Rozmiar szkód dla bezpieczeństwa narodowego, jakie spowodował atak hakerski -najprawdopodobniej z Rosji – na szereg przedsiębiorstw i organów państwowych w USA, Europie, Azji i na Bliskim Wschodzie, może być ogromny. Atak był możliwy z uwagi na słabe zabezpieczenie oprogramowania dostarczanego przez SolarWinds. Sąk w tym, że z produktu korzysta wiele agend rządowych, w tym polskie MSWiA.
Voice of America przypomina, jak dwa miesiące temu podczas rozmowy telefonicznej o zarobkach, dyrektor generalny SolarWinds, Kevin Thompson przechwalał się sukcesami, jakie jego firma osiągnęła w ciągu 11 lat. Nie ma praktycznie bazy danych ani modelu wdrażania IT, do którego firma z Austin w Teksasie nie zapewniałaby pewnego poziomu monitorowania lub zarządzania – mówił 27 października. – Nie sądzimy, by ktokolwiek inny na rynku był naprawdę blisko, jeśli chodzi o zakres, jaki mamy. Zarządzamy sprzętem sieciowym wszystkich – deklarował.
Wesprzyj nas już teraz!
Monopolizacja rynku stała się obecnie obciążeniem dla korporacji po tym, jak wyszło, że ich oprogramowanie do zarządzania siecią – Orion – ma poważne luki. W poniedziałek SolarWinds podało, że Orion został wykorzystany przez hakerów jako kanał do rozległej międzynarodowej operacji cyberszpiegowskiej. Hakerzy mieli umieścić złośliwy kod w aktualizacjach oprogramowania Oriona, które zostały rozesłane do prawie 18 tys. klientów. Hakerzy mieli więc dostęp np. do Departamentu Skarbu, Handlu, czy Pentagonu w USA.
Voice of America, powołując się na dane ze śledztwa, do których miała dotrzeć agencja Reutera, sugeruje, że za atakiem stoją Rosjanie. Niektóre osoby uważają jednak, że jest za wcześnie, aby to stwierdzić. Przedstawiciel SolarWinds, Ryan Toohey na razie powstrzymuje się od komentarzy. W oświadczeniu wydanym w niedzielę firma napisała: „Staramy się wdrażać i utrzymywać odpowiednie zabezpieczenia administracyjne, fizyczne i techniczne, procesy, procedury i standardy bezpieczeństwa zaprojektowane w celu ochrony naszych klientów”.
Analitycy ds. cyberbezpieczeństwa na razie nie są w stanie oszacować zakresu szkód. Sugeruje się, że ich rozmiar możemy poznać w okresie późniejszym. Od marca do czerwca br. trwało wysyłanie złośliwych aktualizacji. Tak zwana pandemia była „idealnym momentem na idealną burzę” – komentuje Kim Peretti z kancelarii prawnej Alston & Bird z Atlanty. Amerykańscy urzędnicy nakazali natychmiastowe odłączenie Oriona. Działania te wpłynęły na gwałtowny spadek akcji firmy o ponad 23 proc.
Wielu przestępców oferowało sprzedaż dostępu do komputerów SolarWinds za pośrednictwem podziemnych forów. Jeden z tych, którzy oferowali dostęp do forum Exploit w 2017 roku, był znany jako „fxmsp” i jest poszukiwany przez FBI „za udział w kilku głośnych incydentach” – mówił Mark Arena, dyrektor naczelny firmy wywiadowczej Intel471. Arena poinformowała klientów swojej firmy, w tym amerykańskie organy ścigania o przestępstwie.
Analityk ds. cyberbezpieczeństwa Vinoth Kumar twierdzi, że już w zeszłym roku ostrzegał korporację, iż każdy może uzyskać dostęp do serwera aktualizacji SolarWinds, używając hasła „solarwinds123”. Ani hasło, ani skradziony dostęp nie są uważane za najbardziej prawdopodobne źródło obecnego włamania – uważają jednak naukowcy.
Kyle Hanslovan, współzałożyciel firmy zajmującej się cyberbezpieczeństwem Huntress z Maryland zauważył, że kilka dni po tym, jak SolarWinds zdał sobie sprawę, iż ich oprogramowanie zostało naruszone, złośliwe aktualizacje były nadal dostępne do pobrania.
9 grudnia firma ogłosiła, że Thompsona zastąpi Sudhakar Ramakriszna, były dyrektor generalny Pulse Secure. Trzy tygodnie temu SolarWinds opublikował ogłoszenie o poszukiwaniu nowego wiceprezesa ds. bezpieczeństwa.
Oprogramowania Orion SolarWinds używa Ministerstwo Spraw Wewnętrznych i Administracji, które ogłosiło w listopadzie przetarg na „Wsparcie dla systemu Orion SolarWinds na okres 36 miesięcy” – nr BZP-WPP-2374-1-37-DT-PN-AS/2020.
W USA hakerzy mieli dostęp – poza Departamentami Skarbu i Handlu także do Departamentu Bezpieczeństwa Wewnętrznego, Departamentu Stanu oraz części Pentagonu. Sprawa jest rozwojowa, tym bardziej, że dopiero niedawno wykryto włamanie. Atlantic Council sugeruje, że hakerzy „uciekli z ogromnymi cennymi danymi, zanim włamanie zostało niedawno wykryte”.
Trey Herr, dyrektor inicjatywy Cyber Statecraft w Scowcroft Center for Strategy and Security, Erica Borghard, starszy dyrektor w wyznaczonej przez Kongres Amerykańskiej Komisji ds. Cyberprzestrzeni i starszy pracownik w New American Engagement Initiative w Scowcroft Center komentowały skutki ataku hakerskiego.
Herr uznała go za „jeden z najbardziej znaczących incydentów cyberbezpieczeństwa, jakie kiedykolwiek miały wpływ na rząd federalny.” Szacuje, że ekipa Bidena co najmniej przez pierwsze dwa lata urzędowania wprowadzi głębokie zmiany w zakresie cyberbezpieczeństwa, tworząc nowe plany i prowadząc śledztwo w tej sprawie. Jej zdaniem hakerzy mogli mieć wgląd w podejmowanie strategicznych decyzji i wcześniejsze ostrzeżenie o sankcjach, nie mówiąc o innych bardzo wrażliwych informacjach.
Według niej „zamiast atakować jedną agencję rządową, osoby atakujące mogą wykorzystać luki w powszechnie używanym oprogramowaniu, uzyskując dostęp do wielu agencji jednocześnie.” I każdy ze stosowanych programów używanych przez agencje rządowe „może stać się przysłowiową szczeliną w amerykańskiej cyber-zbroi”. – Oprogramowanie takie jak Microsoft Word lub system operacyjny samolotu bojowego integruje mniejsze fragmenty oprogramowania, które wymagają regularnych aktualizacji; całe to oprogramowanie tworzy łańcuch dostaw. Grupy przestępcze i państwa, takie jak Rosja, Chiny, atakują te łańcuchy dostaw, aby siać spustoszenie – dodaje.
Wydaje się, że zmarnowano setki milionów dolarów na poprawę bezpieczeństwa. Ataki hakerskie nasiliły się w ciągu ostatniej dekady i dokonują się poprzez aktualizacje oprogramowania. Analitycy nie mają wątpliwości, że monopoliści IT stwarzają ogromne zagrożenie dla przedsiębiorców i agend rządowych ze względu na dużą koncentrację danych. Sugeruje się, by budować odporność łańcucha dostaw, ponieważ nie da się zabezpieczyć każdego ogniwa. Odporność ma pozwolić wytrzymać atak i szybko odzyskać sprawność.
Ostatni cyberatak służył do długoterminowego gromadzenia informacji wywiadowczych, a nie do wyrządzania spektakularnej szkody dla systemu. Stąd jego skutki możemy poznać w przyszłości.
Źródło: voanews.com, gov.pl, atlanticcouncil.org
AS
