Menu dostępności

Włamanie do Departamentu Skarbu USA

13 grudnia zaczęły się stopniowo pojawiać we wszystkich ważniejszych mediach informacje, że hakerzy włamali się do sieci agencji federalnych, w tym Departamentu Skarbu i Handlu, Przedstawiciele rządu USA powiedzieli również w niedzielę, że pracują nad określeniem zakresu naruszenia i rozwiązaniem problemu. Zaangażowane są FBI i wydział ds. Cyberbezpieczeństwa Departamentu Bezpieczeństwa Wewnętrznego.

Włamanie odkryto zaledwie kilka dni po tym, jak FireEye – duża firma zajmująca się bezpieczeństwem cybernetycznym ujawniła, że hakerzy włamali się do jej sieci i ukradli jej własne narzędzia redteam’owe. FireEye ma na koncie wiele sukcesów. Narzędzia tej firmy pomogły wykryć naruszenia danych Sony i Equifax i pomogły Arabii Saudyjskiej udaremnić cyberatak na infrastrukturę przemysłu naftowego, ale przede wszystkim odegrały kluczową rolę w zidentyfikowaniu Rosji, jako głównego bohatera licznych agresji w rozwijającym się podziemiu globalnego konfliktu cyfrowego.

FireEye potwierdził, że hakerzy zagranicznego rządu ze „światowej klasy zdolnościami” włamali się do sieci i ukradli ofensywne narzędzia, których używa do badania mechanizmów obronnych tysięcy klientów. Do klientów tych należą rządy federalne, stanowe i lokalne oraz czołowe światowe korporacje.

Hakerzy „szukali przede wszystkim informacji związanych z niektórymi klientami rządowymi”, powiedział w oświadczeniu dyrektor generalny FireEye Kevin Mandia, nie wymieniając ich. Powiedział, że nic nie wskazywało na to, że uzyskali informacje o klientach.

Ani Mandia, ani rzecznik FireEye nie powiedzieli, kiedy firma wykryła włamanie lub kto może być za to odpowiedzialny. Ale wielu członków społeczności cyberbezpieczeństwa podejrzewa Rosję.

Na początku wydawało się, że nie ma bezpośredniego związku między tymi atakami i nie było od razu jasne, czy Rosja była również odpowiedzialna za włamanie do Departamentu Skarbu, o czym po raz pierwszy poinformował Reuters. Rzecznik Rady Bezpieczeństwa Narodowego, John Ullyot, powiedział w oświadczeniu, że rząd „podejmuje wszelkie niezbędne kroki, aby zidentyfikować i naprawić wszelkie możliwe problemy związane z tą sytuacją”.

Rządowa agencja ds. Bezpieczeństwa cybernetycznego i infrastruktury stwierdziła osobno, że współpracuje z innymi agencjami „w zakresie niedawno odkrytej aktywności w sieciach rządowych. CISA zapewnia pomoc techniczną dotkniętym podmiotom, które pracują nad identyfikacją i złagodzeniem wszelkich potencjalnych kompromisów”.

Warto może w tym miejscu przypomnieć, że Prezydent Donald Trump zwolnił w zeszłym miesiącu dyrektora CISA, Chrisa Krebsa, po tym, jak Krebs poręczył uczciwość wyborów prezydenckich i zakwestionował twierdzenia Trumpa o powszechnym oszustwie wyborczym.

Federalne agencje rządowe od dawna są atrakcyjnym celem dla zagranicznych hakerów. Hakerzy powiązani z Rosją byli w stanie włamać się do systemu poczty elektronicznej Departamentu Stanu w 2014 roku, infekując go tak dokładnie, że trzeba było go odciąć od Internetu, podczas gdy eksperci pracowali nad wyeliminowaniem infekcji.

Wcześniej Reuters podał, że grupa wspierana przez zagraniczny rząd wykradła informacje z Departamentu Skarbu i agencji Departamentu Handlu odpowiedzialnej za decyzje dotyczące polityki internetowej i telekomunikacyjnej. Agencje wywiadowcze podobno obawiają się, że inne agencje zostały zhakowane przy użyciu podobnych narzędzi.

O ataku pierwszy poinformował The Washington Post. Napisał, że co najmniej dwa departamenty, w tym Departament Skarbu, były celem ataków rosyjskich hakerów państwowych. Następnie potwierdzili to przedstawiciele rządu USA informując: „Ściśle współpracujemy z naszymi partnerami w zakresie niedawno odkrytej aktywności w sieciach rządowych” – powiedział AFP rzecznik agencji ds. Cyberbezpieczeństwa i infrastruktury – „CISA zapewnia pomoc techniczną poszkodowanym podmiotom, które pracują nad identyfikacją i złagodzeniem wszelkich potencjalnych kompromisów”.

W następnych komunikatach The Post poinformował, że włamania były jednak powiązane z atakiem na FireEye. Inne Amerykańskie media doniosły, że FBI prowadzi dochodzenie w sprawie grupy pracującej dla rosyjskiego wywiadu zagranicznego SVR i że naruszenia miały miejsce od miesięcy. Jest to podobno ta sama grupa, która włamała się do amerykańskich agencji rządowych podczas administracji Obamy.

Wśród wielu przypuszczeń jedno wydaje się być pewne. Raczej nie jest to koniec, ale początek zabawy. USA zwykło w takich przypadkach odpowiadać proporcjonalnie, podobnie Rosja, a więc w 2021 czeka nas niejedno rodeo.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...