw. SolarWinds to firma informatyczna, obsługująca klientów rządowych, wojsko i służby wywiadowcze na całym świecie. Z rozwiązań firmy korzysta m.in. Wielka Brytania (np. Narodowa Służba Zdrowia), Turcja (np. Ministerstwo Zdrowia Turcji), Parlament Europejski czy nawet NATO (np. Agencja Wsparcia NATO).

Nie inaczej jest w przypadku Polski, co wywołało obawy o poziom bezpieczeństwa rządowej infrastruktury, która również mogła paść ofiarą działań ze strony rosyjskiego wywiadu.

Jak informowaliśmy wcześniej, oprogramowanie „Orion” firmy SolarWinds jest stosowane w sieciach państwowych w naszym kraju. Potwierdzeniem takiego stanu rzeczy mogą być systemy Ministerstwa Spraw Wewnętrznych i Administracji (MSWiA) oraz niedawny przetarg na usługę „Wsparcie dla systemu Orion SolarWinds na okres 36 miesięcy” z 25 listopada br., której wartość zamówienia wyniosła 270 000 zł bez VAT (unieważniono postępowanie na podstawie art. 93 ust. 1 pkt 1 ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych).

image
Fot. Przetarg na usługę „Wsparcie dla systemu Orion SolarWinds na okres 36 miesięcy z 25 listopada br. / zamowienia-mswia.ezamawiajacy.pl

 

W związku z obawami o stan bezpieczeństwa polskiej infrastruktury rządowej skierowaliśmy do MSWiA oraz Cyfryzacji KPRM prośbę o komentarz w tej sprawie, a także wyjaśnienie kwestii związanej z poziomem popularności oprogramowania „Orion” w kraju.

W oświadczeniu przesłanym naszej redakcji resort spraw wewnętrznych i administracji potwierdził, że oprogramowanie amerykańskiego koncernu rzeczywiście jest wykorzystywane przez MSWiA. Jednak – jak podkreślono – jest to inna wersja „Orion” niż ta, która miała być wykorzystana przez rosyjskich hakerów podczas włamania do rządowych sieci Stanów Zjednoczonych.

Informujemy, że wersja systemu Orion wykorzystywana przez MSWiA nie jest tożsama z wersją opisywaną w mediach

Ministerstwo Spraw Wewnętrznych i Administracji

Dodatkowo resort wskazał, że stale współpracuje z zespołami reagowania na incydenty CSIRT-GOV, a także z dostawcami usług internetowych (ISP), aby utrzymywać możliwie najwyższy standard cyberbezpieczeństwa i kontroli nad wykorzystywaną infrastrukturą.

Cyfryzacja KPRM jak dotąd nie udzieliła komentarza w tej sprawie.

Czy powoływanie się na argument, że wykorzystywanie innej wersji oprogramowania „Orion” likwiduje zagrożenie jest zasadny? Nie należy bagatelizować istniejącego ryzyka, zwłaszcza, że sytuacja została sprowokowana przez wrogą kampanię ze strony aktora państwowego, którym ma być Rosja. Powagę sytuacji potęguje fakt, że Moskwa regularnie na terenie Polski prowadzi swoje operacje, np. w obszarze informacyjnym, a więc również i tym razem nasz kraj mógł stać się potencjalnym celem szeroko zakrojonej kampanii Kremla.

image
Z oferty Sklepu Defence24 - zapraszamy!
KomentarzeLiczba komentarzy: 2
tttttt
piątek, 25 grudnia 2020, 21:47

Łamanie kolejnych barier jest pewnym działaniem zgodnym z zasada Sun Tsu. Zastanowmy sie przez moment jakim cudem oprogramowanie może być smiertlenym niebezpieczenstwem dla sieci? Zalozmy ze cala infrastruktura panstwowa zarzadzania bezpieczenstwem i informacją - wojsko - cywilne wywaid i kontrwywiad opeira sie na monolicie bez przerw dylatacyjnych. Kiedy bedzie "pozar"zajmie sie caly system. Czym jest ten monolit? Niech obrazowo będzie przestawiony system panstwowy jako budowla z drewna , niestety jakis madry budowlaniec zabezpieczyl przed kornikami maczając to w jakimś roztworze chemicznym soli, ale niestety nie zagruntował tego w szkle wodnym i drewno jest podatne na podpalenie. Co to ma do rzeczy ? Jezeli infrastrura - soft i hardware jest nieodporna na podrzucone wirusy w programach własnych wtedy moze ulec paralizowi podczas wojny. Dzisiejsze kody programów to dziesiatki ,setki tysiecy , miliony linii. Ukryc tam złośliwy kod jest niezwykle łatwo. Kod jednak nie żyje jak robak uśpiony w drewnie. Jest to też robak, ale czekający na wywołanie. Albo go wywołuje algorytm , albo jest zaprogramowany czasowo. Po takiej wpadce, dobrze byłoby wykluczyć producenta na 5 lat z dostaw oprogramowania i na podstawie złamania umów- dopuszczenie do oferowania "trefnego" oprogramowania, powolujac sie na prawo bezpieczenstwa narodowego, zlamac licencje i serwisowac stare wersje bez ich "pomocy". I stare wersje zamienic czym prędzej na inna firmę, bez wtyczek obcego wywiadu. Czy ona też będzie miała agentów obcego wywiadu wsród programistów którzy "przypadkiem" podrzucą złosliwy kod ? Hmmm. Tego nikt nie zagwarantuje.

tttttttttttttttttttttt
sobota, 26 grudnia 2020, 16:30

P.S. Dzisiaj programy sprzedaje się za pomocą sieci. Jest to o tyle wygodne co niebezpieczne. Załóżmy że firma jest niewinna i nie ma programistów obcego wywiadu wśród swoich, lub ma ale oni działają na razie w ukryciu. Oni mogą podawać moment sprzedaży - downloadu programu. Jeżeli rząd ściąga program siecią, w pewnym momencie jest urwanie transferu - i wtedy hakerzy podają swój program z obliczonymi sumami kontrolnymi aby download się zamknął wtedy firma nieświadoma włamania jest zadowolona, rząd jest zadowolony i hakerzy są zadowoleni. Dobrze byłoby wrócić do starej metody sprzedaży programów- na krążkach. Wtedy dostajemy program, robimy kopię- wysyłamy do producenta - on sprawdza czy ten program nie został czasem podmieniony przez firmę kurierską, jeżeli kopia zgadza się z programem producenta to można go użyć. A teraz - "wolna amerykanka" , znając mechanizm programu można pogmerać w centralnym komputerze podmienic czas, wywołać sztuczną aktualizację i wtedy wprowadzić całkiem inny program hakerski. Dlatego dobrze byłoby usunąć z programów aktualizację automatyczną, przez internet, aktualizacja jedynie przez stare poczciwe krążki, zatwierdzone przez producenta.

Tweets CyberDefence24