Polityka i prawo
Największa operacja w roku? Rosyjski szturm na sieci Departamentu Skarbu oraz Handlu USA
Departament Skarbu oraz Handlu Stanów Zjednoczonych padły ofiarą zaawansowanego cyberataku, w wyniku którego hakerzy powiązani z państwem uzyskali dostęp do wewnętrznych zasobów USA. Operacja wpisuje się w szeroko zakrojoną kampanię, odznaczającą się niespotykanym poziomem wyrafinowania oraz skutecznością. Doniesienia mówią o kolejnym uderzeniu rosyjskiego FSB, które wcześniej miało przeprowadzić skuteczny cyberatak na amerykańskiego giganta cyberbezpieczeństwa FireEye. Operacja wymierzona w amerykańskie podmioty rządowe to największy incydent, jaki miał w 2020 roku?
W wyniku cyberataku hakerzy powiązani z państwem monitorowali wewnętrzny przepływ e-maili w Departamencie Skarbu oraz Departamencie Handlu Stanów Zjednoczonych. Incydent jest na tyle poważny, że podjęto decyzję o zwołaniu posiedzenia Rady Bezpieczeństwa Narodowego w Białym Domu – informuje Agencja Reutera.
Sprawa została przekazana do Agencji ds. Cyberbezpieczeństwa i Infrastruktury (ang. Cybersecurity and Infrastructure Security Agency – CISA) oraz Federalnego Biura Śledczego (ang. Federal Bureau of Investigation – FBI).
Hakerzy dostali się do wewnętrznych sieci amerykańskich podmiotów państwowych, manipulując aktualizacjami wydanymi przez firmę informatyczną SolarWinds, która obsługuje klientów rządowych, wojsko i służby wywiadowcze, w tym m.in.: wszystkie największe w USA firmy telekomunikacyjne (jest ich dziesięć), Pentagon, NASA, Departament Stanu, Departament Sprawiedliwości oraz Biuro Prezydenta Stanów Zjednoczonych.
W jaki sposób hakerom udało się „wejść” do sieci rządowych? Ukryli oni złośliwego wirusa w ramach legalnych poprawek oprogramowania dostarczanych przez podmioty trzecie. To otworzyło im drogę do dalszych działań i penetracji infrastruktury.
W oświadczeniu do sprawy władze SolarWinds potwierdziły, że aktualizacje jej oprogramowania monitorującego wydane między marcem a czerwcem br. zostały naruszone przez „wysoce wyrafinowany, ukierunkowany cyberatak na łańcuch dostaw”, który został przeprowadzony przez aktora państwowego. Firma poinformowała również, że ściśle współpracuje z FireEye, FBI, społecznością wywiadowczą oraz innymi organami ścigania w celu zbadania incydentu.
JUST RELEASED: Emergency Directive 21-01 calls on all federal civilian agencies to review their networks for indicators of compromise and disconnect or power down SolarWinds Orion products immediately. Read more: https://t.co/VFZ81W2Ow7
— Cybersecurity and Infrastructure Security Agency (@CISAgov) December 14, 2020
Naruszenie zasobów firmy, która obsługuje podmioty rządowe sprawia, że zagrożenie staje się realne również dla pozostałych agencji. W związku z tym wydano nadzwyczajną dyrektywę wzywającą „wszystkie federalne agencje” do przeszukania sieci i systemów w celu wykrycia wszelkich nieprawidłowości, naruszeń lub luk, a także odłączenia lub natychmiastowego wyłączenie produktów SolarWinds.
Naruszenie produktów Orion Network Management firmy SolarWinds stwarza niedopuszczalne zagrożenie dla bezpieczeństwa sieci federalnych
Jest to piąta nadzwyczajna dyrektywa wydana przez CISA od 2015 roku na podstawie uprawnień przyznanych przez Kongres USA w ramach ustawy o cyberbezpieczeństwie.
Firma FireEye, która sama niedawno padła ofiarą hakerów powiązanych z rządem, wskazała, że najnowszy incydent wymierzony w podmioty federalne USA stanowi część szeroko zakrojonej kampanii, którą specjaliści śledzą pod nazwą „UNC2452”.
Eksperci podkreślają, że w ramach prowadzonych działań wrogi aktor uzyskał dostęp do wielu organizacji publicznych i prywatnych na całym świecie, wykorzystując aktualizacje oprogramowania do produktów SolarWinds.
Kampania jest dziełem wysoko wykwalifikowanego aktora, a operacja została przeprowadzona przy zachowaniu wysokiego bezpieczeństwa operacyjnego
Według ekspertów amerykańskiego giganta cyberbezpieczeństwa operacja rozpoczęła się wiosną 2020 roku i trwa do chwili obecnej. Jej głównym założeniem jest kradzież danych.
Jak wskazuje na łamach agencji Associated Press John Hultquist, dyrektor ds. analizy zagrożeń w FireEye, w momencie, gdy udostępnione zostaną skradzione informacje, będzie to ogromne zaskoczenie i szok ze względu na skalę zjawiska. Dodaje, że co chwilę odkrywane są nowe cele hakerów, lecz pomimo tego oni „ukradkiem” dalej realizują swoje działania.
Kwestia atrybucji
Rząd Stanów Zjednoczonych oraz specjaliści FireEye nie wskazali publicznie źródła cyberataku, jednak trzy osoby zaznajomione ze sprawą, do których dotarła Agencja Reutera podkreśliły, że obecnie głównym podejrzanym jest Rosja. Według nich operacja jest elementem szerszej kampanii, obejmującej również cyberatak na amerykańskiego giganta cyberbezpieczeństwa.
W ramach incydentu z udziałem FireEye skradziono specjalistyczne narzędzia hakerskie znajdujące się w arsenale firmy. Celem były również informacje dotyczące klientów rządowych koncernu. Jak wówczas stwierdzono, operacja została przeprowadzona przez aktora państwowego, na co wskazuje wysoka dyscyplina, bezpieczeństwo operacyjne oraz wykorzystanie zaawansowanych technik podczas realizacji działań (tak samo jak w przypadku najnowszego incydentu).
CEO FireEye skomentował cyberatak na jego firmę bardzo dobitnie: „Jesteśmy świadkami ataku ze strony państwa o najwyższych zdolnościach ofensywnych”. W przypadku operacji hakerskiej wymierzonej w Departament Skarbu i Handlu jest podobnie. Chris Krebs, były już dyrektor CISA, jednoznacznie ocenił, że tego typu operacje wymagają wyjątkowych zdolności oraz czasu, a cała kampania trwa od wielu miesięcy.
Also, hacks of this type take exceptional tradecraft and time. On the 1st, if this is a supply chain attack using trusted relationships, really hard to stop. On the 2nd, I suspect this has been underway for many months. Need good detections to find victims and determine scope.
— Chris Krebs (@C_C_Krebs) December 13, 2020
FSB w natarciu?
Po kampanii, której celem było FireEye pojawiły się stwierdzenia, że została ona przeprowadzona przez hakerów grupy APT29 (Cozy Bear), należącej do rosyjskiego FSB. Wskazywały na to m.in. zeznania osób zaangażowanych w dochodzenie, prowadzenie śledztwa przez wewnętrzną komórkę FBI specjalizującą się w operacjach Kremla, stopień zaawansowania i inne podobieństwa do wcześniejszych kampanii wywiadu, a także motyw, którym miała być zemsta za demaskowanie rosyjskich działań przez amerykańskiego giganta cyberbezpieczeństwa. Wobec tego czy najnowszy cyberatak można przypisać Rosji?
UPDATED: Russian government hackers are behind an online espionage campaign that has breached the Treasury and Commerce Departments, other U.S. agencies and a top cyber firm. The scale of this is "very, very bad," said one source. w/@CraigTimberg https://t.co/DDnvtFo0uG
— Ellen Nakashima (@nakashimae) December 14, 2020
Moskwa jednoznacznie skomentowała sprawę, wskazując w specjalnym oświadczeniu opublikowanym przez rosyjską ambasadę w USA, że po raz kolejny padają pod adresem Kremla nieuzasadnione oskarżenia o przeprowadzenie ataków hakerskich na amerykańskie organy rządowe. W treści podkreślono, że „złośliwe działania w przestrzeni informacyjnej są sprzeczne z zasadami rosyjskiej polityki zagranicznej, interesami narodowymi i naszym rozumieniem stosunków międzypaństwowych”.
Rosja nie prowadzi ofensywnych operacji w cyberprzestrzeni
Ponadto Moskwa zadeklarowała, że cały czas aktywnie promuje bilateralne i wielostronne umowy dotyczące cyberbezpieczeństwa, czego odzwierciedleniem jest inicjatywa prezydenta Władimira Putina z 25 września br. dotycząca odbudowy wzajemnych relacji oraz współpracy w zakresie bezpieczeństwa informacyjnego. „Do tej pory nie otrzymaliśmy odpowiedzi ze strony Waszyngtonu” – podkreślono w oświadczeniu.
Dlaczego Departament Skarbu oraz Handlu miałyby stać się celem rosyjskiego wywiadu? Być może jest to chęć uzyskania dostępu, a następnie kradzieży informacji na temat osób i podmiotów objętych amerykańskimi sankcjami (np. z „Listy Magnickiego”). Prawdopodobny jest również scenariusz chęci posiadania wiedzy na temat podejścia USA do kwestii rosyjskich przedsięwzięć i projektów, w tym głośnego w ostatnim czasie Nord Stream 2.
A może cyberatak to przejaw kampanii, której celem generalnie jest cała federalna infrastruktura Stanów Zjednoczonych, a włamanie do sieci Departamentu Skarbu i Handlu okazało się na ten moment najprostsze. Hakerzy mogą pracować dalej, aby uzyskać dostęp do pozostałych sieci amerykańskich podmów rządowych, aby zbudować kompleksową wiedzę wywiadowczą na temat USA.
Efekt chaosu?
Interesujący wydaje się być fakt zauważalnego nasilenia wrogich operacji wymierzonych w Stany Zjednoczone, jaki ma miejsce od listopadowych wyborów prezydenckich (kampania wywiadowcza w środowisku Joe Bidena, cyberatak na FireEye, operacja wymierzona w departamenty). Z punktu widzenia Waszyngtonu obawy budzi nie tylko ilość wrogich działań, ale przede wszystkim ich stopień zaawansowania oraz skuteczność. Skąd to wynika?
Nasilenie operacji hakerskich może być efektem skupienia się służb na zabezpieczeniu procesów podczas listopadowej kampanii, a także rezultatem zmian, jakie nastąpiły w agencjach odpowiedzialnych za cyberbezpieczeństwo USA oraz samego chaosu i napiętej sytuacji, wynikającej ze zwycięstwa w wyborach Joe Bidena. Obecny (jeszcze) Prezydent Stanów Zjednoczonych Donald Trump nie może pogodzić się z porażką, co posadą okupił m.in. Chris Krebs, który został na mocy decyzji głowy państwa odwołany ze stanowiska dyrektora CISA.
Po zakończonych wyborach szef Agencji stwierdził, że cały proces wyborczy nie został w żaden sposób zakłócony i tym samym odrzucił wszelkie twierdzenia jakoby miały miejsce jakiekolwiek oszustwa lub manipulacje wynikami. Donald Trump uznał, że to nieprawda, dopatrując się wielu nieprawidłowości (np. oddawanie głosów przez osoby zmarłe), na skutek czego odwołał Chrisa Krebsa z pełnionego stanowiska.
Panujący chaos związany z procesem wyborczym oraz wynikami kampanii prezydenckiej mógł być okazją dla zewnętrznego aktora państwowego do przeprowadzenia cyberataku, który przygotowywano przez dłuższy czas, aby wykorzystać „dobry moment” do uderzenia. Roszady w tak kluczowej z punktu widzenia cyberbezpieczeństwa USA agencji, jaką jest CISA również mogły zachęcić zewnętrzne podmioty do wzmożenia działań, licząc na osłabienie czujności i dezorganizację służb oraz specjalistów.
Dochodzenie w sprawie cyberataku na Departament Skarbu oraz Handlu USA potrwa miesiącami, jeśli nie latami, ponieważ istnieją realne podstawy, że to operacja wpisująca się w kampanię na dużą skalę prowadzoną przez wroga USA. Obecnie zadaniem śledczych jest znalezienie odpowiedzi przede wszystkim na pytanie do jakich informacji hakerzy posiadali dostęp, co trafiło w ich ręce, a także skąd pochodzili i w czyim imieniu działali.