Polityka i prawo
„Mission completed”. Hakerzy Kremla wykradli dane z amerykańskich sieci
Rosyjscy hakerzy sponsorowani przez państwo uderzyli w amerykańskie sieci rządowe oraz sektora lotniczego, wykradając dane. FBI oraz CISA mówią o kampanii, która od września br. objęła dziesiątki ofiar. Czy to przejaw kolejnej operacji wymierzonej w listopadowe wybory?
Co najmniej od września br. hakerzy grupy znanej jako Berserk Bear, Energetic Bear lub TeamSpy przeprowadzili zaawansowaną kampanię wymierzoną w amerykańskie cele. Jak wynika z komunikatu FBI oraz CISA „sponsorowany przez Rosję aktor APT” zaatakował dziesiątki rządowych i sektora lotniczego sieci, na skutek czego hakerom udało się skutecznie włamać do ich infrastruktury. Od 1 października br. Energetic Bear „wyprowadziło dane” z co najmniej dwóch serwerów.
Jaki jest schemat działania grupy? W pierwszym kroku cyberprzestępcy starają się przejąć poświadczenia użytkownika i administratora sieci w celu uzyskania wstępnego dostępu. Robią to wykorzystując m.in. stare oraz nowo wykryte luki w oprogramowaniu. Następnie przeszukują zasoby w poszukiwaniu „aktywów wysokiej wartości”.
Działając w ten sposób członkowie Energetic Bear naruszyli sieć co najmniej jednej organizacji, uzyskując dostęp do takich informacji jak: konfiguracje sieciowe i hasła, standardowe procedury operacyjne (np. uwierzytelnianie dwuskładnikowe) oraz dane dotyczące kontrahentów.
FBI i CISA nie posiadają obecnie żadnych informacji jednoznacznie wskazujących, że hakerzy celowo zakłócili jakiekolwiek działania podmiotów sektora lotniczego, rządowego, edukacyjnego lub innych. Jednak grupa może dążyć do stworzenia sobie warunków w celu przeprowadzenia tego typu operacji w przyszłości, w tym ingerencji w amerykańskie procesy polityczne.
Ze względu na fakt, że ostatnia kampania Energetic Bear została wymierzona w rządowe sieci istnieje ryzyko, że przechowywane w nich informacje na temat wyborów mogły lub mogą zostać przejęte przez hakerów powiązanych z Rosją. FBI i CISA nie posiadają jednak jednoznacznych dowodów na to, że integralność tych danych została naruszona. Równocześnie zadeklarowały, że nadal będą stale monitorować działalność grupy z myślą o bezpieczeństwie kampanii prezydenckiej.
Działalność hakerska ze strony Rosji jest powszechnie znana i odznacza się wysokim poziomem zaawansowania operacji oraz cyberzdolności podmiotów realizujących „zlecenie” Kremla. W ostatnim czasie „zrobiło się głośno” po wydaniu przez Stany Zjednoczone oficjalnego aktu oskarżenia przeciwko sześciu oficerom GRU, którzy zdaniem Waszyngtonu są odpowiedzialni za „najbardziej destrukcyjne cyberataki w historii”.
Jak informowaliśmy na naszym portalu, członkowie rosyjskiego wywiadu byli zamieszani w m.in.: cyberataki na ukraiński rząd i infrastrukturę krytyczną tego kraju, co doprowadziło do blackoutu; kampanie spearphishingowe wymierzone w francuskie wybory; operację z udziałem NotPetya, czego efektem były straty o łącznej wartości ponad miliarda dolarów; wywołanie incydentu w sieciach parlamentu Gruzji; cyberatak na Igrzyska Olimpijskie w Pjongczangu oraz utrudnianie dochodzenia w sprawie otrucia Siergieja Skripala.
Departament Stanu USA wydał nawet specjalne oświadczenie w tej sprawie, w którym jednoznacznie potępił wrogą działalność rosyjskiej jednostki wywiadu wojskowego GRU, równocześnie apelując do społeczności międzynarodowej o poparcie stanowiska Stanów Zjednoczonych i pomoc w ujęciu oskarżonych oficerów.
Jednym z państw, które opowiedziało się po stronie Waszyngtonu jest Polska. Ministerstwo Spraw Zagranicznych jednoznacznie poparło stanowisko USA, przypisujące członkom rosyjskiego wywiadu odpowiedzialność za przeprowadzenie dotkliwych cyberataków na rzecz realizacji celów Moskwy.
„Polska blisko współpracuje z państwami partnerskimi w obronie bezpiecznej, otwartej i opartej o międzynarodowe normy cyberprzestrzeni. Winni takich ataków muszą być wskazywani i pociągani do odpowiedzialności” – czytamy w oświadczeniu polskiego rządu.