Armia i Służby
Pentagon na liście ofiar rosyjskiej operacji. „To klasyczne szpiegostwo”
Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, część Departamentu Obrony oraz Narodowy Instytut Zdrowia Stanów Zjednoczonych – to kolejne podmioty państwowe naruszone podczas szeroko zakrojonej kampanii hakerskiej. Specjaliści wskazują, że była to operacja klasycznego szpiegostwa. Według Amerykanów wrogie działania pochodzą z Rosji, a konkretnie odpowiada za nie jednostka FSB.
„Lista ofiar” operacji hakerskiej, za którą ma odpowiadać grupa APT29 (Cozy Bear), działająca na zlecenie rosyjskiego wywiadu FSB, stale się rozszerza. Do katalogu naruszonych podmiotów dołącza Departament Bezpieczeństwa Wewnętrznego, Departament Stanu USA, część infrastruktury Pentagonu oraz Narodowy Instytut Zdrowia. Cyberatak miał dotknąć już łącznie 6 kluczowych instytucji federalnych.
Przypomnijmy, że ujawniane są kolejne fakty z operacji, za którą odpowiedzialność ma ponosić Rosja. Jak informowaliśmy wcześniej, pierwszymi naruszonymi przez zagranicznych hakerów instytucjami były Departament Skarbu oraz Departament Handlu USA. Z czasem okazało się jednak, że poszkodowanych podmiotów jest znacznie więcej.
Wiadomości e-mailowe wysyłane przez urzędników Departamentu Bezpieczeństwa Wewnętrznego USA (ang. Department of Homeland Security – DHS), który odpowiada m.in. za nadzór nad bezpieczeństwem granic państwowych, były monitorowane przez zewnętrzną grupę hakerów – informuje Agencja Reutera, powołując się anonimowo na osoby zaangażowane w sprawę.
Jedno ze źródeł Agencji wskazuje, że „sieć krytyczna”, którą komórka DHS ds. cyberbezpieczeństwa używa do ochrony infrastruktury, w tym wyborów, nie została naruszona podczas kampanii. Sam Departament wydał specjalne oświadczenie w tej sprawie, w którym stwierdzono, że władze są świadome naruszeń cyberbezpieczeństwa w ramach rządu federalnego i w związku z tym podjęto ścisłą współpracę z partnerami z sektora publicznego i prywatnego w zakresie reakcji na wrogą operację.
ALERT: The State Department and NIH join list of federal agencies — now five — hacked in major Russian cyberespionage campaign. And their number is expected to grow. w/@craigtimberg https://t.co/XWs8ALFzEf
— Ellen Nakashima (@nakashimae) December 15, 2020
The Washington Post informuje, że hakerzy włamali się również do Departamentu Stanu USA oraz Narodowego Instytutu Zdrowia. Jak podkreślił na łamach amerykańskiego dziennika Thomas Rid, profesor nauk politycznych na Uniwersytecie Johna Hopkinsa, wroga kampania to szeroko zakrojona operacja klasycznego szpiegostwa przeprowadzona potajemnie.
Jeśli okaże się to cyberszpiegostwem, to będzie to jedna z najskuteczniejszych kampanii szpiegowskich, jakie miały miejsce od dłuższego czasu
Szokująca skala zagrożenia
Na ten moment szacuje się, że hakerzy działali od co najmniej 9 miesięcy. Przez ten okres mogli skutecznie gromadzić szczegółowe dane o wysokim stopniu wrażliwości. A nie należy wykluczać sytuacji, w której zagraniczny aktor posiadał dostęp do krytycznych zasobów USA już znacznie wcześniej.
Od marca br. wystąpiły wydarzenia, którymi mógł być zainteresowany zagraniczny wywiad. O czym mowa? Wystarczy wymienić wybuch pandemii koronawirusa, prace nad lekarstwem oraz szczepionką na Covid-19 czy listopadowe wybory prezydenckie. Informacje na temat tych oraz innych zjawisk i procesów mogły być regularnie wykradane przez hakerów, którzy mieli pracować na rzecz rosyjskiego FSB. John Hultquist, specjalista FireEye, który skomentował sprawę podkreślił, że nieważna jest ilość, lecz znaczenie celów naruszonych podczas operacji.
Z kolei jak donosi The New York Times, część sieci Departamentu Obrony USA także została naruszona podczas tej kampanii. Jedna z zaangażowanych w dochodzenie osób, wypowiadająca się dla dziennika, wskazała pod warunkiem anonimowości, że obecnie badana jest skala naruszenia infrastruktury Pentagonu, którego systemy były obsługiwane za pomocą oprogramowania „Orion”.
Rzecznik Pentagonu poproszony przez Agencję Reutera o komentarz odmówił udzielania informacji ze względów bezpieczeństwa. Jednak jego wypowiedź sugeruje, że incydent rzeczywiście miał miejsce, lecz na razie nie podaje się do publicznej wiadomości skali naruszenia. „Ze względów bezpieczeństwa operacyjnego Departament Obrony nie będzie komentował podjęcia konkretnych środków łagodzących, ani nie wskaże na systemy, które mogły zostać naruszone” – wskazał rzecznik Penatgonu w odpowiedzi na pytanie Agencji Reutera.
Skala zagrożenia jest ogromna. Wynika to z faktu, że „Orion” może być wykorzystywany przez około 18 tysięcy podmiotów – podaje jego producent firma SolarWinds. Źródła Agencji Reutera wskazują, że każda organizacja korzystająca z naruszonej przez hakerów wersji „Orion” może mieć zainstalowanego backdoora w swoich systemach komputerowych. To pokazuje, jak wielka jest lista potencjalnych ofiar.
Obecnie niewiadomo jak dużej liczby urządzeń dotyczy problem, lecz należy spodziewać się, że z czasem naruszonych instytucji będzie przybywać. Śledczy m.in. Wielkiej Brytanii prowadzą dochodzenie, aby dowiedzieć się, które organizacje mogły paść ofiarą kampanii. John Scott-Railton z Citizen Lab jednoznacznie ocenił, że zrozumienie całej kampanii zajmie „jeszcze trochę czasu, a dodatkowo zadanie to będzie utrudnione przez fakt, że hakerzy zadbali o to, aby ukryć swoją działalność”.
Przez długi czas nie poznamy pełnej listy organizacji, które padły ofiarą ataku. Klienci SolarWinds starają się sprawdzić swoją infrastrukturę i zareagować na incydent
„Zamknięcie drzwi” nie załatwia sprawy
Co ciekawe, samo odłączenie programu „Orion” od urządzenia nie wystarczy, aby powstrzymać hakerów. Jak tłumaczy na łamach The Washington Post John Hultquist, specjalista FireEye, produkt SolarWinds był jedynie „drzwiami”, przez które hakerzy mogli „przejść” do infrastruktury konkretnych instytucji. Ich „zamknięcie” nie oznacza, że problem znika, ponieważ wrogi podmiot nadal jest obecny w sieciach organizacji. W związku z tym zaangażowano wiele specjalistycznych zespołów oraz służb, aby rozwiązać ten problem. Według eksperta działania zaradcze będą trwać najprawdopodobniej do świąt Bożego Narodzenia.
Warto przypomnieć, że SolarWinds posiada 300 000 klientów na całym świecie, z czego większość stanowią firmy z listy Fortune 500 w Stanach Zjednoczonych. Z produktów koncernu korzystają również podmioty państwowe, takie jak agencje wywiadowcze, wojsko czy instytucje rządowe. Przykładem może być nie tylko USA, ale również Wielka Brytania (np. GHCQ), Turcja (np. Ministerstwo Zdrowia), Parlament Europejski czy NATO (np. Agencja Wsparcia NATO).
„Kto mieczem wojuje, ten...”
Członkowie Kongresu USA naciskają na służby, aby te udzieliły im szerszych informacji na temat ostatnich wydarzeń – donosi agencja Assosciated Press. Jeden z senatorów Partii Demokratycznej Ron Wyden, przywiązujący szczególną uwagę do kwestii cyberbezpieczeństwa wskazuje, że jeśli doniesienia są prawdziwe, to Stany Zjednoczone mogą stać w obliczu zagrożenia, które może sięgać wielu lat.
Jeśli doniesienia są prawdziwe, a sponsorowanym przez państwo hakerom udało się zaimplementować złośliwe oprogramowanie do dziesiątek systemów rządu federalnego, nasz kraj doświadczył ogromnego naruszenia bezpieczeństwa narodowego, które może mieć konsekwencje na wiele lat.
Gdy dochodzenie i zdobyte dowody jednoznacznie potwierdzą, że za operację odpowiadają hakerzy APT 29 (Cozy Bear), należący do rosyjskiego FSB, jakie środki może podjąć rząd USA w ramach odpowiedzi?
Jedną z możliwości jest wydalenie dyplomatów z kraju, nałożenie sankcji lub wniesienie oskarżenia o szpiegostwo w cyberprzestrzeni. Są to działania, które Stany Zjednoczone i Unia Europejska podjęły już wcześniej wobec Rosji.
Znając cyberzdolności USA nie można wykluczać również silnej reakcji w zmian za tak poważne naruszenie bezpieczeństwa narodowego. Mowa tu np. o podjęciu operacji w rosyjskich sieciach, co przewiduje amerykańska strategia „obrony naprzód” (m.in. została użyta przeciwko Rosji w celu zabezpieczenia wyborów do Kongresu). Sposób odpowiedzi z pewnością jest już dyskutowany w instytucjach odpowiedzialnych za bezpieczeństwo Stanów Zjednoczonych. Nie bez znaczenia w tej kwestii będzie również stanowisko nowego Prezydenta USA Joe Bidena.
Jednak czy tak zaawansowana kampania cyberszpiegowska może być nazwana „atakiem”? To kluczowe pytanie, które warunkuje również sposób ewentualnej odpowiedzi na wrogie działania podjęte przez aktora państwowego. Na problem ten zwrócił uwagę Thomas Rid, profesor studiów strategicznych na Uniwersytecie Johna Hopkinsa w Baltimore.
Also, a subtle point on terminology: exfiltrating data from regular foreign intelligence targets — however stealthy, targeted, or labor-intensive — should not be called an "attack." An intrusion becomes an attack when adversaries modify, delete, or leak targeted files.
— Thomas Rid (@RidT) December 14, 2020
Specjalista wskazał, że omawiając problematykę operacji szpiegowskiej w kontekście ewentualnych reakcji należy poprawnie interpretować pojawiające się pojęcia. Jak zauważył, wydobywanie danych od celów będących zagranicznymi podmiotami wywiadowczymi nie powinno być określane mianem „ataku”, nawet jeśli wspomniane działania są ukryte, ukierunkowane i zaawansowane.
Thomas Rid wyjaśnia, że włamanie do sieci staje się „atakiem” w momencie, gdy wrogi aktor modyfikuje, usuwa lub ujawnia wybrane pliki. Kwestie terminologii doprecyzował Daniel Moore z departamentu nauk o wojnie na King's College London, który wskazał za pomocą Twittera, że czyn określany „atakiem” może wywołać istotne konsekwencje dla poszkodowanego podmiotu, w tym tymczasowe zakłócenie dostępu do usług, utratę danych, ich modyfikację czy rzadziej skutki konwencjonalne”. Warto o tym pamiętać w kontekście ostatnich wydarzeń z udziałem Stanów Zjednoczonych i ewentualnej debaty nad potencjalną odpowiedzią Waszyngtonu.