Amerykanie zapowiadają zemstę za cyberatak na Agencje rządowe
„Nie możemy pozwolić, aby to co się stało pozostało bez odpowiedzi” – powiedział Prezydent elekt Joe Biden we wtorek, komentując masowy, cyberatak na rząd USA – „Oznacza to jasne i publiczne wskazanie, kto jest odpowiedzialny za ten atak i podjęcie znaczących kroków, aby pociągnąć go do odpowiedzialności”. Biden (jako prezydent elekt) otrzymał już informacje wywiadowcze na temat kluczowych kwestii bezpieczeństwa narodowego, potwierdza, że wiele pozostaje nieznanych faktów na temat rozmiarów szkód spowodowanych ostatnim cyberatakiem.
Jednocześnie prezydent elekt zaatakował (jeszcze) prezydenta Donalda Trumpa za jego reakcję na zagrożenie.
„Nie widzę dowodów na to, że jest pod kontrolą” – powiedział Biden, odpowiadając na twierdzenie Trumpa, że jest inaczej „Ten prezydent nawet nie zidentyfikował jeszcze osoby odpowiedzialnej” – zauważył.
Ostrzegł, że zemści się, gdy zostanie prezydentem 20 stycznia.
Według amerykańskich urzędników najbardziej niszczycielskie naruszenie bezpieczeństwa komputerowego w USA od lat dotknęło przynajmniej departamenty stanu, handlu, skarbu, energii i bezpieczeństwa wewnętrznego, a także Narodowe Instytuty Zdrowia.
Analitycy spodziewają się, że inne wydziały, w tym prawdopodobnie kluczowe agencje wywiadowcze, również padły ofiarą włamania, a ocena szkód może zająć miesiące lub dłużej.
Biden nazwał atak „poważnym zagrożeniem dla bezpieczeństwa narodowego” i skrytykował Trumpa za zmniejszanie nacisku na cyberbezpieczeństwo podczas jego prawie czterech lat urzędowania.
Administracja jeszcze oficjalnie nie przypisała ataków żadnemu krajowi ani osobom, mimo że najwyżsi urzędnicy, w tym sekretarz stanu Mike Pompeo i prokurator generalny Bill Barr, a także wysocy rangą członkowie Kongresu, wskazują na Rosję.
Czy FBI będzie musiało ujawnić, jak uzyskuje dostęp do zaszyfrowanych informacji?
American Civil Liberties Union (ACLU) ogłosiła we wtorek, że złożyła pozew przeciwko FBI, starając się dowiedzieć, w jaki sposób organy ścigania mogą uzyskać dostęp do informacji przechowywanych na zaszyfrowanych urządzeniach.
FBI często zwracało się do stron trzecich o pomoc w uzyskaniu dostępu do informacji przechowywanych na zaszyfrowanych urządzeniach, ale w ostatnich dokumentach sądowych wyszło na jaw, że jednostka Electronic Device Analysis Unit (EDAU) agencji nabyło rozwiązania, które mogą pomóc jej włamać się do zaszyfrowanych urządzeń na własną rękę.
ACLU złożyła wniosek na podstawie ustawy o wolności informacji (FOIA) w nadziei uzyskania dodatkowych danych na temat możliwości EDAU i wykorzystywanych przez nią technologii. Jednak FBI przekazało tak zwaną odpowiedź Glomar, która wskazuje, że agencja nie chce nawet potwierdzić ani zaprzeczyć istnieniu jakichkolwiek zapisów związanych z EDAU, nie mówiąc już o udostępnieniu szczegółów dotyczących jej możliwości.
Jednak ACLU twierdzi, że odpowiedź FBI jest nieważna i zwróciła się do sądu federalnego o nakazanie Departamentowi Sprawiedliwości i FBI przekazania dokumentów związanych z EDAU.
Urzędnicy – nie tylko w USA, ale we wszystkich krajach Five Eyes – próbowali znaleźć sposoby, aby zmusić firmy technologiczne, które opracowują zaszyfrowane aplikacje komunikacyjne, do wdrożenia backdoorów szyfrujących, które ułatwiłyby organom ścigania prowadzenie dochodzeń.
W Stanach Zjednoczonych często podaje się FBI jako przykład, że śledztwo agencji było utrudnione przez silne szyfrowanie – mimo że w wielu przypadkach FBI zdołało uzyskać dostęp do danych na zaszyfrowanych urządzeniach, a ich roszczenia były czasami uznane za przesadzone.
Lazarus celuje w podmioty pracujące nad szczepionką
Powiązana z Koreą Północną grupa znana jako Lazarus, została ostatnio obwiniona o cyberataki na dwa podmioty zaangażowane w badania nad COVID-19.
Grupa jest aktywna co najmniej od 2009 roku. Zorganizowała kilka głośnych ataków, w tym „wybuch epidemii” WannaCry. W ubiegłym roku grupa celowała w giełdy kryptowalut.
Kaspersky ujawnia, że ataki New Lazarus we wrześniu i październiku 2020 r. były wymierzone w Ministerstwo Zdrowia i firmę farmaceutyczną zajmującą się produkcją i dystrybucją szczepionek przeciw COVID-19.
We wrześniu hakerzy zaatakowali firmę farmaceutyczną przy użyciu szkodliwego oprogramowania BookCode, które zostało przypisane grupie jakiś czas temu. Pod koniec października Lazarus zaatakował organ Ministerstwa Zdrowia złośliwym oprogramowaniem wAgent, które było wcześniej wykorzystywane do atakowania firm kryptowalutowych.
Oba rodzaje złośliwego oprogramowania zostały zaprojektowane do działania jako w pełni funkcjonalne backdoory, zapewniając operatorom pełną kontrolę nad zainfekowanymi maszynami. W każdym ataku zastosowano różne taktyki, techniki i procedury (TTP), ale Kaspersky jest przekonany, że za obydwoma incydentami stoi Lazarus.
„Z dużą pewnością oceniamy, że działalność […] jest przypisywana grupie Lazarus. W naszych poprzednich badaniach już przypisaliśmy klastry szkodliwego oprogramowania użyte w obu incydentach […] grupie Lazarus ”- zauważa Kaspersky.
Co ciekawe Kaspersky nie był w stanie zidentyfikować początkowego wektora infekcji w żadnym z incydentów, ale zauważa, że w przeszłości grupa ta wykorzystywała phishing spear-phishing, a także strategiczne włamanie do witryny.
Te informacje wpisują się w trendy płynące ze starszych wiadomości. Przypomnijmy, że Microsoft poinformował w zeszłym miesiącu, że sponsorowani przez państwo rosyjscy i północnokoreańscy hakerzy próbowali wykraść cenne dane od firm farmaceutycznych i badaczy szczepionek. Reuters z kolei informował, że północnokoreańscy hakerzy zaatakowali brytyjską firmę AstraZeneca, producenta szczepionek przeciwko COVID-19.