Pentagon na liście ofiar rosyjskiej operacji. „To klasyczne szpiegostwo”

15 grudnia 2020, 13:45
russian-flag-1168889_960_720
Fot. Motorolla/Pixabay
  • Departament Skarbu oraz Departament Handlu USA były pierwszymi naruszonymi instytucjami federalnymi w ramach szeroko zakrojonej cyberoperacji ze strony aktora państwowego.
  • Specjaliści wskazują, że kampanię przeprowadziła ta sama rosyjska grupa (APT29 powiązana z FSB), która jest odpowiedzialna za cyberatak na amerykańskiego giganta FireEye i kradzież narzędzi hakerskich.
  • Podczas wrogich działań wykorzystano backdoora w oprogramowaniu do zarządzania IT „Orion”. Produkt firmy SolarWinds jest popularny wśród podmiotów rządowych w wielu państwach. W związku z tym brytyjski wywiad podjął decyzję o przeprowadzeniu audytu rządowych sieci z obawy przed zagrożeniem ze strony Rosji. 
  • Szczegóły na temat cyberataku przedstawiliśmy już wcześniej na naszym portalu. Więcej informacji na temat incydentu można znaleźć tutaj.

Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, część Departamentu Obrony oraz Narodowy Instytut Zdrowia Stanów Zjednoczonych – to kolejne podmioty państwowe naruszone podczas szeroko zakrojonej kampanii hakerskiej. Specjaliści wskazują, że była to operacja klasycznego szpiegostwa. Według Amerykanów wrogie działania pochodzą z Rosji, a konkretnie odpowiada za nie jednostka FSB.

„Lista ofiar” operacji hakerskiej, za którą ma odpowiadać grupa APT29 (Cozy Bear), działająca na zlecenie rosyjskiego wywiadu FSB, stale się rozszerza. Do katalogu naruszonych podmiotów dołącza Departament Bezpieczeństwa Wewnętrznego, Departament Stanu USA, część infrastruktury Pentagonu oraz Narodowy Instytut Zdrowia. Cyberatak miał dotknąć już łącznie 6 kluczowych instytucji federalnych.

Przypomnijmy, że ujawniane są kolejne fakty z operacji, za którą odpowiedzialność ma ponosić Rosja. Jak informowaliśmy wcześniej, pierwszymi naruszonymi przez zagranicznych hakerów instytucjami były Departament Skarbu oraz Departament Handlu USA. Z czasem okazało się jednak, że poszkodowanych podmiotów jest znacznie więcej. 

Wiadomości e-mailowe wysyłane przez urzędników Departamentu Bezpieczeństwa Wewnętrznego USA (ang. Department of Homeland Security – DHS), który odpowiada m.in. za nadzór nad bezpieczeństwem granic państwowych, były monitorowane przez zewnętrzną grupę hakerów – informuje Agencja Reutera, powołując się anonimowo na osoby zaangażowane w sprawę.

Jedno ze źródeł Agencji wskazuje, że „sieć krytyczna”, którą komórka DHS ds. cyberbezpieczeństwa używa do ochrony infrastruktury, w tym wyborów, nie została naruszona podczas kampanii. Sam Departament wydał specjalne oświadczenie w tej sprawie, w którym stwierdzono, że władze są świadome naruszeń cyberbezpieczeństwa w ramach rządu federalnego i w związku z tym podjęto ścisłą współpracę z partnerami z sektora publicznego i prywatnego w zakresie reakcji na wrogą operację.

The Washington Post informuje, że hakerzy włamali się również do Departamentu Stanu USA oraz Narodowego Instytutu Zdrowia. Jak podkreślił na łamach amerykańskiego dziennika Thomas Rid, profesor nauk politycznych na Uniwersytecie Johna Hopkinsa, wroga kampania to szeroko zakrojona operacja klasycznego szpiegostwa przeprowadzona potajemnie.

Jeśli okaże się to cyberszpiegostwem, to będzie to jedna z najskuteczniejszych kampanii szpiegowskich, jakie miały miejsce od dłuższego czasu

John Hultquist, specjalista FireEye

Szokująca skala zagrożenia

Na ten moment szacuje się, że hakerzy działali od co najmniej 9 miesięcy. Przez ten okres mogli skutecznie gromadzić szczegółowe dane o wysokim stopniu wrażliwości. A nie należy wykluczać sytuacji, w której zagraniczny aktor posiadał dostęp do krytycznych zasobów USA już znacznie wcześniej.

Od marca br. wystąpiły wydarzenia, którymi mógł być zainteresowany zagraniczny wywiad. O czym mowa? Wystarczy wymienić wybuch pandemii koronawirusa, prace nad lekarstwem oraz szczepionką na Covid-19 czy listopadowe wybory prezydenckie. Informacje na temat tych oraz innych zjawisk i procesów mogły być regularnie wykradane przez hakerów, którzy mieli pracować na rzecz rosyjskiego FSB.  John Hultquist, specjalista FireEye, który skomentował sprawę podkreślił, że nieważna jest ilość, lecz znaczenie celów naruszonych podczas operacji. 

Z kolei jak donosi The New York Times, część sieci Departamentu Obrony USA także została naruszona podczas tej kampanii. Jedna z zaangażowanych w dochodzenie osób, wypowiadająca się dla dziennika, wskazała pod warunkiem anonimowości, że obecnie badana jest skala naruszenia infrastruktury Pentagonu, którego systemy były obsługiwane za pomocą oprogramowania „Orion”.

Rzecznik Pentagonu poproszony przez Agencję Reutera o komentarz odmówił udzielania informacji ze względów bezpieczeństwa. Jednak jego wypowiedź sugeruje, że incydent rzeczywiście miał miejsce, lecz na razie nie podaje się do publicznej wiadomości skali naruszenia. „Ze względów bezpieczeństwa operacyjnego Departament Obrony nie będzie komentował podjęcia konkretnych środków łagodzących, ani nie wskaże na systemy, które mogły zostać naruszone” – wskazał rzecznik Penatgonu w odpowiedzi na pytanie Agencji Reutera.

Skala zagrożenia jest ogromna. Wynika to z faktu, że „Orion” może być wykorzystywany przez około 18 tysięcy podmiotów – podaje jego producent firma SolarWinds. Źródła Agencji Reutera wskazują, że każda organizacja korzystająca z naruszonej przez hakerów wersji „Orion” może mieć zainstalowanego backdoora w swoich systemach komputerowych. To pokazuje, jak wielka jest lista potencjalnych ofiar.

Obecnie niewiadomo jak dużej liczby urządzeń dotyczy problem, lecz należy spodziewać się, że z czasem naruszonych instytucji będzie przybywać. Śledczy m.in. Wielkiej Brytanii prowadzą dochodzenie, aby dowiedzieć się, które organizacje mogły paść ofiarą kampanii. John Scott-Railton z Citizen Lab jednoznacznie ocenił, że zrozumienie całej kampanii zajmie „jeszcze trochę czasu, a dodatkowo zadanie to będzie utrudnione przez fakt, że hakerzy zadbali o to, aby ukryć swoją działalność”.

Przez długi czas nie poznamy pełnej listy organizacji, które padły ofiarą ataku. Klienci SolarWinds starają się sprawdzić swoją infrastrukturę i zareagować na incydent

John Scott-Railton, specjalista Citizen Lab

„Zamknięcie drzwi” nie załatwia sprawy

Co ciekawe, samo odłączenie programu „Orion” od urządzenia nie wystarczy, aby powstrzymać hakerów. Jak tłumaczy na łamach The Washington Post John Hultquist, specjalista FireEye, produkt SolarWinds był jedynie „drzwiami”, przez które hakerzy mogli „przejść” do infrastruktury konkretnych instytucji. Ich „zamknięcie” nie oznacza, że problem znika, ponieważ wrogi podmiot nadal jest obecny w sieciach organizacji. W związku z tym zaangażowano wiele specjalistycznych zespołów oraz służb, aby rozwiązać ten problem. Według eksperta działania zaradcze będą trwać najprawdopodobniej do świąt Bożego Narodzenia.

Warto przypomnieć, że SolarWinds posiada 300 000 klientów na całym świecie, z czego większość stanowią firmy z listy Fortune 500 w Stanach Zjednoczonych. Z produktów koncernu korzystają również podmioty państwowe, takie jak agencje wywiadowcze, wojsko czy instytucje rządowe. Przykładem może być nie tylko USA, ale również Wielka Brytania (np. GHCQ), Turcja (np. Ministerstwo Zdrowia), Parlament Europejski czy NATO (np. Agencja Wsparcia NATO).

„Kto mieczem wojuje, ten...” 

Członkowie Kongresu USA naciskają na służby, aby te udzieliły im szerszych informacji na temat ostatnich wydarzeń – donosi agencja Assosciated Press. Jeden z senatorów Partii Demokratycznej Ron Wyden, przywiązujący szczególną uwagę do kwestii cyberbezpieczeństwa wskazuje, że jeśli doniesienia są prawdziwe, to Stany Zjednoczone mogą stać w obliczu zagrożenia, które może sięgać wielu lat.

Jeśli doniesienia są prawdziwe, a sponsorowanym przez państwo hakerom udało się zaimplementować złośliwe oprogramowanie do dziesiątek systemów rządu federalnego, nasz kraj doświadczył ogromnego naruszenia bezpieczeństwa narodowego, które może mieć konsekwencje na wiele lat.

Ron Wyden, senator Partii Demokratycznej

Gdy dochodzenie i zdobyte dowody jednoznacznie potwierdzą, że za operację odpowiadają hakerzy APT 29 (Cozy Bear), należący do rosyjskiego FSB, jakie środki może podjąć rząd USA w ramach odpowiedzi?

Jedną z możliwości jest wydalenie dyplomatów z kraju, nałożenie sankcji lub wniesienie oskarżenia o szpiegostwo w cyberprzestrzeni. Są to działania, które Stany Zjednoczone i Unia Europejska podjęły już wcześniej wobec Rosji.

Znając cyberzdolności USA nie można wykluczać również silnej reakcji w zmian za tak poważne naruszenie bezpieczeństwa narodowego. Mowa tu np. o podjęciu operacji w rosyjskich sieciach, co przewiduje amerykańska strategia „obrony naprzód” (m.in. została użyta przeciwko Rosji w celu zabezpieczenia wyborów do Kongresu). Sposób odpowiedzi z pewnością jest już dyskutowany w instytucjach odpowiedzialnych za bezpieczeństwo Stanów Zjednoczonych. Nie bez znaczenia w tej kwestii będzie również stanowisko nowego Prezydenta USA Joe Bidena.

Jednak czy tak zaawansowana kampania cyberszpiegowska może być nazwana „atakiem”? To kluczowe pytanie, które warunkuje również sposób ewentualnej odpowiedzi na wrogie działania podjęte przez aktora państwowego. Na problem ten zwrócił uwagę Thomas Rid, profesor studiów strategicznych na Uniwersytecie Johna Hopkinsa w Baltimore.

Specjalista wskazał, że omawiając problematykę operacji szpiegowskiej w kontekście ewentualnych reakcji należy poprawnie interpretować pojawiające się pojęcia. Jak zauważył, wydobywanie danych od celów będących zagranicznymi podmiotami wywiadowczymi nie powinno być określane mianem „ataku”, nawet jeśli wspomniane działania są ukryte, ukierunkowane i zaawansowane.  

Thomas Rid wyjaśnia, że włamanie do sieci staje się „atakiem” w momencie, gdy wrogi aktor modyfikuje, usuwa lub ujawnia wybrane pliki. Kwestie terminologii doprecyzował Daniel Moore z departamentu nauk o wojnie na King's College London, który wskazał za pomocą Twittera, że czyn określany „atakiem” może wywołać istotne konsekwencje dla poszkodowanego podmiotu, w tym tymczasowe zakłócenie dostępu do usług, utratę danych, ich modyfikację czy rzadziej skutki konwencjonalne. Warto o tym pamiętać w kontekście ostatnich wydarzeń z udziałem Stanów Zjednoczonych i ewentualnej debaty nad potencjalną odpowiedzią Waszyngtonu. 

image
Oferta sklepu Defence24

 

KomentarzeLiczba komentarzy: 4
sepuku
środa, 16 grudnia 2020, 02:55

Miesiące obcego ruchu w zabezpieczanych sieciach zabezpieczających inne? Ktoś tu się chyba poczuł zbyt pewnie i uwierzył we własną propagandę. Ale stacja paliw przeliczyła się z tą akcją ta chwila sławy będzie za droga.

rozczochrany
wtorek, 15 grudnia 2020, 19:17

No jak oni mogli?! Niech się tylko nie popłaczą. Każde państwo szpieguje i jest szpiegowane. Także przez sojuszników. W Polsce to się nawet z tym kryć nie muszą.

Fanklub Daviena
wtorek, 15 grudnia 2020, 17:09

O jej! Źli Rosjanie mieli tupet wykorzystać backdoora umieszczonego przez USA celem szpiegowania innych państw! :D

Tomek72
środa, 16 grudnia 2020, 12:58

tym razem WYJĄTKOWO najprawdopodobniej - muszę przyznać Ci rację ... Jaka z tego lekcja dla Polski i Polaków ? Potrafiliście złamać ENIGMĘ ... - możemy być NAJLEPSZYM (a NA PEWNO w ścisłej czołówce) krajem w dziedzinie IT Security ... Co wybieramy ? kupowanie gotowych rozwiązań od USA, Izraela i Rosji ? Czy budowa i rozwój własnych ? A może od razu "oustourcujemy" wywiad i kontrwywiad ? Po co Polsce wywiad, skoro Niemcy mają (Niemcy możesz zastąpić dowolnie Izraelem czy Rosją) ...

Tweets CyberDefence24