Armia i Służby
FSB miało dostęp do kont e-mailowych szefa bezpieczeństwa wewnętrznego USA
Hakerzy rosyjskiego wywiadu FSB podczas „hacku dekady” uzyskali dostęp do kont e-mailowych szefa Departamentu Bezpieczeństwa Wewnętrznego USA (DHS) oraz jego zespołu specjalistów odpowiedzialnych za zwalczanie cyberzagrożeń ze strony wrogich podmiotów. „Cyberoperacja z udziałem SolarWinds jest zwycięstwem naszych wrogów i tym samym porażką DHS” – podkreślił jeden z amerykańskich senatorów. Zawiódł m.in. system „Einstein”, który został stworzony 10 lat temu do wykrywania kampanii zagranicznych aktorów.
Hakerzy powiązani z Rosją uzyskali dostęp do kont e-mailowych należących do Chada Wolfa, sekretarza bezpieczeństwa wewnętrznego USA w administracji prezydenta Donalda Trumpa. Wrogie działania były również wymierzone w członków działu ds. cyberbezpieczeństwa DHS, którzy byli odpowiedzialni za walkę z zagrożeniami pochodzącymi ze strony zagranicznych aktorów – udało się ustalić agencji Associated Press.
Klika dni po odkryciu kampanii Chad Wolf oraz kilku innych członków Departamentu Bezpieczeństwa Wewnętrznego używali do komunikacji nowych telefonów, które zostały specjalne przygotowane do tego celu (m.in. całkowicie wyczyszczone z aplikacji i programów), aby zminimalizować ryzyko dalszych wrogich działań.
Informacje na temat naruszenia bezpieczeństwa kont szefa Departamentu oraz jego zespołu nie zostały oficjalnie przekazane do publicznej wiadomości. Jednak incydent stał się symbolem porażki USA w obliczu cyberataków ze strony wrogich podmiotów. Wszystko odbyło się w ramach kampanii z udziałem oprogramowania SolarWinds, którą okrzyknięto „hackiem dekady”.
Cyberoperacja z udziałem SolarWinds jest zwycięstwem naszych wrogów i tym samym porażką Departamentu Bezpieczeństwa Wewnętrznego USA. W tym znaczeniu mówimy o klejnotach koronnych DHS.
Dochodzenie przeprowadzone przez Associated Press ujawniło szczegóły na temat włamania do DHS oraz innych agencji, w tym Departamentu Energii. Agencja wskazuje, że hakerzy uzyskali dostęp m.in. do prywatnych dokumentów najwyższych amerykańskich urzędników.
Jeden z urzędników w rozmowie z Associated Press podkreślił pod warunkiem zachowania jego anonimowości, że celem rosyjskich hakerów była także Federalna Administracja Lotnictwa. Jak zaznaczył, agencja wykorzystywała przestarzałą technologię, co ułatwiło działanie hakerom, a utrudniało skuteczne działanie po wystąpieniu incydentu. Co więcej, trudno było określić na ilu urządzeniach jest zainstalowane wadliwe oprogramowanie firmy SolarWinds.
Zgodnie z wynikami śledztwa dziennikarskiego przeprowadzonego przez Associated Press, celem wrogich działań był także Dan Brouillette, Sekretarz Energii USA za czasów Donalda Trumpa. Podczas operacji zagraniczny aktor uzyskał dostęp do np. harmonogramów pracowników Departamentu Energii.
Administracja nowego prezydenta Joe Bidena próbowała ukryć zakres cyberoperacji, ponieważ rozważa podjęcie środków odwetowych przeciwko Rosji, której przypisano wrogie działania. Jak informowaliśmy na naszym portalu, zdaniem amerykańskich mediów służby USA przygotowują serię cyberataków, co ma stanowić reakcję na kampanie prowadzone przez Kreml („hack dekady” oraz ingerencję w wybory w 2020 roku). Pojawiły się informacje mówiące, że Joe Biden już autoryzował operację, a jej rozpoczęcia należy się spodziewać w przeciągu najbliższych dwóch tygodni.
Ponadto, administracja Joe Bidena zobowiązała się do wydania wkrótce rozporządzenia dotyczącego luk i technologii cyberbezpieczeństwa w całym rządzie federalnym Stanów Zjednoczonych. Jak przypomina Associated Press, w ostatnim czasie zatwierdzono również pakiet finansowy o wartości 650 mln dolarów dla Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA) w celu wzmocnienia cyberobrony USA. Jednak zdaniem specjalistów jest to jedynie „zaliczka”, ponieważ należy jeszcze wyżej „podnieść poprzeczkę”.
W tym kontekście warto zwrócić uwagę na fakt, że CISA obsługuje system przeznaczony do wykrywania zagrożeń w sieci znany jako „Einstein”. Jednak w przypadku „hacku dekady” rozwiązanie to okazało się mało skuteczne. Eric Goldstein, zastępca dyrektora Agencji, powiedział przed Kongresem, że „Einstein” został zaprojektowany 10 lat temu i ta technologia „stała się nieco przestarzała” – przytacza stanowisko specjalisty Associated Press. Problemem jest również brak wykwalifikowanej kardy ekspertów.
Amerykańscy urzędnicy zwracają uwagę, że hakerzy powiązani z rządem innych państw coraz częściej używają wirtualnych sieci prywatnych w USA, aby w ten sposób zminimalizować ryzyko wykrycia przez amerykańskie służby, które nie mają szerokich uprawnień do monitorowania krajowej infrastruktury. Jak donosi Associeted Press, w przypadku SolarWinds zagraniczny aktor wykorzystał usługi hostingowe Amazon Web Services i GoDaddy w celu uniknięcia odkrycia wrogich działań.
W związku z tym administracja Joe Bidena chce postawić na ściślejszą współpracę z sektorem prywatnym, który to jako pierwszy zidentyfikował rosyjską kampanię wymierzoną w m.in. amerykańskie instytucje federalne. Wynika to z faktu, że firmy mają szerszy „wgląd” w sieć na terenie USA niż służby.
Przypomnijmy, że podczas „hacku dekady”, który został pierwszy raz ujawniony 13 grudnia 2020 roku hakerzy naruszyli bezpieczeństwo infrastruktury sieciowej amerykańskich instytucji federalnych, w tym m.in. Departamentu Skarbu, Departamentu Handlu, Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Stanu, Departamentu Energii, Pentagonu oraz Narodowego Instytutu Zdrowia USA. Specjaliści wskazują, że za kampanię odpowiada rosyjska grupa APT29 powiązana z FSB.
Jak informowaliśmy w naszych materiałach, podczas wrogich działań wykorzystano backdoora w popularnym oprogramowaniu do zarządzania IT „Orion”. Eksperci ocenili, że operacja to zaawansowana kampania „klasycznego szpiegostwa”. Więcej informacji na temat „hacku dekady” można znaleźć w serii naszych artykułów poświęconych tej tematyce.