ZDA pod udarom širokopoteznega hekerskega napada
Jurij Kristan
15. dec 2020 ob 22:14:41
Vse kaže, da so ruski državni hekerji v izredno ambicioznem in dalj časa trajajočem napadu pridobili dostop do pomembnih podatkov v več ameriških vladnih ustanovah ter večjih podjetjih, po tem ko je preiskava prejšnjetedenskega vdora v podjetje FireEye razkrila, da so zlikovci kompromitirali sistem za posodabljanje razširjenega omrežnega programja firme SolarWinds.
Vdor v varnostno družbo FireEye, o katerem smo poročali prejšnji teden, bi kaj lahko bil samo še eden od primerov ravsanja malopridnih hekerjev z varnostnimi strokovnjaki. Toda ko so FireEyejevi uslužbenci dodobra analizirali nerodni incident, so odkrili, da se zadaj v resnici skriva ena najbolj impozantnih in obsežnih hekerskih kampanj v zgodovini! Napadalci so se v sistem namreč pritihotapili skozi okuženo posodobitev za programje za nadzor omrežij Orion, podjetja Solarwinds. Problem? Orion širom sveta uporablja dobrih 33.000 podjetij in državnih organizacij, med katerimi je večina ameriških zveznih agencij, podjetij na listi Fortune 500 in vseh pet rodov ameriške vojske. Pri SolarWindsu so čez vikend potrdili ranljivost in včeraj podrobneje razložili, da bi bilo potencialno lahko napadenih kar 18.000 različnih strank.
Postopek, s splošnim nazivom supply chain attack, je bil sledeč. Nekje na začetku leta so nepridipravi uspeli vdreti v SolarWinds in z zlobno kodo okužiti sistem za posodabljanje programskega paketa Orion, ki podjetjem omogoča napreden nadzor nad omrežnimi usmerjevalniki in stikali. Izvedba je bila zelo prefinjena, saj se je trojanec v okuženi .dll datoteki najprej za nekaj tednov potuhnil, nakar je zaradi privzete visoke ravni dostopa Oriona v omrežjih napadalcem omogočil, da so ukradli oz. ponaredili elektronske identitete uporabnikov omrežja in tako pridobili dostop do množice dokumentov. Videti je torej, da je šlo v osnovi za vohunski podvig, pri čemer so potrjene žrtve ameriški ministrstvi za trgovino in finance, pa zunanje ministrstvo in Urad za domovinsko varnost. Ameriška agencija za kibernetsko varnost CISA je v nedeljo tako izdala urgentno odločbo o omejevanju posledic napada, s katero so v glavnem zaukazali izklop funkcionalnosti programja Orion.
Američanom je v uteho lahko vsaj to, da je napad po vsem sodeč težko avtomatizirati, zato ga morajo napadalci skrbno izvajati ročno, s čimer je obseg žrtev verjetno razmeroma omejen. Potencialno bi bila lahko okužena vsaka stranka, ki je Orion posodabljala med letošnjima marcem in junijem, toda v SolarWindsu menijo, da so se hekerji imeli dejansko čas posvetiti le "nekaj ducatom" tarč. Kljub temu je v vrhovih ameriških organizacij in podjetij zavladala precejšnja panika, tako strokovnjaki kot uradniki pa s prstom odločno kažejo na zunanjega napadalca pod državnim vodstvom - ruskim. Natančneje, na razvpiti oddelek APT29 ali Cozy Bear, ki deluje pod nadzorom ruske obveščevalne službe. Rusi so trditve seveda hitro zanikali kot neutemeljene, toda ta hip smo v bistvu šele nekje na začetku preiskave, saj točen obseg vdorov in pokradenih podatkov še ni jasen, zato bodo prihodnji tedni še zelo zanimivi. V vsakem primeru se digitalno pretepanje ZDA in Rusije stopnjuje, po tem ko je letos druga ruska skupina že lomastila po ameriških ustanovah in so ameriški hekerji lani drezali v rusko elektroomrežje.