Włamanie do Departamentu Skarbu USA
13 grudnia zaczęły się stopniowo pojawiać we wszystkich ważniejszych mediach informacje, że hakerzy włamali się do sieci agencji federalnych, w tym Departamentu Skarbu i Handlu, Przedstawiciele rządu USA powiedzieli również w niedzielę, że pracują nad określeniem zakresu naruszenia i rozwiązaniem problemu. Zaangażowane są FBI i wydział ds. Cyberbezpieczeństwa Departamentu Bezpieczeństwa Wewnętrznego.
Włamanie odkryto zaledwie kilka dni po tym, jak FireEye – duża firma zajmująca się bezpieczeństwem cybernetycznym ujawniła, że hakerzy włamali się do jej sieci i ukradli jej własne narzędzia redteam’owe. FireEye ma na koncie wiele sukcesów. Narzędzia tej firmy pomogły wykryć naruszenia danych Sony i Equifax i pomogły Arabii Saudyjskiej udaremnić cyberatak na infrastrukturę przemysłu naftowego, ale przede wszystkim odegrały kluczową rolę w zidentyfikowaniu Rosji, jako głównego bohatera licznych agresji w rozwijającym się podziemiu globalnego konfliktu cyfrowego.
FireEye potwierdził, że hakerzy zagranicznego rządu ze „światowej klasy zdolnościami” włamali się do sieci i ukradli ofensywne narzędzia, których używa do badania mechanizmów obronnych tysięcy klientów. Do klientów tych należą rządy federalne, stanowe i lokalne oraz czołowe światowe korporacje.
Hakerzy „szukali przede wszystkim informacji związanych z niektórymi klientami rządowymi”, powiedział w oświadczeniu dyrektor generalny FireEye Kevin Mandia, nie wymieniając ich. Powiedział, że nic nie wskazywało na to, że uzyskali informacje o klientach.
Ani Mandia, ani rzecznik FireEye nie powiedzieli, kiedy firma wykryła włamanie lub kto może być za to odpowiedzialny. Ale wielu członków społeczności cyberbezpieczeństwa podejrzewa Rosję.
Na początku wydawało się, że nie ma bezpośredniego związku między tymi atakami i nie było od razu jasne, czy Rosja była również odpowiedzialna za włamanie do Departamentu Skarbu, o czym po raz pierwszy poinformował Reuters. Rzecznik Rady Bezpieczeństwa Narodowego, John Ullyot, powiedział w oświadczeniu, że rząd „podejmuje wszelkie niezbędne kroki, aby zidentyfikować i naprawić wszelkie możliwe problemy związane z tą sytuacją”.
Rządowa agencja ds. Bezpieczeństwa cybernetycznego i infrastruktury stwierdziła osobno, że współpracuje z innymi agencjami „w zakresie niedawno odkrytej aktywności w sieciach rządowych. CISA zapewnia pomoc techniczną dotkniętym podmiotom, które pracują nad identyfikacją i złagodzeniem wszelkich potencjalnych kompromisów”.
Warto może w tym miejscu przypomnieć, że Prezydent Donald Trump zwolnił w zeszłym miesiącu dyrektora CISA, Chrisa Krebsa, po tym, jak Krebs poręczył uczciwość wyborów prezydenckich i zakwestionował twierdzenia Trumpa o powszechnym oszustwie wyborczym.
Federalne agencje rządowe od dawna są atrakcyjnym celem dla zagranicznych hakerów. Hakerzy powiązani z Rosją byli w stanie włamać się do systemu poczty elektronicznej Departamentu Stanu w 2014 roku, infekując go tak dokładnie, że trzeba było go odciąć od Internetu, podczas gdy eksperci pracowali nad wyeliminowaniem infekcji.
Wcześniej Reuters podał, że grupa wspierana przez zagraniczny rząd wykradła informacje z Departamentu Skarbu i agencji Departamentu Handlu odpowiedzialnej za decyzje dotyczące polityki internetowej i telekomunikacyjnej. Agencje wywiadowcze podobno obawiają się, że inne agencje zostały zhakowane przy użyciu podobnych narzędzi.
O ataku pierwszy poinformował The Washington Post. Napisał, że co najmniej dwa departamenty, w tym Departament Skarbu, były celem ataków rosyjskich hakerów państwowych. Następnie potwierdzili to przedstawiciele rządu USA informując: „Ściśle współpracujemy z naszymi partnerami w zakresie niedawno odkrytej aktywności w sieciach rządowych” – powiedział AFP rzecznik agencji ds. Cyberbezpieczeństwa i infrastruktury – „CISA zapewnia pomoc techniczną poszkodowanym podmiotom, które pracują nad identyfikacją i złagodzeniem wszelkich potencjalnych kompromisów”.
W następnych komunikatach The Post poinformował, że włamania były jednak powiązane z atakiem na FireEye. Inne Amerykańskie media doniosły, że FBI prowadzi dochodzenie w sprawie grupy pracującej dla rosyjskiego wywiadu zagranicznego SVR i że naruszenia miały miejsce od miesięcy. Jest to podobno ta sama grupa, która włamała się do amerykańskich agencji rządowych podczas administracji Obamy.
Wśród wielu przypuszczeń jedno wydaje się być pewne. Raczej nie jest to koniec, ale początek zabawy. USA zwykło w takich przypadkach odpowiadać proporcjonalnie, podobnie Rosja, a więc w 2021 czeka nas niejedno rodeo.
Popularne
Czym są non-human identities (NHI)? Jak możemy je chronić i jakie zagrożenia stwarzają dla organizacji?
Nowe podatności w architekturze sieci 5G
Filtrowanie URL i DNS, dlaczego to takie ważne?
Hakerzy z Dragon Breath z nową techniką ataku
Alarmująca luka w Veeam Backup & Replication: krytyczne RCE grozi przejęciem serwerów kopii zapasowych
