Polityka i prawo
„Hack dekady”. Amerykanie mówią o „wypowiedzeniu wojny” przez Rosję
Prezydent-elekt Joe Biden zadeklarował, że „nie będzie stał bezczynnie w obliczu cyberataków” na Stany Zjednoczone. Według Amerykanów kampania wymierzona w podmioty federalne USA to „hack dekady” oraz efekt nieskuteczności krajowych rozwiązań w zakresie cyberbezpieczeństwa. Specjalistom z sektora prywatnego udało się „wyłączyć” złośliwe oprogramowanie, zakłócając dalsze działania hakerów, lecz – jak ostrzegają – to nie koniec operacji. Według Partii Demokratycznej kampania Moskwy stanowi „wypowiedzenie wojny”.
Poszerza się lista podmiotów federalnych, których systemy zostały naruszone podczas szeroko zakrojonej operacji hakerskiej, ujawnionej w niedzielę 13 grudnia br. Na listę ofiar trafił Departament Energii USA (ang. Department of Energy – DoE), wraz z podlegającą mu Narodową Administracją Bezpieczeństwa Jądrowego (ang. National Nuclear Security Administration – NNSA). Przypomnijmy, że NNSA odpowiada za utrzymanie zapasu broni jądrowej Stanów Zjednoczonych.
Rzecznik departamentu wskazał jednak, że cyberatak w żaden sposób nie zagraża działalności instytucji. „Na tym etapie dochodzenie wykazało, że złośliwe oprogramowanie zostało wyizolowane tylko z sieci biznesowych i nie wpłynęło na podstawowe funkcje Departamentu w zakresie bezpieczeństwa” – oświadczyła rzeczniczka instytucji Shaylyn Hynes, cytowana przez Politico. Jak dodała, w momencie gdy specjaliści DoE zidentyfikowali oprogramowanie podatne na ataki, podjęto natychmiastowe działania w celu ograniczenia ryzyka, a „całe oprogramowanie zidentyfikowane jako podatne na działanie hakerów zostało odłączone od sieci Departamentu Energii USA”.
Z kolei jak donosi Agencja Reutera ofiarą wrogiej operacji ze strony aktora państwowego jest również Microsoft. Koncern wskazał, że wprawdzie wykrył złośliwą wersję jednego z wewnętrznych oprogramowań, ale dotychczasowe dochodzenie nie wykazało dowodów na to, iż hakerzy używali systemów firmy do ataków na klientów korporacji.
W związku z szeroko zakrojonym cyberatkiem na federalne podmioty Stanów Zjednoczonych zgodnie z Dyrektywą Prezydencką 41 amerykańska Agencja Cyberbezpieczeństwa i Infrastruktury (ang. Cybersecurity and Infrastructure Security Agency – CISA), Federalne Biuro Śledcze oraz Biuro Dyrektora Wywiadu Narodowego USA utworzyły Cyber Unified Coordination Group (UCG), której celem jest koordynacja reakcji całego rządu na wrogą operację hakerską.
UCG ma zająć się ujednoliceniem wysiłków agencji federalnych, ponieważ każda z nich podejmuje odrębne działania w ramach swoich kompetencji – wynika z oficjalnego komunikatu CISA, FBI i ODNI.
Sytuacja związana z incydentem jest bardzo dynamiczna a służby oraz specjaliści z sektora prywatnego cały czas badają kampanię, aby zrozumieć działania wroga i odkryć istotne dla sprawy szczegóły. „Operacja hakerów wpłynęła na sieci rządu federalnego” – jednoznacznie podkreślono w treści komunikatu.
Przełom w neutralizacji działań wroga?
Zza oceanu napływają informacje wskazujące, że specjalistom ds. cyberbezpieczeństwa firmy FireEye, we współpracy z Microsoft oraz GoDaddy, udało się osiągnąć pierwszy sukces w zakresie neutralizacji zagrożenia. Amerykański niezależny dziennikarz śledczy Brian Krebs skontaktował się w tej sprawie z koncernami, aby potwierdzić medialne doniesienia.
A key malicious domain used to control systems hacked via the SolarWinds compromise was commandeered and turned into a "killswitch" that in some cases forced the Sunburst malware to terminate itself & prevent further execution, FireEye told KrebsOnSecurity https://t.co/mBpWfftyLS
— briankrebs (@briankrebs) December 16, 2020
Jak poinformował dziennikarz na swoim blogu podstawowa domena wykorzystywana przez wrogie podmioty do kontrolowania zhakowanych systemów instytucji federalnych została skutecznie przejęta. Stworzono tzw. „wyłącznik awaryjny”, który miał w części przypadków zneutralizować działanie złośliwego oprogramowania w amerykańskich sieciach, a tym samym zakłócić kontynuację wrogiej operacji.
Przypomnijmy, że w wyniku cyberataku rosyjskiego wywiadu FSB (jak twierdzą Amerykanie) naruszona została infrastruktura kluczowych instytucji Stanów Zjednoczonych. Wśród poszkodowanych podmiotów znajduje się Departament Skarbu, Departament Handlu, Departament Stanu, Departament Bezpieczeństwa Wewnętrznego, część systemów Departamentu Obrony oraz Narodowy Instytut Zdrowia USA.
Jak wskazuje FireEye, zajęcie domeny wykorzystywanej przez hakerów było częścią wspólnego wysiłku mającego na celu uniemożliwienie sieciom, na które mogła mieć wpływ zainfekowana aktualizacja oprogramowania „Orian” firmy SolarWinds, komunikacji z atakującymi.
„SUNBURST to wirus, który był dystrybuowany za pośrednictwem oprogramowania firmy SolarWinds” – zaznaczył amerykański gigant cyberbezpieczeństwa w oświadczeniu przesłanym do Briana Krebsa. Jak dodali specjaliści, w ramach analizy incydentu udało się zidentyfikować złośliwy element, a następnie opracować „wyłącznik awaryjny”, nazwany przez ekspertów „Killswitch”. Podjęte działania sprawiły, że wirus przestał działać, co następnie uniemożliwiło dalsze prowadzenie operacji za jego pomocą przez wroga.
Great work done by @FireEye and @Microsoft to quickly take over domain used by the #SolarWindsHack adversaries and resolve it to the “kill switch” IP address, thus disabling the malware on most systems.
— Dmitri Alperovitch (@DAlperovitch) December 17, 2020
Doesn’t help orgs with active adversaries on network, but still a #goodthing https://t.co/N8uN0RSiFP
Czy to oznacza ostateczny koniec kampanii wymierzonej w Stany Zjednoczone? Specjaliści wskazują, że pomimo iż udało się opracować „Killwitch” dla wirusa SUNBURST, nie należy rozpatrywać tego „sukcesu” w kategoriach definitywnej neutralizacji zagrożenia. Wynika to z faktu, że hakerzy – przynajmniej w przypadkach wykrytych przez FireEye – szybko przystąpili do tworzenia dodatkowych „trwałych mechanizmów dostępu” do sieci ofiar.
Co więcej, „wyłącznik awaryjny” neutralizuje jedynie złośliwe oprogramowanie, a nie „usuwa” zewnętrznego aktora z naruszonej infrastruktury, w ramach której zainstalował on backdoory. Z drugiej jednak strony „spacyfikowanie” SUNBURST utrudni hakerom działanie, ponieważ stracili oni podstawowe narzędzie operacyjne.
Pomimo postępu w neutralizacji zagrożenia pojawiają się kolejne fakty, które jednoznacznie wskazują, że dotychczasowe odkrycia to jedynie część złożonej i wyrafinowanej kampanii. US CERT oficjalnie zakomunikował, że wykorzystanie oprogramowania „Orion” firmy SolarWinds „nie jest jedynym początkowym wektorem infekcji, z którego skorzystał aktor APT”.
Uwaga: CISA posiada dowody na dodatkowe początkowe wektory dostępu, inne niż platforma SolarWinds Orion; jednak są one nadal badane
Specjaliści nie mają wątpliwości, że usunięcie wrogiego aktora z rządowych sieci będzie „bardzo złożone i trudne” dla poszkodowanych instytucji oraz służb zaangażowanych w neutralizację zagrożenia.
Ponadto w alercie jeszcze raz wyraźnie podkreślono, że operacja hakerska stanowi poważne zagrożenie dla rządu USA, władz stanowych oraz na niższych szczeblach administracji, a także podmiotów odpowiedzialnych za infrastrukturę krytyczną. Zagrożenie dotyczy również sektora prywatnego.
Amerykańskie poruszenie
Cyberatak na rząd federalny wywołał szok w Stanach Zjednoczonych, szczególnie wśród specjalistów oraz osób odpowiedzialnych za bezpieczeństwo państwa i polityków. W kontekście incydentu coraz śmielej używa się mocnych i śmiałych twierdzeń pod adresem Rosji, która zdaniem Amerykanów jest sprawcą operacji „klasycznego szpiegostwa”. Nie brakuje również głosów, że Waszyngton nie może pozostać obojętny wobec wrogiej kampanii i odpowiedzieć na działania Moskwy.
Senator USA Dick Durbin, reprezentujący Partię Demokratyczną, podkreślił w wywiadzie dla telewizji CNN, że Rosja nieustannie nęka amerykańską cyberprzestrzeń, a ostanie wydarzenia dowodzą, że prowadzone operacje kończą się dla Kremla sukcesem. Zdaniem polityka Stany Zjednoczone nie mogą pozostać obojętne wobec działań ze strony Moskwy.
Rosyjski cyberatak jest praktycznie wypowiedzeniem wojny i musimy traktować to bardzo poważnie.
Wypowiedź polityka Partii Demokratycznej jednoznacznie wskazuje, że operacja wymierzona w kluczowe podmioty federalne została przeprowadzona przez Rosję. Oskarżenie padło publicznie podczas rozmowy na żywo w ramach serwisu informacyjnego emitowanego przez CNN. Jednak czy tak stanowcze słowa ze strony senatora USA nie są przesadzone?
Dmitri Alperovitch, szef firmy zajmującej się cyberbezpieczeństwem CrowdStrike, odniósł się do słów przedstawiciela Demokratów wskazując, że twierdzenie o cyberataku jako przejawie „wypowiedzenia wojny” Amerykanom jest nietrafione. Jak podkreślił specjalista, incydent to „nie wojna”, lecz „szpiegostwo”.
Ekspert całą kampanię wymierzoną w rząd USA opisał jednoznacznie: „To z pewnością hack dekady”. Swoje stanowisko tłumaczył skalą zjawiska oraz znaczeniem podmiotów, których dotyczy. Dmitri Alperovitch wyjaśnił wprost, że dzięki zhakowaniu kluczowych instytucji wrogi podmiot dostał dosłownie wszystko, co chciał. „Absolutna kopalnia złota dla przeciwnika” – ocenił szef CrowdStrike.
Richard Blumenthal, również amerykański senator z Partii Demokratycznej, nie zdradzając szczegółów, poinformował za pomocą Twittera, że brał udział w „tajnym spotkaniu informacyjnym” na temat rosyjskiego cyberataku. Wiadomości, jakie zostały podczas jego trwania przekazane wprawiły polityka w „głębokie zaniepokojenie”, a nawet ogromny strach przed zagrożeniem.
Demokrata w serii wpisów na social mediach domagał się odtajnienia i opublikowania informacji na temat incydentu, ponieważ jego zdaniem „Amerykanie zasługują na to, aby wiedzieć co się dzieje”.
Americans deserve to know the impact of this staggering cyberattack—& how Cozy Bear reportedly slipped into systems under our sleuths’ noses. With no sign of a timeline for disclosure, I’ll be demanding more facts. https://t.co/IwHB1xQ4uS
— Richard Blumenthal (@SenBlumenthal) December 16, 2020
Pod Tweetami senatora użytkownicy naciskali, aby polityk podzielił się publicznie posiadaną wiedzą na temat rosyjskiej operacji skoro sam uważa, że społeczeństwo powinno o tym wiedzieć. W mediach pojawiły się również głosy, że pojawiające się wypowiedzi kolejnych polityków, którzy publicznie mówią o Rosji jako o sprawcy „cyberataku dekady” należy rozpatrywać w kategoriach pierwszych prób oficjalnego przypisania wrogich działań Moskwie.
W Stanach Zjednoczonych nie brakuje także krytyki pod adresem skuteczności polityki cyberbezpieczeństwa prowadzonej przez rząd. Coraz popularniejsze stają się twierdzenia, że Waszyngton regularnie wydaje miliardy dolarów na systemy mające zapewnić ochronę w wirtualnej docenienie, w tym narzędzia do wykrywania włamań do infrastruktury, po czym rosyjscy hakerzy bez większych problemów potrafią „przechytrzyć” amerykańskie rozwiązania.
Reporterka The New York Times Nicole Perlroth, która specjalizuje się w cyberbezpieczeństwie, wskazała, że na skutek wrogiej kampanii ze strony Rosji doradca ds. bezpieczeństwa narodowego USA Robert C. O’Brien został zmuszony do skrócenia swojej podróży po Europie. Zdaniem dziennikarki to „oczywista oczywistość”, a bardziej niepokojący jest fakt, że amerykańskie agencje „bagatelizują skalę zwycięstwa wywiadu Rosji”.
Thomas P. Bossert, szef koncernu IT TrinityCyber, poszedł jeszcze dalej w ocenie bieżących wydarzeń. Specjalista zaznaczył, że przez dłuższy czas opinia publiczna w Stanach Zjednoczonych „nie jest w najlepszej kondycji, rządzący krajem politycy są rozproszeni, a my znajdujemy się pod wirtualnym ostrzałem”. Jak ocenił ekspert, ten stan nie trwa od ostatnich miesięcy, lecz sięga znacznie dalszej perspektywy, a działania ze strony Moskwy tylko potęgują zagrożenie. „Co zamierzamy z tym zrobić?” – pyta retorycznie Thomas P. Bossert poprzez swoje profile w mediach społecznościowych.
„Nie będę stał bezczynnie”
Incydent, który został nazwany przez środowisko eksperckie „hackiem dekady” musiał wywołać reakcję wśród najważniejszych osób w państwie. Stanowisko w tej sprawie przedstawił prezydent-elekt USA Joe Biden.
„W ostatnich dniach dowiedzieliśmy się o zaawansowanym i bardzo poważnym naruszeniu cyberbezpieczeństwa, które może potencjalnie obejmować tysiące podmiotów, w tym amerykańskie firmy i organy rządu federalnego” - zaznaczył prezydent-elekt. Jak dodał, obecnie wiele kwestii jest nieznanych, jednak te fakty, które już odkryto są „sprawą bardzo niepokojącą”.
Joe Biden zadeklarował, że osobiście poinstruował swój sztab, aby dowiedział jak najwięcej o incydencie. Prezydent-elekt jednoznacznie podkreślił, że jego administracja uczyni cyberbezpieczeństwo najwyższym priorytetem na każdym szczeblu, a rozwiązanie sprawy ostatniej operacji hakerskiej to będzie najważniejsza sprawa od momentu rzeczywistego przejęcia prezydentury.
W pierwszej kolejności musimy przeszkadzać naszym przeciwnikom w prowadzeniu cyberataków (...) Zrobimy to, między innymi, nakładając poważne konsekwencje na osoby odpowiedzialne za tego typu wrogie działania (...) Nasi przeciwnicy powinni wiedzieć, że jako prezydent nie będę stał bezczynnie w obliczu cyberataków na nasz naród
Czytaj też: Największa operacja w roku? Rosyjski szturm na sieci Departamentu Skarbu oraz Handlu USA
Gdyby obowiązywały „cybernormy”…
Tu pojawia się pytanie nie tylko o to „co można zrobić”, idąc za Thomasem Bossertem z TrinityCyber, ale również czy wydarzeniom z ostatnich dni można było w jakiś sposób skutecznie zaradzić. Ciaran Martin, dyrektor brytyjskiego Krajowego Centrum ds. Cyberbezpieczeństwa (ang. National Cyber Security Centre – NCSC) poddał pod publiczną debatę w ramach mediów społecznościowych zagadnienie dotyczące wątku międzynarodowych przepisów a ich ewentualnej skuteczności w powstrzymywaniu aktorów państwowych przed prowadzeniem tak szeroko zakrojonych operacji.
Genuine question: if the world already had the sort of ‘cyber norms’ in place that have been talked about over the years, would the #SolarWinds intrusion violate any of them?
— Ciaran Martin (@ciaranmartinoxf) December 16, 2020
Not clear to me that it would #CyberSecurity @DAlperovitch @Jason_Healey
Szef NCSC zapytał wprost: „gdyby na świecie obowiązywały >normy cybernetyczne<, o których mówi się przez lata, czy włamanie z wykorzystaniem produktu SolarWinds naruszałoby którąkolwiek z nich?”
Na odpowiedzi pod postem Ciarna Martina z tak sformułowaną hipotezą nie trzeba było długo czekać. Eksperci z różnych dziedzin wypowiadali się w podobnym tonie, wskazując, że żadne państwo obecnie nie jest zainteresowane ustanawianiem prawa, które zakazałoby szpiegostwa. Wynika to z prostej przyczyny – „wszyscy to robią”.
Zbieranie informacji na temat innych krajów to zjawisko naturalne i normalne, a co ważniejsze warunkuje ono określony poziom stabilności i bezpieczeństwa. Paradoksalnie ze strategicznego punktu widzenia układ międzynarodowy, w którym państwa nie prowadziłyby działalności wywiadowczej byłby miejscem rozwijania się zagrożeń i chaosu. Posiadanie wiedzy na temat np. potencjału wroga warunkuje charakter polityki, większą ostrożność oraz racjonalizm w działaniu.
Z drugiej strony pojawiły się głosy, że kampania wymierzona w podmioty federalne Stanów Zjednoczonych jest naruszeniem obowiązujących już norm międzynarodowych. Na taką okoliczność wskazał m.in. Bart Hoogeveen z centrum zajmującego się cyberprzestrzenią „ASPI Cyber Policy”.
Specjalista ocenił, że ingerencja sponsorowana lub akceptowana przez krajowy rząd (a taka miała miejsce przypadku USA) jest sprzeczna z powszechnie obowiązującą normą odpowiedzialnego zachowania państwa. W związku z tym agresor na bazie tej zasady może zostać pociągnięty do odpowiedzialności za m.in. „nadużywanie technologii informacyjno-komunikacyjnych na swoim terytorium” oraz „niszczenie infrastruktury krytycznej innego państwa, które świadczy usługi publiczne”.
Potencjalna odpowiedź na działania jest jednak uwarunkowana przedstawieniem dowodów, potwierdzających zaangażowanie danego państwa we wrogą operację przeciwko innemu. Obecnie w Stanach Zjednoczonych coraz więcej urzędników państwowych wypowiada się publicznie o kampanii jako agresji ze strony Moskwy. Nie należy jednak tego rozważać w kategoriach ostatecznej atrybucji incydentu Rosji, ponieważ administracja USA nie przedstawiła dowodów w tej sprawie ani nie wystosowała oficjalnego stanowiska potwierdzającego taki stan rzeczy. Oczywiście prezydent-elekt zabrał głos komentując wrogą operację, lecz nie wskazał na konkretnego aktora państwowego, który miałby się dopuścić tak agresywnej kampanii. Joe Biden mówił ogólnie o „przeciwniku”, powstrzymując się – przynajmniej na ten moment – przed jednoznacznym przypisaniem działań Moskwie.
Haertle: Każdego da się zhakować
Materiał sponsorowany