Nowości

Rząd USA atakuje Kreml za kampanię hakerską SolarWinds

Rząd USA atakuje Kreml za kampanię hakerską SolarWinds

Matt Anderson Photography / Getty Images

W czwartek amerykańscy urzędnicy oficjalnie oskarżyli Rosję o wsparcie jednego z najgorszych ataków szpiegowskich w najnowszej historii Stanów Zjednoczonych i nałożyli sankcje mające na celu wymierzenie kar za to i inne niedawne działania.

We wspólnym raporcie Agencja Bezpieczeństwa Narodowego, FBI oraz Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Informacji poinformowały, że rosyjska Służba Wywiadu Zagranicznego, w skrócie SVR, przeprowadziła atak łańcucha dostaw na klientów oprogramowania do zarządzania siecią z Austin w Teksasie. SolarWinds.

Operacja zainfekowała system kompilacji i dystrybucji oprogramowania SolarWinds i wykorzystała go do przesłania aktualizacji wstecznej do około 18 000 klientów. Następnie hakerzy wysłali dodatkowe ładunki do około 10 agencji federalnych USA i około 100 organizacji prywatnych. Oprócz ataku na łańcuch dostaw SolarWinds hakerzy wykorzystali również odgadywanie haseł i inne techniki włamania do sieci.

Gdy ta ogromna operacja wyszła na jaw, prezes firmy Microsoft, Brad Smith, nazwał ją „aktem lekkomyślności”. W czwartkowej rozmowie z dziennikarzami dyrektor NSA ds. Cyberbezpieczeństwa Rob Joyce powtórzył ocenę, że operacja wykroczyła poza ustalone normy rządowego szpiegostwa.

„Obserwowaliśmy absolutnie szpiegostwo” – powiedział Joyce. „Ale to, co się martwi, pochodzi z tej platformy, z szerokiej skali dostępu, jaki uzyskali, jest możliwość zrobienia innych rzeczy, a to jest coś, czego nie możemy tolerować i dlatego rząd USA narzuca koszty i odsuwa na tych działaniach ”.

W czwartkowym wspólnym raporcie stwierdzono, że hakerzy wspierani przez SVR stoją za innymi niedawnymi kampaniami wymierzonymi w ośrodki badawcze COVID-19, zarówno poprzez infekowanie ich złośliwym oprogramowaniem znanym jako WellMess i WellMail, jak i poprzez wykorzystanie krytycznej luki w oprogramowaniu VMware.

Doradca powiedział dalej, że rosyjski wywiad kontynuuje swoją kampanię, częściowo poprzez atakowanie sieci, które jeszcze nie załatały jednej z pięciu następujących krytycznych luk w zabezpieczeniach. W tym wada VMware są to:

  • CVE-2018-13379 Fortinet FortiGate VPN
  • CVE-2019-9670 Synacor Zimbra Collaboration Suite
  • CVE-2019-11510 Pulse Secure Pulse Connect Secure VPN
  • CVE-2019-19781 Citrix Application Delivery Controller and Gateway
  • CVE-2020-4006 Dostęp do VMware Workspace ONE

„Łagodzenie tych luk jest niezwykle ważne, ponieważ sieci amerykańskie i sojusznicze są stale skanowane, atakowane i wykorzystywane przez rosyjskich aktorów cybernetycznych sponsorowanych przez państwo” – stwierdził doradca. Następnie stwierdzono, że „NSA, CISA i FBI usilnie zachęcają wszystkie zainteresowane strony w dziedzinie cyberbezpieczeństwa do sprawdzenia swoich sieci pod kątem oznak naruszenia wszystkich pięciu luk w zabezpieczeniach i technik wyszczególnionych w poradniku oraz do pilnego wdrożenia powiązanych środków zaradczych”.

CISA

W międzyczasie Departament Skarbu USA nałożył sankcje w odwecie za „agresywne i szkodliwe działania rządu Federacji Rosyjskiej”. Środki te obejmują nowe zakazy dotyczące rosyjskiego długu państwowego i sankcje nałożone na sześć firm z siedzibą w Rosji, które według Departamentu Skarbu „wsparły wysiłki rosyjskich służb wywiadowczych w celu przeprowadzenia złośliwych działań cybernetycznych przeciwko Stanom Zjednoczonym”.

Firmy to:

  • ERA Technopolis, ośrodek badawczy Ministerstwa Obrony Rosji zajmujący się transferem kadr i ekspertyz rosyjskiego sektora technologicznego do rozwoju technologii wykorzystywanych przez armię tego kraju. ERA Technopolis wspiera rosyjską Główną Dyrekcję Wywiadu (GRU), organ odpowiedzialny za ofensywne operacje cybernetyczne i informacyjne.
  • Pasit, rosyjska firma informatyczna, która prowadzi badania i rozwój wspierające złośliwe operacje cybernetyczne przez SVR.
  • SVA, rosyjski państwowy instytut badawczy specjalizujący się w zaawansowanych systemach bezpieczeństwa informacji zlokalizowanych w tym kraju. SVA przeprowadziła badania i rozwój w celu wsparcia złośliwych operacji cybernetycznych SVR.
  • Neobit, rosyjska firma zajmująca się bezpieczeństwem IT z Sankt Petersburga, której klientami są rosyjskie Ministerstwo Obrony, SVR i Federalna Służba Bezpieczeństwa Rosji. Neobit prowadził prace badawczo-rozwojowe wspierające operacje cybernetyczne prowadzone przez FSB, GRU i SVR.
  • AST, rosyjska firma zajmująca się bezpieczeństwem IT, której klientami są rosyjskie Ministerstwo Obrony, SVR i FSB. AST zapewniło wsparcie techniczne dla operacji cybernetycznych prowadzonych przez FSB, GRU i SVR.
  • Positive Technologies, rosyjska firma zajmująca się bezpieczeństwem IT, która obsługuje klientów rządu rosyjskiego, w tym FSB. Positive Technologies dostarcza rozwiązania z zakresu bezpieczeństwa sieci komputerowych rosyjskim firmom, zagranicznym rządom i firmom międzynarodowym, a także organizuje wydarzenia rekrutacyjne dla FSB i GRU.

„Powodem ich wezwania jest to, że są integralną częścią i uczestnikiem operacji, którą wykonuje SVR” – powiedział Joyce o sześciu firmach. „Mamy nadzieję, że odmawiając SVR wsparcia tym firmom, wpływamy na ich zdolność do rzutowania części tej złośliwej aktywności na cały świat, a zwłaszcza do Stanów Zjednoczonych”.

Rosyjscy urzędnicy rządowi stanowczo zaprzeczają jakiemukolwiek zaangażowaniu w kampanię SolarWinds.

Oprócz przypisania kampanii SolarWinds rządowi rosyjskiemu, czwartkowe oświadczenie Departamentu Skarbu poinformowało również, że SVR stoi za zatruciem bronią chemiczną przywódcy rosyjskiej opozycji Aleksiejem Nawalnym w sierpniu 2020 r., Za ataki na rosyjskich dziennikarzy i innych, którzy otwarcie krytykują Kreml. oraz kradzież „narzędzi zespołu czerwonego”, które wykorzystują exploity i inne narzędzia do naśladowania cyberataków.

Odniesienie do „narzędzi czerwonego zespołu” było prawdopodobnie związane z ofensywnymi narzędziami pobranymi z FireEye, firmy ochroniarskiej, która jako pierwsza zidentyfikowała kampanię Solar Winds po odkryciu, że jej sieć została naruszona. Departament Skarbu powiedział dalej, że rosyjski rząd „kultywuje i kooperuje hakerów przestępczych”, aby atakować organizacje amerykańskie. Jedna grupa, znana jako Evil Corp., została ukarana w 2019 r. W tym samym roku prokuratorzy federalni oskarżyli króla Evil Corp Maksima V. Yakubetsa i wyznaczyli nagrodę w wysokości 5 milionów dolarów za informacje, które doprowadziły do ​​jego aresztowania lub skazania.

Chociaż w cieniu sankcji i formalnego przypisania Rosji, najważniejszym wnioskiem z czwartkowych zapowiedzi jest to, że kampania SVR trwa nadal i wykorzystuje wspomniane powyżej exploity. Badacze powiedział w czwartek że widzą skanowanie internetowe, które ma na celu zidentyfikowanie serwerów, które jeszcze nie załatały luki w zabezpieczeniach Fortinet, którą firma naprawiła w 2019 r. Prawdopodobnie trwa również skanowanie w poszukiwaniu innych luk.

Osoby zarządzające sieciami, szczególnie tymi, które jeszcze nie załatały jednej z pięciu luk w zabezpieczeniach, powinny przeczytać najnowszy alert CISA, który zawiera szczegółowe informacje techniczne na temat trwającej kampanii hakerskiej oraz sposobów wykrywania i ograniczania zagrożeń.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook