Cyberataku na rząd USA można było uniknąć?

13 stycznia 2021, 14:53
800px-Capitol_flag
Fot. Florian Hirzinger/Wikimedia Commons/CC 3.0
  • „Hack dekady” - takim mianem został określony cyberatak na infrastrukturę rządu Stanów Zjednoczonych. W ramach operacji hakerzy naruszyli systemy Departamentu Skarbu, Departamentu Handlu, Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Stanu, części Pentagonu, Departamentu Energii (w tym Narodowej Administracji Bezpieczeństwa Jądrowego) oraz Narodowego Instytutu Zdrowia USA.
  • Amerykanie przypisują wrogą działalność Rosji, wskazując, że cyberatak przeprowadziła grupa APT29 (Cozy Bear), która jest powiązana z FSB. Jej hakerzy mieli wcześniej wykraść broń hakerską z arsenału firmy zajmującej się cyberbezpieczeństwem FireEye. Więcej pod linkiem.
  • Podczas kampanii wykorzystano oprogramowanie do zarządzania IT „Orion”. Produkt firmy SolarWinds jest popularny wśród podmiotów rządowych w wielu państwach, w tym w Polsce i Wielkiej Brytanii.
  • Specjaliści wskazują, że wrogie działania to zaawansowana operacja „klasycznego szpiegostwa”.
  • Szczegóły na temat cyberataku można znaleźć tutaj.

Amerykańskie instytucje odpowiedzialne za bezpieczeństwo państwa wskazały kolejny raz, że to Rosja „prawdopodobnie” stoi za operacją szpiegowską wymierzoną w podmioty federalne USA. „Hack dekady” to efekt niedbałości i bagatelizowania kwestii cyberbezpieczeństwa w firmie SolarWinds, której produkt posłużył hakerom jako jeden z wektorów zaawansowanej operacji. Czy incydentu można było uniknąć? 

W najnowszym komunikacie do sprawy ataku na infrastrukturę rządu federalnego Stanów Zjednoczonych Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (Cybersecurity and Infrastructure Security Agency – CISA), FBI oraz Biuro Dyrektora Wywiadu Narodowego USA (Office of The Director of National Intelligence – ODNI) ponownie wskazały, że za cyberatakiem stoi aktor APT „prawdopodobnie pochodzenia rosyjskiego”. Zdaniem naczelnych instytucji zajmujących się bezpieczeństwem w USA, hakerzy działający na zlecenie Kremla są odpowiedzialni za „większość lub wszystkie niedawno odkryte incydenty zarówno w sieciach rządowych, jak i pozarządowych”. 

W tej chwili uważamy, że była i nadal jest to operacja o charakterze wywiadowczym (…) To poważny incydent, który będzie wymagał nieustannych i aktywnych wysiłków na rzecz przywrócenia bezpieczeństwa.

  Wspólny komunikat CISA, ODNI i FBI

 

Specjaliści wskazanych wyżej instytucji ocenili, że jak dotąd wiadomo o „mniej niż dziesięciu agencjach rządowych Stanów Zjednoczonych”, których systemy zostały naruszone przez hakerów. Równocześnie zadeklarowali, że trwają prace nad identyfikacją podmiotów pozarządowych, jakie również mogły paść ofiarą aktora państwowego.

Równocześnie senator partii demokratycznej Mark Warner, który ma przewodniczyć amerykańskiej komisji wywiadowczej zasugerował, że celów rosyjskiej operacji jest więcej niż w publikowanych szacunkach. Dodatkowo podczas konferencji zorganizowanej przez Aspern Institute oskarżył obecną administrację Białego Domu o „osłabianie” przekazu dotyczącego atrybucji wrogiej operacji Rosji.

Jeden z urzędników podzielił się interesującym faktem z CyberScoop. W rozmowie z serwisem stwierdził, że Mark Werner ma rację, ponieważ w pierwotnym kształcie ostatniego wspólnego komunikatu CISA, FBI i ODNI nie występowało słowo „prawdopodobnie”, lecz brzmiało jednoznacznie: „aktor pochodzenia rosyjskiego jest odpowiedzialny za (…) incydent”.

Skąd wynikała zmiana decyzji? Dodanie stwierdzenia sugerującego brak pewności to alibi pozostawiające „furtkę” podczas ewentualnej reakcji ze strony Moskwy. Dodatkowo nie oskarża stanowczo Kremla o wrogie działania, a jedynie „przypuszcza, że tak mogło być”. Czy to brak odwagi? Wydaje się, że Amerykanie zbierają dowody, a obecny stan pozyskanych danych i śladów operacji nie jest wystarczający, aby posunąć się do jednoznacznego wskazania na Rosję jako agresora, bo to z kolei pociągnie za sobą kolejne działania, np. w zakresie potencjalnej odpowiedzi.

Cel „łatwiejszy niż myślisz”

Ian Thornton-Trump, były doradca ds. bezpieczeństwa w firmie SolarWinds, której oprogramowanie „Orion” stworzone do zarządznia infrastrukturą IT zostało wykorzystane jako jeden z wektorów ataku na systemy rządu USA i amerykańskich podmiotów prywatnych, podkreślił na łamach agencji Bloomberga, że koncern zignorował zagrożenia występujące w cyberprzestrzeni i nie realizował planu poprawy cyberbezpieczeństwa. Mężczyzna już w 2017 roku ostrzegał władze firmy przed realnym ryzykiem poważnego cyberataku i zalecił powołanie dyrektora ds. cyberbezpieczeństwa, ponieważ jego zdaniem „przetrwanie przedsiębiorstwa zależy od wewnętrznego zaangażowania w bezpieczeństwo”.

SolarWinds nie zastosowało się do sugestii specjalisty, w związku z czym ten zakończył współpracę z firmą. Swoją decyzję argumentował tym, że kierownictwo koncernu nie jest zainteresowane wprowadzaniem zmian, jakie miałyby „znaczący wpływ” na jego działalność.

Zdaniem specjalisty ryzyko było nieuniknione, lecz władze SolarWinds bagatelizowały problem. Niezastosowanie się do wytycznych i sugestii opracowanych przez ekspertów ds. cyberbezpieczeństwa sprawiło, że firma była łatwym celem dla hakerów. Wydarzenia z ostatniego miesiąca tylko to potwierdziły.

Uważam, że z punktu widzenia bezpieczeństwa firma SolarWinds była niewiarygodnie łatwym celem do zhakowania.

Ian Thornton-Trump, obecnie dyrektor ds. bezpieczeństwa informacji w firmie Cyjax Ltd.

 

Według eksperta, który pracował dla SolarWinds firma nie zainwestowała wystarczających środków w budowanie środowiska cyberbezpieczeństwa. W e-mailu wyjaśniającym powody jego odejścia wysłanym do władz koncernu podkreślił, że „stracił wiarę w kierownictwo firmy”, ponieważ było ono „niechętne do wprowadzania poprawek”, które uważał za niezbędne do dalszego rozwoju bezpieczeństwa.

W rozmowie z agencją Bloomberga Ian Thornton-Trump wskazał, że brakowało właściwych rozwiązań nawet na poziomie produktu, a „na szczycie” była jedynie minimalna kontrola w zakresie cyberbezpieczeństwa.

W 2015 roku wiedzieliśmy, że hakerzy szukają każdej możliwości do ataku. Ale SolarWinds się nie przystosował. To jest tragedia. Było wiele do zrobienia i nauczenia się, ale SolarWinds nie zwracał uwagi na to, co się dzieje

Ian Thornton-Trump, dyrektor ds. bezpieczeństwa informacji w firmie Cyjax Ltd.

 

Słowa eksperta potwierdził również jeden z byłych inżynierów SolarWinds, który podczas rozmowy z CyberScoop prosił o pozostanie anonimowym. Jak wskazał, koncern przedkładał rozwój nowego oprogramowania nad wewnętrzne zabezpieczenia. Nierzadko zdarzało się, że niektóre systemy komputerowe firmy operowały na nieaktualnych przeglądarkach internetowych i oprogramowaniu operacyjnym, co czyniło je bardziej podatnymi na działania hakerów.

Dlaczego doszło do zaniedbań? Według Jake’a Williamsa, byłego specjalisty NSA, firmy technologiczne, takie jak SolarWinds, często nie radzą sobie z tym, co powinno być ich fundamentem, czyli zabezpieczeniami. „Bezpieczeństwo to centrum kosztów, a nie zysków” – cytuje stanowisko specjalisty agencja Bloomberga.

„Najciemniej pod latarnią” – to popularne stwierdzenie trafnie opisuje wydarzenie, jakie Amerykanie okrzyknęli „hackiem dekady”. Bagatelizowanie kwestii związanych z cyberbezpieczeństwem w firmie specjalizującej się w technologii, której produkty są wykorzystywane na całym świecie, w tym przez podmioty państwowe największych krajów – jest absurdalne i skrajnie nieodpowiedzialne. Zagrożenia dla tego typu koncernów są realne a następstwa potencjalnego skutecznego cyberataku mają wpływ na bezpieczeństwo całego państwa – co potwierdza operacja wymierzona w federalne instytucje USA, podczas której wykorzystano produkt SolarWinds „Orion”.

Mając na uwadze nieodpowiedzialność kierownictwa koncernu oraz bagatelizowanie ryzyka warto pamiętać, że kampanię przeprowadził wysoce wyspecjalizowany, wyposażony i doświadczony aktor państwowy. Tego typu grupy posiadają narzędzia oraz techniki, które mogą skutecznie wykorzystać do ataku na różnorodne cele, nie patrząc na jakość zabezpieczeń celu. Pomimo to posiadanie wysokiej jakości cyberbezpieczeństwa powinno być priorytetem dla podmiotów prywatnych i państwowych na wszystkich szczeblach.

Elity na pokład

W związku z poważnymi konsekwencjami operacji, którą Amerykanie przypisali rosyjskiemu FSB władze SolarWinds podjęły decyzję o zatrudnieniu byłego dyrektora CISA Chrisa Krebsa oraz byłego szefa ds. bezpieczeństwa Facebooka Alexa Stamosa. Ci wybitni specjaliści mają pomóc firmie w usprawnieniu procesów reagowania na incydent oraz ulepszyć praktyki bezpieczeństwa.

Chris Krebs oraz Alex Stamos mają pracować w charakterze konsultantów – informuje serwis CyberScoop. SolarWinds w specjalnym oświadczeniu podkreśliło, że skorzysta z wiedzy wybitnych ekspertów, aby pomóc w przekształceniu firmy we wiodącą w branży markę zajmująca się opracowaniem bezpiecznego oprogramowania.

Zatrudnieni specjaliści mają bogate i niepodważalne doświadczenie w zakresie reagowania i neutralizacji zaawansowanych kampanii hakerskich, w tym operacji prowadzonych przez Rosję, co można wywnioskować na podstawie zadań, jakie pełnili w przeszłości. Chris Krebs był odpowiedzialny za cyberbezpieczeństwo Stanów Zjednoczonych pełniąc funkcję dyrektora NSA, z kolei Alex Stamos zarządzał bezpieczeństwem koncernu Marka Zuckerberga i musiał zmagać się z działaniami Moskwy, gdy ta wykorzystywała platformę do szerzenia dezinformacji w czasie kampanii wyborczej w 2016 roku.

Tajemniczy list

Omawiając ostatnie doniesienia ze Stanów Zjednoczonych związane z „hackiem dekady” warto odnieść się do tajemniczej kartki pocztowej, która została wysłana do prezesa amerykańskiego giganta cyberbezpieczeństwa FireEye. Przypomnijmy, że koncern padł ofiarą cyberataku ze strony rosyjskich hakerów, kilka dni przed tym jak naruszono systemy w kluczowych instytucjach federalnych USA. Wówczas wrogiemu aktorowi udało się wykraść specjalistyczne narzędzia, będące w arsenale firmy. Szczegóły kampanii można naleźć pod linkiem

Nieznanego pochodzenia kartka pocztowa trafiła do prezesa FireEye po tym, jak specjaliści koncernu znaleźli wstępne dowody wskazujące, że za hackiem dekady stoją rosyjscy hakerzy. Obecnie sprawą podejrzanej wiadomości zajmuje się FBI – informuje agencja Reutera.

Śledczy badają czy pocztówka została wysłana przez osoby powiązane z rosyjskim wywiadem ze względu na czas jej nadania oraz treść, która sugeruje, że nadawca posiada szczegółową wiedzę na temat ostatniego cyberataku na długo przed publicznym ujawnieniem incydentu.

Tajemnicza wiadomość posiada logo FireEye i została skierowano do CEO firmy Kevina Mandi’ego. Zakwestionowano w niej zdolność koncernu do przypisania operacji w cyberprzestrzeni Moskwie. Pocztówka ma również kreskówkę z tekstem: „Hej, patrzcie! Rosjanie” oraz „Putin to zrobił!” – donosi agencja Reutera.

Według przedstawicieli amerykańskiego giganta cyberbezpieczeństwa wiadomość miała na celu „strollowanie” lub „zbicie z tropu” specjalistów zajmujących się „hackiem dekady”, zastraszając głównego szefa koncernu. Specjaliści wskazują, że wysłanie pocztówki nie jest „w stylu” rosyjskiego wywiadu. Agenci Moskwy dotychczas nie działali w ten sposób, choć na tym etapie dochodzenia nie można wykluczać żadnej opcji.

KomentarzeLiczba komentarzy: 1
Fanklub Daviena
czwartek, 14 stycznia 2021, 14:56

Ataku można było uniknąć - wystarczyło unikać platformy Intela i amerykańskiego oprogramowania... Platforma Intela umożliwia "administratorom" 100% zdalną kontrolę nad sprzętem, nawet "wyłączonym", bez użycia systemu operacyjnego i bez pozostawiania śladów i niewidocznie dla użytkownika i Intel to sprzedaje jako super rozwiązanie i żąda za to zapłaty (bez zapłacenia też jest aktywne, ale nie dla posiadacza komputera...)! Dlatego rosyjska i chińska administracja mają komputery własnej produkcji i systemy operacyjne własnej kompilacji... Oczywiście trzeba też zrezygnować z Cisco z ich backdoorami! :D