Cyberatak na SolarWinds to większy problem, niż się wszystkim wydaje

Cyberatak na SolarWinds to większy problem, niż się wszystkim wydaje

Cała prasa skupia się ostatnio wokół rosyjskiego cyberataku na USA. Po pierwsze to nie był cyber atak w kategoriach stosunków międzynarodowych, tylko szpiegostwo, a ofiarą nie były Stany Zjednoczone, a cały świat.

Szpiegostwo w czasie pokoju jest ogółem dozwolone. Problem tkwi w tym, że wykonuje się je w ten sam sposób co cyber atak, a różnica polega tylko na kilku naciśnięciach klawiszy. Ponieważ ta rosyjska operacja nie jest specjalnie ukierunkowana, cały świat jest zagrożony – nie tylko ze strony Rosji. Wiele krajów prowadzi tego typu operacje, ale żadne z nich w takim stopniu jak Stany Zjednoczone. Rozwiązaniem tego problemu jest priorytetowe potraktowanie bezpieczeństwa i ochrony, zamiast szpiegostwa i cyber ataków.

Oto, co wiemy: Orion to produkt do zarządzania siecią, sprzedawany przez firmę SolarWinds, posiadającą ponad 300 tysięcy klientów z całego świata. Jakiś czas przed marcem tego roku, hakerzy pracujący dla Rosyjskiego CBP – dawniej znanego jako KGB – zhakowali SolarWinds i stworzyli backdoora do nowej aktualizacji Oriona. (Nie wiemy jak to zrobili, ale warto wspomnieć, że w zeszłym roku firmowy serwer aktualizacyjny był zabezpieczony hasłem "solarwinds123"...) Użytkownicy, którzy pobrali i zainstalowali aktualizację między marcem a czerwcem nieświadomie dali hakerom CBP dostęp do własnej sieci.

Nazywa się to atakiem łańcucha dostaw, ponieważ atakuje dostawcę, a nie samą organizację – i może mieć wpływ na wszystkich klientów dostawcy. Jest to coraz powszechniejszy sposób atakowania sieci. Inne przykłady tego rodzaju ataków to fałszywe aplikacje w sklepie Google Play lub "nakładki" ekranów.

SolarWinds usunął listę klientów ze swojej strony internetowej, ale została ona zapisana w archiwum internetowym: wszystkie pięć oddziałów armii USA, departament stanu, Biały Dom, NSA, 425 firm z listy Fortune 500, wszystkie pięć z pięciu największych księgowych firmy, setki uniwersytetów i szkół wyższych. W zgłoszeniu SEC, SolarWinds powiedział, że „mniej niż 18,000” klientów zainstalowało trefną aktualizację, co jest innym sposobem na powiedzenie, że aktualizację pobrało ich ponad 17,000.

Po wejściu do sieci hakerzy CBP postępowali dosyć standardowo: ustalili stały dostęp, który pozostanie nawet po naprawieniu początkowej luki; poruszali się w poprzek sieci, naruszając dodatkowe systemy i konta; a następnie pobrali dane.

Regeneracja po takim ataku nie jest łatwa. Ponieważ hakerzy CBP ustanowili dostęp, jedynym sposobem na zapewnienie, że Twoja sieć nie zostanie naruszona, jest zrównanie jej z ziemią i odbudowanie, podobnie jak w przypadku, kiedy ktoś włamie Ci się do komputera, i jesteś zmuszony ponownie zainstalować system. Na tej właśnie czynności wielu administratorów spędziło pewnie święta Bożego Narodzenia, ale nawet po odbudowie nie będą mieli pewności, czy są bezpieczni. Istnieje wiele sposobów ustanowienia trwałego dostępu, które przetrwają odbudowę poszczególnych systemów i sieci. Znamy na przykład exploit NSA, który pozostaje na dysku twardym nawet po ponownym sformatowaniu. Kod tego exploita był częścią narzędzi Equation Group, które Shadow Brokerzy - ponownie uważani za Rosję - ukradli NSA i opublikowali w 2016 roku. CBP prawdopodobnie dysponuje tymi samymi rodzajami narzędzi.

Trudno przecenić, jak tragiczna jest skala sytuacji. Wciąż dowiadujemy się o nowych naruszeniach amerykańskich organizacji rządowych: Departamentu Stanu, Departamentu Skarbu, Bezpieczeństwa Wewnętrznego, Los Alamos i Sandia National Laboratories (gdzie opracowywana jest broń jądrowa), National Nuclear Security Administration, National Institutes of Health i wielu więcej. W tym momencie nic nie wskazuje na to, by penetrowano jakiekolwiek sklasyfikowane sieci, chociaż w każdej chwili może się okazać inaczej. Lata zajmie dowiedzenie się, do których sieci przeniknął CBP i do których nadal ma dostęp. Wiele z nich zostanie utajnionych, co oznacza, że my – społeczeństwo, nigdy się o nich nie dowiemy.

A teraz, kiedy luka w Orionie jest publiczna, inne rządy i cyberprzestępcy wykorzystają ją do penetracji podatnych na to sieci. Możemy zagwarantować, że NSA wykorzystuje hack CPB do infiltracji innych sieci; bo dlaczego by nie? (Czy jakieś rosyjskie organizacje korzystają z Oriona? To bardzo prawdopodobne.)

Chociaż jest to porażka na olbrzymią skalę, nie jest to, jak powiedział senator Richard Durban, „praktycznie wypowiedzenie wojny przez Rosję Stanom Zjednoczonym”. Nowo wybrany prezydent USA – Biden powiedział, że uczyni sprawę najwyższym priorytetem. Jednak mało prawdopodobne jest, że zrobi wiele w ramach zemsty.

Powodem jest to, że według norm międzynarodowych Rosja nie zrobiła nic złego. Kraje bez przerwy się wzajemnie szpiegują. Nie ma żadnych zasad ani nawet norm. USA regularnie nie podejmują działań odwetowych przeciwko operacjom szpiegowskim - takim jak chińskie włamanie do Office of Personal Management (OPM) i poprzednie rosyjskie ataki - ponieważ oni też to robią. Mówiąc o włamaniu do OPM, ówczesny dyrektor wywiadu narodowego, James Clapper, powiedział: „Trzeba pochwalić Chińczyków za to, co zrobili. Gdybyśmy mieli okazję to zrobić, nie sądzę, żebyśmy się wahali nawet przez minutę”.

Nie robią tego, i jesteśmy pewni, że pracownicy NSA są – nawet jeżeli nie chcą się do tego przyznać – pod wrażeniem czynu CBP. Stany Zjednoczone prowadzą zdecydowanie najbardziej rozległą i agresywną operację wywiadowczą na świecie. Budżet NSA jest największy ze wszystkich agencji wywiadowczych. Agresywnie wykorzystuje pozycję Stanów Zjednoczonych, kontrolując dużą część internetu, i większość wielkich firm internetowych. Edward Snowden ujawnił wiele celów wysiłków NSA około 2014 roku, wśród których były wówczas 193 kraje, Bank Światowy, MFW i Międzynarodowa Agencja Energii Atomowej. Bez wątpienia prowadzą teraz ofensywną operację na skalę operacji CBP i prawdopodobnie nigdy nie zostanie ona upubliczniona. W 2016 roku prezydent Obama chwalił się, że mają „większe możliwości niż ktokolwiek, zarówno w ofensywie, jak i defensywie”.

Mógł być zbyt optymistyczny co do ich zdolności obronnych. Stany Zjednoczone traktują ofensywę priorytetowo, i wydają na nią wielokrotnie więcej niż na defensywne cyber bezpieczeństwo. W ostatnich latach NSA przyjęła strategię „trwałego zaangażowania”, czasami nazywaną „obroną naprzód”. Chodzi o to, że zamiast biernie czekać, aż wróg zaatakuje nasze sieci i infrastrukturę, przechodzą do ofensywy i przerywają ataki, zanim do nich dotrą. Strategii tej przypisuje się udaremnienie spisku Rosyjskiej Agencji Badań Internetu, mającego na celu zakłócenie wyborów w 2018 roku.

Ale jeśli "trwałe zaangażowanie" jest tak skuteczne, jak mogło przegapić gigantyczną operację CBP? Wydaje się, że prawie cały rząd USA nieświadomie wysyłał informacje z powrotem do Moskwy. Sukces Rosjan pod czujnym okiem NSA i US Cyber Command pokazuje, że jest to nieudane podejście.

I w jaki sposób zdolności obronne USA to przegapiły? Jedynym powodem, dla którego wiemy o tym włamaniu, jest to, że na początku ubiegłego miesiąca firma FireEye odkryła, że została zhakowana. Podczas audytu swojej sieci odkryli lukę Oriona i powiadomili rząd USA. Dlaczego organizacje takie jak Departament Stanu, Skarbu i Bezpieczeństwa Wewnętrznego nie przeprowadzają regularnie kontroli na tym poziomie w swoich własnych systemach? Rządowy system wykrywania włamań, Einstein 3, zawiódł ponieważ nie wykrywa nowych wyrafinowanych ataków - ta usterka była wskazana w 2018 roku, ale nigdy nie została naprawiona. Nie powinni polegać na prywatnej firmie zajmującej się cyber bezpieczeństwem, aby ostrzec ich o poważnym ataku ze strony innego narodu.

Jeśli już, to priorytetowe traktowanie ataku ponad obronę w Stanach Zjednoczonych czyni ich mniej bezpiecznymi. W celach inwigilacji NSA forsowała niezabezpieczony standard szyfrowania telefonów komórkowych i backdoory w generatorach liczb losowych (ważne dla bezpiecznego szyfrowania). Departament Sprawiedliwości nigdy nie ustąpił w naleganiu, aby popularne na świecie systemy szyfrowania miały zaimplementowane tylne wejście - kolejny temat, w którym dochodzi do konfliktu ataku i obrony. Innymi słowy, pozwala się na niepewne standardy i systemy, ponieważ można ich używać do szpiegowania innych.

Zarówno USA jak i Europa, muszą przyjąć strategię w której dominuje obrona. Ponieważ komputery i internet stają się coraz bardziej istotne dla społeczeństwa, cyberataki prawdopodobnie będą prekursorem prawdziwej wojny. Jesteśmy po prostu zbyt bezbronni, kiedy przeteoretyzujemy ofensywę.

Nie będziemy w stanie zabezpieczyć naszych sieci i systemów w tym pozbawionym reguł świecie. Stany Zjednoczone muszą dobrowolnie zrezygnować z części swojej ofensywnej przewagi w cyberprzestrzeni w zamian za znacznie bezpieczniejszą globalną cyberprzestrzeń. Musimy inwestować w zabezpieczenie światowych łańcuchów dostaw przed tego typu atakami oraz naciskać na międzynarodowe normy i umowy priorytetowe dla cyber bezpieczeństwa, takie jak paryski apel o zaufanie i bezpieczeństwo w cyberprzestrzeni z 2018 r., czy Globalna Komisja ds. Stabilności Cyberprzestrzeni. , Zamiast zaostrzać, musimy stłumić ten ofensywny wyścig zbrojeń, i pracować na rzecz pokoju w sieci.