Polskie służby demaskują rosyjski wywiad

Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska, we współpracy z partnerami z USA (FBI, CISA, NSA) i Wielkiej Brytanii (NCSC), ujawnili, że Służba Wywiadu Zagranicznego Rosji (SWR) wykorzystuje lukę CVE-2023-42793 „do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity” – wskazano w komunikacie do sprawy. Mają one trwać od co najmniej końca września br.

Wyjaśnijmy, że JetBrains TeamCity to narzędzie przeznaczone do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania.

Odkrycie działań Rosji

„Dostęp do serwera TeamCity może umożliwić dostęp do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania” – wskazuje SKW i CERT Polska. 

Specjaliści odkryli, że doszło do „eskalacji uprawnień, poszerzania dostępu wewnątrz sieci, umieszczania w systemach informatycznych dodatkowych narzędzi”. Rosyjski wywiad podjął także kroki na rzecz zbudowania sobie „długotrwałego, trudnego do wykrycia dostępu” do naruszonych systemów.

Kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń, choć wymaga zaangażowania znacznych zasobów po stronie wrogiej służby - nawet nie dni, ale tygodni gromadzenia cennego dostępu, prac R&D czy planowania.
SKW oraz CERT Polska

Unieszkodliwienie narzędzi Rosjan

SKW, CERT Polska oraz partnerzy z USA i Wielkiej Brytanii podjęli działania na rzecz przeciwdziałania uzyskania dostępu przez SWR do łańcucha dostaw wytwarzania oprogramowania dziesiątek podmiotów. Nie ujawniono jednak ich nazw.

Zaangażowanie specjalistów pozwoliło skutecznie wykryć kampanię, jej ofiary oraz techniki stosowane przez rosyjski wywiad. Z powodzeniem udało się zablokować i tym samym unieszkodliwić narzędzia, za pomocą których wróg prowadził działania.

Co robić?

Służba wraz z partnerami radzi, aby wszystkie organizacje, instytucje, firmy korzystające z nieaktualnej wersji oprogramowania JetBrains założyły, że rosyjskie SWR uzyskało dostęp do ich infrastruktury. 

Rekomenduje się wdrożenie procedur obejmujących wykrywanie zagrożenia. W momencie podejrzeń, że doszło do naruszenia bezpieczeństwa systemów, administratorzy powinni „rozpocząć proces reagowania na incydent oraz zgłosić ten fakt do właściwego zespołu CSIRT szczebla krajowego”.

Słowa uznania

Skuteczne działania SKW, CERT Polska, FBI i innych skomentował Dowódca Komponentu Wojsk Obrony Cyberprzestrzeni grn. dyw. Karol Molenda. Przedstawiciel polskich cyberwojsk podkreślił, że „cyberbezpieczeństwo to gra zespołowa”.

„Dzięki odpowiedniej współpracy i umiejętności współdziałania stajemy się silniejsi i lepiej przygotowani do starcia z przeciwnikami. (…) Brawo” - zaznaczył z uznaniem generał Wojska Polskiego.

Jak stwierdził na platformie X (dawniej Twitter), opisane wyżej wysiłki polskich specjalistów to kolejny przykład, pokazujący, że eksperci z naszego kraju „przyczyniają się do zablokowania infrastruktury oraz unieszkodliwienia narzędzi wykorzystywanych do prowadzenia złośliwych operacji w cyberprzestrzeni”.

Skuteczne SKW

Słowo „kolejny” jest tutaj właściwe, ponieważ to nie pierwsza tego typu akcja z udziałem SKW i CERT Polska. Na łamach naszego portalu opisywaliśmy działania specjalistów, których efektem było wykrycie szeroko zakrojonej kampanii szpiegowskiej wiązaną z rosyjskimi służbami specjalnymi, a konkretnie grupą Cozy Bear. Wśród celów znajdowały się MSZ i placówki dyplomatyczne w państwach NATO, UE oraz Afryce.

Więcej na ten temat w tekście: „Rosja szpieguje NATO i UE. Polskie służby ujawniają operację wywiadu”.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].