Największa operacja w roku? Rosyjski szturm na sieci Departamentu Skarbu oraz Handlu USA

14 grudnia 2020, 11:05
800px-Seal_on_United_States_Department_of_the_Treasury_on_the_Building
Fot. MohitSingh/Wikimedia Commons/CC 3.0

Departament Skarbu oraz Handlu Stanów Zjednoczonych padły ofiarą zaawansowanego cyberataku, w wyniku którego hakerzy powiązani z państwem uzyskali dostęp do wewnętrznych zasobów USA. Operacja wpisuje się w szeroko zakrojoną kampanię, odznaczającą się niespotykanym poziomem wyrafinowania oraz skutecznością. Doniesienia mówią o kolejnym uderzeniu rosyjskiego FSB, które wcześniej miało przeprowadzić skuteczny cyberatak na amerykańskiego giganta cyberbezpieczeństwa FireEye. Operacja wymierzona w amerykańskie podmioty rządowe to największy incydent, jaki miał w 2020 roku?

W wyniku cyberataku hakerzy powiązani z państwem monitorowali wewnętrzny przepływ e-maili w Departamencie Skarbu oraz Departamencie Handlu Stanów Zjednoczonych. Incydent jest na tyle poważny, że podjęto decyzję o zwołaniu posiedzenia Rady Bezpieczeństwa Narodowego w Białym Domu – informuje Agencja Reutera.

Sprawa została przekazana do Agencji ds. Cyberbezpieczeństwa i Infrastruktury (ang. Cybersecurity and Infrastructure Security Agency – CISA) oraz Federalnego Biura Śledczego (ang. Federal Bureau of Investigation – FBI).

Hakerzy dostali się do wewnętrznych sieci amerykańskich podmiotów państwowych, manipulując aktualizacjami wydanymi przez firmę informatyczną SolarWinds, która obsługuje klientów rządowych, wojsko i służby wywiadowcze, w tym m.in.: wszystkie największe w USA firmy telekomunikacyjne (jest ich dziesięć), Pentagon, NASA, Departament Stanu, Departament Sprawiedliwości oraz Biuro Prezydenta Stanów Zjednoczonych.

W jaki sposób hakerom udało się „wejść” do sieci rządowych? Ukryli oni złośliwego wirusa w ramach legalnych poprawek oprogramowania dostarczanych przez podmioty trzecie. To otworzyło im drogę do dalszych działań i penetracji infrastruktury.

W oświadczeniu do sprawy władze SolarWinds potwierdziły, że aktualizacje jej oprogramowania monitorującego wydane między marcem a czerwcem br. zostały naruszone przez „wysoce wyrafinowany, ukierunkowany cyberatak na łańcuch dostaw”, który został przeprowadzony przez aktora państwowego. Firma poinformowała również, że ściśle współpracuje z FireEye, FBI, społecznością wywiadowczą oraz innymi organami ścigania w celu zbadania incydentu.

Naruszenie zasobów firmy, która obsługuje podmioty rządowe sprawia, że zagrożenie staje się realne również dla pozostałych agencji. W związku z tym wydano nadzwyczajną dyrektywę wzywającą „wszystkie federalne agencje” do przeszukania sieci i systemów w celu wykrycia wszelkich nieprawidłowości, naruszeń lub luk, a także odłączenia lub natychmiastowego wyłączenie produktów SolarWinds.

Naruszenie produktów Orion Network Management firmy SolarWinds stwarza niedopuszczalne zagrożenie dla bezpieczeństwa sieci federalnych

Brandon Wales, dyrektor CISA

Jest to piąta nadzwyczajna dyrektywa wydana przez CISA od 2015 roku na podstawie uprawnień przyznanych przez Kongres USA w ramach ustawy o cyberbezpieczeństwie.

Firma FireEye, która sama niedawno padła ofiarą hakerów powiązanych z rządem, wskazała, że najnowszy incydent wymierzony w podmioty federalne USA stanowi część szeroko zakrojonej kampanii, którą specjaliści śledzą pod nazwą „UNC2452”.

Eksperci podkreślają, że w ramach prowadzonych działań wrogi aktor uzyskał dostęp do wielu organizacji publicznych i prywatnych na całym świecie, wykorzystując aktualizacje oprogramowania do produktów SolarWinds.

Kampania jest dziełem wysoko wykwalifikowanego aktora, a operacja została przeprowadzona przy zachowaniu wysokiego bezpieczeństwa operacyjnego

Raport FireEye: „Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor”

Według ekspertów amerykańskiego giganta cyberbezpieczeństwa operacja rozpoczęła się wiosną 2020 roku i trwa do chwili obecnej. Jej głównym założeniem jest kradzież danych.

Jak wskazuje na łamach agencji Associated Press John Hultquist, dyrektor ds. analizy zagrożeń w FireEye, w momencie, gdy udostępnione zostaną skradzione informacje, będzie to ogromne zaskoczenie i szok ze względu na skalę zjawiska. Dodaje, że co chwilę odkrywane są nowe cele hakerów, lecz pomimo tego oni „ukradkiem” dalej realizują swoje działania.

Kwestia atrybucji

Rząd Stanów Zjednoczonych oraz specjaliści FireEye nie wskazali publicznie źródła cyberataku, jednak trzy osoby zaznajomione ze sprawą, do których dotarła Agencja Reutera podkreśliły, że obecnie głównym podejrzanym jest Rosja. Według nich operacja jest elementem szerszej kampanii, obejmującej również cyberatak na amerykańskiego giganta cyberbezpieczeństwa.

W ramach incydentu z udziałem FireEye skradziono specjalistyczne narzędzia hakerskie znajdujące się w arsenale firmy. Celem były również informacje dotyczące klientów rządowych koncernu. Jak wówczas stwierdzono, operacja została przeprowadzona przez aktora państwowego, na co wskazuje wysoka dyscyplina, bezpieczeństwo operacyjne oraz wykorzystanie zaawansowanych technik podczas realizacji działań (tak samo jak w przypadku najnowszego incydentu).

CEO FireEye skomentował cyberatak na jego firmę bardzo dobitnie: „Jesteśmy świadkami ataku ze strony państwa o najwyższych zdolnościach ofensywnych”. W przypadku operacji hakerskiej wymierzonej w Departament Skarbu i Handlu jest podobnie. Chris Krebs, były już dyrektor CISA, jednoznacznie ocenił, że tego typu operacje wymagają wyjątkowych zdolności oraz czasu, a cała kampania trwa od wielu miesięcy.

FSB w natarciu?

Po kampanii, której celem było FireEye pojawiły się stwierdzenia, że została ona przeprowadzona przez hakerów grupy APT29 (Cozy Bear), należącej do rosyjskiego FSB. Wskazywały na to m.in. zeznania osób zaangażowanych w dochodzenie, prowadzenie śledztwa przez wewnętrzną komórkę FBI specjalizującą się w operacjach Kremla, stopień zaawansowania i inne podobieństwa do wcześniejszych kampanii wywiadu, a także motyw, którym miała być zemsta za demaskowanie rosyjskich działań przez amerykańskiego giganta cyberbezpieczeństwa. Wobec tego czy najnowszy cyberatak można przypisać Rosji?

Moskwa jednoznacznie skomentowała sprawę, wskazując w specjalnym oświadczeniu opublikowanym przez rosyjską ambasadę w USA, że po raz kolejny padają pod adresem Kremla nieuzasadnione oskarżenia o przeprowadzenie ataków hakerskich na amerykańskie organy rządowe. W treści podkreślono, że „złośliwe działania w przestrzeni informacyjnej są sprzeczne z zasadami rosyjskiej polityki zagranicznej, interesami narodowymi i naszym rozumieniem stosunków międzypaństwowych”.

Rosja nie prowadzi ofensywnych operacji w cyberprzestrzeni

Rosyjska ambasada w USA

Ponadto Moskwa zadeklarowała, że cały czas aktywnie promuje bilateralne i wielostronne umowy dotyczące cyberbezpieczeństwa, czego odzwierciedleniem jest inicjatywa prezydenta Władimira Putina z 25 września br. dotycząca odbudowy wzajemnych relacji oraz współpracy w zakresie bezpieczeństwa informacyjnego. „Do tej pory nie otrzymaliśmy odpowiedzi ze strony Waszyngtonu” – podkreślono w oświadczeniu.

Dlaczego Departament Skarbu oraz Handlu miałyby stać się celem rosyjskiego wywiadu? Być może jest to chęć uzyskania dostępu, a następnie kradzieży informacji na temat osób i podmiotów objętych amerykańskimi sankcjami (np. z „Listy Magnickiego”). Prawdopodobny jest również scenariusz chęci posiadania wiedzy na temat podejścia USA do kwestii rosyjskich przedsięwzięć i projektów, w tym głośnego w ostatnim czasie Nord Stream 2.

A może cyberatak to przejaw kampanii, której celem generalnie jest cała federalna infrastruktura Stanów Zjednoczonych, a włamanie do sieci Departamentu Skarbu i Handlu okazało się na ten moment najprostsze. Hakerzy mogą pracować dalej, aby uzyskać dostęp do pozostałych sieci amerykańskich podmów rządowych, aby zbudować kompleksową wiedzę wywiadowczą na temat USA.

Efekt chaosu?

Interesujący wydaje się być fakt zauważalnego nasilenia wrogich operacji wymierzonych w Stany Zjednoczone, jaki ma miejsce od listopadowych wyborów prezydenckich (kampania wywiadowcza w środowisku Joe Bidena, cyberatak na FireEye, operacja wymierzona w departamenty). Z punktu widzenia Waszyngtonu obawy budzi nie tylko ilość wrogich działań, ale przede wszystkim ich stopień zaawansowania oraz skuteczność. Skąd to wynika?

Nasilenie operacji hakerskich może być efektem skupienia się służb na zabezpieczeniu procesów podczas listopadowej kampanii, a także rezultatem zmian, jakie nastąpiły w agencjach odpowiedzialnych za cyberbezpieczeństwo USA oraz samego chaosu i napiętej sytuacji, wynikającej ze zwycięstwa w wyborach Joe Bidena. Obecny (jeszcze) Prezydent Stanów Zjednoczonych Donald Trump nie może pogodzić się z porażką, co posadą okupił m.in. Chris Krebs, który został na mocy decyzji głowy państwa odwołany ze stanowiska dyrektora CISA.

Po zakończonych wyborach szef Agencji stwierdził, że cały proces wyborczy nie został w żaden sposób zakłócony i tym samym odrzucił wszelkie twierdzenia jakoby miały miejsce jakiekolwiek oszustwa lub manipulacje wynikami. Donald Trump uznał, że to nieprawda, dopatrując się wielu nieprawidłowości (np. oddawanie głosów przez osoby zmarłe), na skutek czego odwołał Chrisa Krebsa z pełnionego stanowiska.

Panujący chaos związany z procesem wyborczym oraz wynikami kampanii prezydenckiej mógł być okazją dla zewnętrznego aktora państwowego do przeprowadzenia cyberataku, który przygotowywano przez dłuższy czas, aby wykorzystać „dobry moment” do uderzenia. Roszady w tak kluczowej z punktu widzenia cyberbezpieczeństwa USA agencji, jaką jest CISA również mogły zachęcić zewnętrzne podmioty do wzmożenia działań, licząc na osłabienie czujności i dezorganizację służb oraz specjalistów.

Dochodzenie w sprawie cyberataku na Departament Skarbu oraz Handlu USA potrwa miesiącami, jeśli nie latami, ponieważ istnieją realne podstawy, że to operacja wpisująca się w kampanię na dużą skalę prowadzoną przez wroga USA. Obecnie zadaniem śledczych jest znalezienie odpowiedzi przede wszystkim na pytanie do jakich informacji hakerzy posiadali dostęp, co trafiło w ich ręce, a także skąd pochodzili i w czyim imieniu działali.

image
Do kupienia w sklepie Defence24.pl

 

KomentarzeLiczba komentarzy: 9
Tomek72
wtorek, 15 grudnia 2020, 14:06

Polska w dużej mierze korzysta z amerykańskich rozwiązań w zakresie informatyki ... Zakładałbym dla bezpieczeństwa, że nasze zasoby zostały zinfiltrowane CO NAJMNIEJ w takim samym zakresie - być może o tym nie wiemy - chciałbym wierzyć, że tak nie jest ...

Andrzej
wtorek, 15 grudnia 2020, 12:05

Ciągle to słychać to samo. Dziś słyszałem ze Polska jest winna winna ataku na Czechosłowacje. A zajęcie Zaolzia to dziejowa sprawiedliwość Czech.

aqq
wtorek, 15 grudnia 2020, 09:52

"złośliwe działania w przestrzeni informacyjnej są sprzeczne z zasadami rosyjskiej polityki zagranicznej, interesami narodowymi i naszym rozumieniem stosunków międzypaństwowych" - buahahahahahahah

rzetelny
wtorek, 15 grudnia 2020, 08:22

Jeśli oskarża się jedną stronę to trzeba znać argumenty też drugiej strony bo tego wymaga zwykła żetelność informacji. i tak: "Mogę jeszcze raz zaprzeczyć tym oskarżeniom. Kolejny raz przypominam, że to prezydent Putin proponował stronie amerykańskiej uzgodnienie i zawarcie umowy o współpracy w dziedzinie bezpieczeństwa cybernetycznego i bezpieczeństwa informacji. Pozwoliłoby to naszym krajom współpracować i przeciwdziałać cyberprzestępczości, próbom szpiegostwa cybernetycznego itd. Ta inicjatywa Putina nie doczekała się odpowiedzi w Stanach Zjednoczonych"

KUTUZOW
środa, 16 grudnia 2020, 23:28

Moskwa zadeklarowała, że cały czas aktywnie promuje bilateralne i wielostronne umowy dotyczące cyberbezpieczeństwa - zakpił Putin

spoko
wtorek, 15 grudnia 2020, 12:57

Putn powiedzial dowodow niet Tak bylo z MH17 Skrypalami i teraz z Nawalnym jeszcze mozna dodac Krym \Miejscowa samoobrona\ Donieck \gornicy i kombajnisci Putin prawdomowny golabek pokoju

A fuj!
poniedziałek, 14 grudnia 2020, 22:53

Jakie to wstrząsające. Jak ktoś mógł zaatakować światowego gołąbka pokoju, który żadnych podobnych operacji nie prowadzi.

Tweets CyberDefence24