„Hack dekady” dotknął infrastrukturę krytyczną USA. Co grozi Amerykanom?

28 grudnia 2020, 15:00
new-york-1332377_960_720
Fot. sometimesfay/Pixabay
  • „Hack dekady” - takim mianem został określony cyberatak na infrastrukturę rządu Stanów Zjednoczonych. W ramach operacji hakerzy naruszyli systemy Departamentu Skarbu, Departamentu Handlu, Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Stanu, części Pentagonu, Departamentu Energii (w tym Narodowej Administracji Bezpieczeństwa Jądrowego) oraz Narodowego Instytutu Zdrowia USA.
  • Amerykanie przypisują wrogą działalność Rosji, wskazując, że cyberatak przeprowadziła grupa APT29 (Cozy Bear), która jest powiązana z FSB. Jej hakerzy mieli wcześniej wykraść broń hakerską z arsenału firmy zajmującej się cyberbezpieczeństwem FireEye. Więcej pod linkiem.
  • Podczas kampanii wykorzystano oprogramowanie do zarządzania IT „Orion”. Produkt firmy SolarWinds jest popularny wśród podmiotów rządowych w wielu państwach, w tym w Polsce i Wielkiej Brytanii.
  • Specjaliści wskazują, że wrogie działania to zaawansowana operacja „klasycznego szpiegostwa”.
  • Szczegóły na temat cyberataku można znaleźć tutaj.

Hakerzy zainfekowali co najmniej kilkanaście podmiotów odpowiedzialnych za infrastrukturę krytyczną w Stanach Zjednoczonych, a także naruszyli bezpieczeństwo platformy Microsoft 365 Cloud, aby zwiększyć zasięg prowadzonej kampanii. Wrogi aktor ukrył się w amerykańskich sieciach, czekając na „zielone światło” do ataku?

Wykorzystanie aktualizacji oprogramowania do zarządzania IT „Orion”, którego producentem jest SolarWinds było do tej pory jedynym odkrytym wektorem ataku na infrastrukturę rządu Stanów Zjednoczonych. Jednak specjaliści wskazali, że hakerzy podczas kampanii okrzykniętej „hackiem dekady” uzyskali również dostęp do dostawcy sprzedającego licencję pakietu Office i w ten sposób próbowali pozyskać np. wewnętrzne wiadomości e-mail firmy CrowdStrike. Oficjalnie nie przypisano wrogiej działalności hakerom odpowiedzialnym za naruszenie systemów rządowych, lecz dwie osoby zaznajomione ze sprawą potwierdziły, że incydent pochodzi od tego samego aktora – donosi Agencja Reutera, powołując się na swoje źródła.

CrowdStrike, który nie korzysta z produktów SolarWinds, używa programów Office jedynie do przetwarzania tekstu, a nie zarządzania pocztą online. To sprawiło, że operacja hakerów zakończyła się fiaskiem. Jak wskazują eksperci, wrogi aktor uzyskał dostęp do sieci firmy za pomocą zhakowanego dostawcy, aby następnie włączyć funkcję „odczytu” korespondencji e-mail. W tym miejscu atakujący napotkali problem, ponieważ CrowdStrike nie wykorzystuje Office 365 do obsługi poczty. „Gdyby tak było, gra byłaby skończona” – zaznaczył informator Agencji Reutera.

W tym miejscu należy mieć na uwadze, że wiele licencji na produkty Microsoft jest sprzedawanych za pośrednictwem firm zewnętrznych, które mogą mieć stały dostęp do systemów klientów. Jak donosi The Washington Post, ci sami hakerzy, którzy naruszyli systemy rządu USA – powiązani z FSB (grupa Cozy Bear, APT29) – włamali się do sieci klientów Microsoft i ukradli korespondencję e-mail od co najmniej jednej firmy z sektora prywatnego.

Koncern jest świadomy zagrożenia i oficjalnie przyznał, że prowadzone przez firmę dochodzenie w sprawie ostatnich wydarzeń („hack dekady” – przyp. red.) ujawniło incydenty związane z nadużyciem poświadczeń w celu uzyskania dostępu. W oficjalnym oświadczeniu Microsoft wskazał, że hakerzy ukierunkowują swoje działania na platformę Microsoft 365 Cloud. Podczas operacji korzystają z „kont zaufanych dostawców”, które wcześniej zostały przez nich naruszone i przejęte.

Informacje, które przedstawili specjaliści CrowdStrike oraz amerykański dziennik The Washington Post potwierdzają tezy o wielu wektorach ataku aktora państwowego na Stany Zjednoczone. Wykorzystanie dostawców powiązanych z Microsoftem w ramach szeroko zakrojonej kampanii „klasycznego szpiegostwa” stanowi jeden z nich, lecz czy ostatni?

Infrastruktura krytyczna kontrolowana przez wroga?

Podczas wrogiej kampanii wymierzonej w USA hakerzy zainfekowali również co najmniej 15 podmiotów odpowiedzialnych za infrastrukturę krytyczną w kraju, które korzystały z oprogramowania „Orion”. Mowa tu m.in. o firmach z branży elektrycznej czy petrochemicznej. Ponadto naruszony produkt firmy SolarWinds został także użyty do ataku na trzech dostawców usług z zakresu zarządzania dla podmiotów działających we wspomnianych wyżej sektorach – informuje The Intercept, powołując się na stanowisko Roberta Lee, dyrektora Dragos.

Specjalista wyjaśnił, że cyberataki w sektorze infrastruktury krytycznej miały miejsce nie tylko w sieciach IT firm, ale także w rzeczywistej infrastrukturze przemysłowej systemów sterowania, które zarządzają krytycznymi funkcjami. Eksperci nie odkryli jeszcze jednak dowodów na to, że zainstalowany w poszkodowanych podmiotach backdoor rzeczywiście został wykorzystany przez hakerów.

Według Roberta Lee wykrycie ewentualnej wrogiej aktywności w sieci może być niemożliwe dla podmiotów z sektora infrastruktury krytycznej, ponieważ posiadają one ograniczone możliwości monitorowania i rejestrowania cyberataków. „Mogą ustalić, czy są zagrożone, ale… prawie żadna z nich nie ma dzienników sieciowych, aby określić, czy hakerzy rzeczywiście prowadzą działania w ich sieciach” – tłumaczy dyrektor Dragos na łamach The Intercept.

Jest to szczególnie niebezpieczne, ponieważ hakerzy wroga, posiadając dostęp do sieci i systemów w ramach infrastruktury krytycznej, mogą w sposób zdalny kontrolować i zarządzać procesami, a także zmieniać lub instalować nowe oprogramowanie, co może mieć bezpośredni wpływ na bezpieczeństwo całego państwa.

Suzanne Spaulding, podsekretarz Departamentu Bezpieczeństwa Wewnętrznego ds. cyberbezpieczeństwa i bezpieczeństwa infrastruktury, podkreśliła w rozmowie z Kim Zetter (amerykańska dziennikarka zajmująca się cyberbezpieczeństwem), że problem jest szczególnie palący, ponieważ intencje wrogiego aktora odpowiedzialnego za „hack dekady” są nadal nieznane. Z drugiej strony przedstawicielka administracji USA stara się uspokoić nastroje wskazując, że włamanie się do sieci nie jest równoznaczne z posiadaniem zdolności do jej zakłócenia lub, co gorsze, zniszczenia.

Warto jednak pamiętać, że naruszenie systemów jednego dostawcy może prowadzić do uzyskania dostępu do sieci tysięcy organizacji na zasadzie połączonego łańcucha.

image
Z oferty Sklepu Defence24 - zapraszamy!
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24