Wyrafinowani hakerzy włamali się do wielu agencji rządowych i co najmniej 18 000 firm amerykańskich.
Wiadomość o włamaniu pojawiła się 8 grudnia, kiedy amerykańska firma cyberochronna FireEye poinformowała, że została zaatakowana przez hakerów.
FireEye powiedział, że atak naruszył jego narzędzia programowe używane do testowania zabezpieczeń tysięcy klientów. Dowiadujemy się, że włamanie nie zaczęło się od FireEye, a raczej od SolarWinds, zaufanej amerykańskiej firmy ochroniarskiej. Naruszenie miało miejsce co najmniej cztery lata temu!
Zostało odkryte dzięki należytej staranności pracownika FireEye, który poświęcił dużo czasu na zbadanie automatycznej wiadomości dotyczącej logowania z nieznanego urządzenia.
To rodzaj automatycznej wiadomości rutynowo odrzucanej przez prawie wszystkich. Tropy prowadzą do Rosji...Rosyjskie włamanie do SolarWinds naruszył część danych rządu USA.
Skala zaskoczyła nawet doświadczonych ekspertów ds. Bezpieczeństwa. Włamanie (Hack) sugeruje nowy zakres i wyrafinowanie cyberataków …
W miarę jak służby zajmują się masowym włamaniem, które stworzyło prawie niewidoczną sieć na 18 000 firm i agencji rządowych specjaliści ds. Bezpieczeństwa odkrywają nowe dowody wskazujące na to, że operacja jest częścią szerszej, wcześniej niewykrytej kampanii szpiegowskiej, która może sięgać lat wstecz.
Atak łączył niezwykle tajne rzemiosło, wykorzystując narzędzia cybernetyczne, których nigdy wcześniej nie widziano w poprzednim ataku, ze strategią skupiającą się na słabym ogniwie w łańcuchu dostaw oprogramowania, na którym polegają wszystkie amerykańskie firmy i instytucje rządowe podejście to, którego eksperci od bezpieczeństwa od dawna się obawiali, które nigdy nie było używane w tak skoordynowany sposób.
Najbardziej niszczycielskie było to, że wprowadzono złośliwy kod do legalnego oprogramowania zaufanego producenta oprogramowania - firmy SolarWinds Corp. z siedzibą w Austin i jej oprogramowania o nazwie Orion.
FireEye zatrudniło do pracy ponad 100 cyberprzestępców na około 3400 pracowników. Przeszkoleni w zakresie badania naruszeń w innych firmach, teraz przeszukiwali własne sieci firmy. Polskie przysłowie o takim przypadku mówi, że pod latarnią najciemniej…. Naruszono bezpieczeństwo Stanów Zjednoczonych: Departament Energi, Departament Bezpieczeństwa Wewnętrznego, Departament Stanu, 18 000 korporacji.....
Podczas gdy 80% firm poszkodowanych miało siedzibę w USA, Microsoft powiedział, że cele zostały również uderzone w Wielkiej Brytanii, Kanadzie, Meksyku, Belgii, Hiszpanii, Izraelu (izraelskie służby prowadzą własne śledztwo w tej sprawie) i Zjednoczonych Emiratach Arabskich.
Atakujący znali nowe techniki wysyłające sygnały ostrzegawcze, które zazwyczaj pomagają firmom takim jak FireEye w znajdowaniu włamań, i poruszali się wokół nich: wykorzystali infrastrukturę komputerową w całości zlokalizowaną w Stanach Zjednoczonych i nadali swoim systemom te same nazwy, które są używane przez prawdziwe systemy pracownicze FireEye, co jest niezwykle zręczną taktyką zaprojektowaną w celu dalszego ukrywania obecności hakerów.
Kiedy amerykańscy analitycy zauważyli podejrzaną aktywność pochodzącą z produktu Orion firmy SolarWinds, złośliwego oprogramowania firmy przeszukali około 50 000 linii kodu w poszukiwaniu „igły w stosie igieł” - powiedział Carmakal, ostatecznie zauważając kilkadziesiąt wierszy podejrzanego kodu, który nie miał żadnego powodu, żeby tam być.
Dalsza analiza potwierdziła, że jest to źródło włamania. Nieznane „ma bardzo szeroki zakres i potencjalnie bardzo szkodzi naszemu bezpieczeństwu ekonomicznemu” - powiedział J. Michael Daniel, dyrektor naczelny Cyber Threat Alliance, grupy branżowej zajmującej się wymianą informacji i były koordynator ds. Cyberbezpieczeństwa Białego Domu w administracji Obamy.
„Ustalenie pełnego zakresu szkód zajmie dużo czasu, a naprawienie tego prawdopodobnie będzie kosztować dużo pieniędzy”. Wciąż nie wiadomo, w jaki sposób hakerzy uzyskali dostęp do systemów SolarWinds w celu wprowadzenia szkodliwego kodu. Firma poinformowała, że ktoś włamał się na jej konta e-mail Microsoft i że ten dostęp mógł zostać wykorzystany do zebrania większej ilości danych z narzędzi biurowych firmy.
Według osoby zaznajomionej z tą sprawą, Departament Energii i jego Narodowa Administracja ds. Bezpieczeństwa Jądrowego, która utrzymuje amerykańskie zapasy nuklearne, były celem większego ataku. Trwające dochodzenie wykazało, że włamanie nie wpłynęło na „kluczowe dla misji funkcje bezpieczeństwa narodowego”, powiedziała Shaylyn Hynes, rzeczniczka Departamentu Energii w oświadczeniu. „W tym momencie dochodzenie wykazało że złośliwe oprogramowanie zostało odizolowane tylko od sieci biznesowych ”- powiedział Hynes.
Włamanie do agencji nuklearnej zostało wcześniej zgłoszone przez Politico. Rzecznik Microsoftu Frank Shaw powiedział, że firma znalazła złośliwy kod „w naszym środowisku, który wyodrębniliśmy i usunęliśmy”. Prezydent elekt Joe Biden wydał w czwartek oświadczenie w sprawie „czegoś, co wydaje się być ogromnym naruszeniem bezpieczeństwa cybernetycznego, dotykającym potencjalnie tysiące ofiar, w tym firmy amerykańskie i organy rządu federalnego”. „Chcę, żeby było jasne: moja administracja uczyni cyberbezpieczeństwo najwyższym priorytetem na każdym szczeblu rządowym - a zajmowanie się tym naruszeniem będzie najwyższym priorytetem od momentu objęcia urzędu” - powiedział Biden, zobowiązując się do nałożenia „znacznych kosztów na osoby odpowiedzialne za takie złośliwe ataki ”.
Dlaczego więc, kiedy sieci komputerowe Departamentu Stanu i innych agencji federalnych zaczęły sygnalizować rosyjskie serwery, nikt w rządzie USA nie zauważył, że dzieje się coś dziwnego? Odpowiedzią są po części rosyjskie umiejętności, po części zaślepienie rządu federalnego.
Rosjanie, których operację odkryła w tym miesiącu firma zajmująca się cyberbezpieczeństwem, do której włamali się, byli dobrzy. Po zainicjowaniu włamań poprzez uszkodzenie poprawek powszechnie używanego oprogramowania do monitorowania sieci, hakerzy dobrze się ukrywali, usuwali ślady i komunikowali się za pośrednictwem adresów IP w Stanach Zjednoczonych, a nie na przykład w Moskwie, aby zminimalizować podejrzenia. Hakerzy wykorzystali również nowe fragmenty złośliwego kodu, który najwyraźniej ominął warty wiele miliardów dolarów system wykrywania rządu USA, Einstein, który koncentruje się na znajdowaniu nowych zastosowań znanego złośliwego oprogramowania i wykrywaniu połączeń z częściami Internetu używanymi we wcześniejszych włamaniach...
Rzeczniczka CISA, Sara Sendek, powiedziała, że włamania sięgają marca i nie zostały wykryte przez żaden system wykrywania ani zapobiegania włamaniom. Jak tylko CISA otrzymała wskaźniki aktywności, załadowała je do Einsteina, aby pomóc zidentyfikować naruszenia w sieciach agencji, powiedział Sendek. Powiedziała, że CISA zapewnia pomoc techniczną dotkniętym agencjom. Rosja zaprzeczyła udziałowi we włamaniach. Rząd federalny dużo zainwestował w zabezpieczenie niezliczonych komputerów, zwłaszcza od czasu, gdy rozmiar niszczycielskiego chińskiego włamania do Biura Zarządzania Personelem, zostało wykryte w 2015 roku, kiedy przejęto dane ponad 20 milionów pracowników federalnych i innych osób.
Jednak tegoroczny hack sieci federalnych, odkryty w ostatnich dniach, ujawnił nowe słabości i uwypuklił niektóre znane wcześniej, w tym poleganie rządu federalnego na szeroko stosowanym oprogramowaniu komercyjnym, które stanowi potencjalne wektory ataku hakerów z poszczególnych stanów. FBI i Departament Bezpieczeństwa Wewnętrznego badają zakres i charakter naruszeń, które zdaniem urzędników wywiadu zostały popełnione przez rosyjskie służby wywiadu zagranicznego (SVR).
Senat Richard Blumenthal, D-Conn., we wtorek publicznie to przyznał, tweetując, że Senat otrzymał „tajną odprawę na temat cyberataku Rosji [która] . Rosjanie podobno przedostali się do systemów federalnych, najpierw hakując SolarWinds, producenta oprogramowania do monitorowania sieci z siedzibą w Teksasie, a następnie włączyli złośliwe oprogramowanie do automatycznych aktualizacji, które administratorzy sieci, rząd federalny i gdzie indziej, rutynowo instalują, aby ich systemy były aktualne.
Włamanie ujawniło zmagania rządowych systemów monitorowania sieci w celu wykrywania zagrożeń dostarczanych przez nowo napisany złośliwy kod komunikujący się z serwerami, które wcześniej nie były powiązane ze znanymi cyberatakami. Jest to coś, co czasami robią zaawansowani hakerzy z państw narodowych, w tym z Rosji - prawdopodobnie dlatego, że utrudnia to wykrycie włamań. Pełny zakres włamania pozostaje nieznany, chociaż jasne jest, że penetrowano coraz większą liczbę agencji, w tym departamenty stanu, skarbu, bezpieczeństwa wewnętrznego i handlu oraz National Institutes of Health. Są wśród ofiar, które obejmują firmy konsultingowe, technologiczne, telekomunikacyjne oraz naftowo-gazowe w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie.
Urzędnicy powiedzieli, że e-maile były jednym z celów hakerów. Chociaż nie jest jeszcze jasne, co Rosjanie zamierzają zrobić z tymi informacjami, ich ofiary, w tym różne biura Departamentu Stanu, sugerują szereg motywów. W Departamencie Stanu mogą chcieć dowiedzieć się, jakie są plany decydentów w odniesieniu do regionów i kwestii, które mają wpływ na strategiczne interesy Rosji. W Ministerstwie Skarbu mogli szukać wglądu w potencjalne rosyjskie cele sankcji USA. W National Institutes of Health (NIH) mogą być zainteresowani informacjami związanymi z badaniami nad szczepionkami na koronawirusa. W miarę kontynuacji prac dochodzeniowych niektórzy prawodawcy koncentrują się na badaniu, dlaczego i jak federalne wysiłki w zakresie cyberbezpieczeństwa nie powiodły się pomimo wielu lat niszczących ataków włamań ze strony rosyjskich i chińskich szpiegów oraz dużych federalnych inwestycji w technologie obronne. Einstein, który został opracowany przez DHS i jest obsługiwany przez agencję ds. Bezpieczeństwa cybernetycznego i infrastruktury (CISA) tego departamentu, został stworzony jako kręgosłup federalnej ochrony komputerów agencji cywilnych, ale raport GAO z 2018 r. wykazał istotne słabości.
Zdolność do „identyfikowania wszelkich anomalii, które mogą wskazywać na zagrożenie cyberbezpieczeństwa”, została zaplanowana do 2022 r... Podano w raporcie, że monitorowanie sieci przez poszczególne agencje jest nierówne. Spośród 23 sprawdzanych agencji federalnych pięć „nie monitorowało przychodzących ani wychodzących bezpośrednich połączeń z podmiotami zewnętrznymi”, a 11 „nie monitorowało stale przychodzącego zaszyfrowanego ruchu”. Osiem „nie monitorowało stale wychodzącego zaszyfrowanego ruchu”. „
..................................................................................................................................................................................
Prezydent Donald Trump powiedział w sobotę, że cyberatak, który wpłynął na Narodową Administrację Telekomunikacji i Informacji (NTIA) Departamentu Skarbu USA, może mieć szerszy zakres i obejmować maszyny do głosowania.
……..
Inne tematy w dziale Polityka
