WASZYNGTON (AP) - amerykańskie agencje rządowe otrzymały polecenie przeszukania swoich sieci w poszukiwaniu złośliwego oprogramowania i odłączenia potencjalnie zagrożonych serwerów po tym, jak władze dowiedziały się, że departamenty Skarbu i Handlu zostały zhakowane w trwającej miesiąc globalnej kampanii cyberszpiegowskiej, gdy dowiedziała się o tym znana firma zajmująca się cyberbezpieczeństwem naruszone. W rzadkiej, nadzwyczajnej dyrektywie wydanej późną niedzielą, dział ds. Bezpieczeństwa cybernetycznego Departamentu Bezpieczeństwa Wewnętrznego ostrzegł przed „niedopuszczalnym ryzykiem” dla władzy wykonawczej, wynikającym z budzącej obawę penetracji agencji rządowych na dużą skalę, która może sięgać połowy roku lub wcześniej.
„Może to przekształcić się w jedną z najbardziej wpływowych kampanii szpiegowskich w historii” - powiedział ekspert ds. Cyberbezpieczeństwa Dmitri Alperovitch. Zhakowana firma zajmująca się cyberbezpieczeństwem, FireEye, nie powiedziałaby, kogo podejrzewała - wielu ekspertów uważa, że operacja jest rosyjska, biorąc pod uwagę ostrożny handel - i zauważyła, że zagrożone zostały również zagraniczne rządy i duże korporacje. Wiadomości o włamaniach, po raz pierwszy zgłoszone przez Reutera, nadeszły niecały tydzień po tym, jak FireEye ujawniło, że hakerzy z państw członkowskich włamali się do jego sieci i ukradli własne narzędzia hakerskie firmy.
Pozornym kanałem dla hacków Departamentu Skarbu i Handlu - i kompromisem FireEye - jest niezwykle popularne oprogramowanie serwerowe o nazwie SolarWinds.
Jest używany przez setki tysięcy organizacji na całym świecie, w tym większość firm z listy Fortune 500 i wiele amerykańskich agencji federalnych, które teraz będą usiłować naprawić swoje sieci, powiedział Alperovitch, były dyrektor techniczny firmy CrowdStrike zajmującej się cyberbezpieczeństwem.
Dyrektywa DHS - dopiero piąta od czasu ich utworzenia w 2015 roku - mówi, że amerykańskie agencje powinny natychmiast odłączyć lub wyłączyć wszystkie maszyny, na których działa oprogramowanie SolarWinds. FireEye, nie wymieniając żadnych konkretnych celów, powiedział w poście na blogu, że jego dochodzenie w sprawie włamania do własnej sieci zidentyfikowało „globalną kampanię” wymierzoną w rządy i sektor prywatny, który od wiosny wrzucił złośliwe oprogramowanie do oprogramowania SolarWinds aktualizacja. Ani firma, ani rząd USA nie zidentyfikowali publicznie rosyjskich hakerów wspieranych przez państwo jako odpowiedzialnych.
Złośliwe oprogramowanie zapewniło hakerom zdalny dostęp do sieci ofiar, a Alperovitch powiedział, że SolarWinds zapewnia dostęp do sieci w trybie „boskim”, dzięki czemu wszystko jest widoczne.
„Przewidujemy, że kiedy wszystkie informacje wyjdą na jaw, będzie to bardzo duże wydarzenie” - powiedział John Hultquist, dyrektor ds. Analizy zagrożeń w FireEye. „Aktor działa ukradkiem, ale z pewnością wciąż znajdujemy cele, w których uda mu się działać”.
Na swojej stronie internetowej SolarWinds podaje, że ma 300 000 klientów na całym świecie, w tym wszystkie pięć oddziałów armii USA, Pentagon, Departament Stanu, NASA, Narodową Agencję Bezpieczeństwa, Departament Sprawiedliwości i Biały Dom. Mówi się, że wśród klientów jest 10 wiodących amerykańskich firm telekomunikacyjnych i pięć największych amerykańskich firm księgowych. FireEye powiedział, że potwierdziło infekcje w Ameryce Północnej, Europie, Azji i na Bliskim Wschodzie, w tym w służbie zdrowia oraz przemyśle naftowym i gazowym - i informował o tym dotkniętych klientów na całym świecie w ciągu ostatnich kilku dni.
Jej klientami są władze federalne, stanowe i lokalne oraz czołowe światowe korporacje. Stwierdzono, że złośliwe oprogramowanie, które korzystało z aktualizacji SolarWinds, nie wysiewało samoczynnie rozprzestrzeniającego się szkodliwego oprogramowania - takiego jak złośliwe oprogramowanie NotPetya obwinione o Rosję, które spowodowało ponad 10 miliardów dolarów szkód na całym świecie - oraz że każda faktyczna infiltracja zainfekowanej organizacji wymagała „skrupulatnego planowania i ręcznej interakcji . ”
Oznacza to, że można się założyć, że tylko podzbiór zainfekowanych organizacji był szpiegowany przez hakerów. Państwa narodowe mają swoje priorytety dotyczące cyberszpiegostwa, do których należy opracowanie szczepionki przeciwko COVID-19. Rzecznik Kremla Dmitrij Pieskow powiedział w poniedziałek, że Rosja „nie ma nic wspólnego” z włamaniem. „Jeszcze raz mogę odrzucić te oskarżenia” - powiedział dziennikarzom Pieskow.
„Jeśli Amerykanie przez wiele miesięcy nie mogli nic na to poradzić, to prawdopodobnie nie można bezzasadnie winić Rosjan za wszystko”. Departament Skarbu skierował prośby o komentarz do Rady Bezpieczeństwa Narodowego, której rzecznik John Ullyot powiedział w poniedziałek, że NSC współpracuje z Agencją Cyberbezpieczeństwa i Infrastruktury, agencjami wywiadowczymi USA, FBI i departamentami rządowymi, które zostały dotknięte, aby koordynować reakcję do „ostatniego kompromisu”. CISA twierdzi, że współpracuje z innymi agencjami, aby pomóc „zidentyfikować i złagodzić wszelkie potencjalne kompromisy”.
FBI stwierdziło, że jest zaangażowane w reakcję, ale odmówiło dalszych komentarzy. Prezydent Donald Trump zwolnił w zeszłym miesiącu dyrektora CISA, Chrisa Krebsa, po tym, jak Krebs poręczył uczciwość wyborów prezydenckich i zakwestionował twierdzenia Trumpa o powszechnym oszustwie wyborczym. W niedzielnym tweecie Krebs powiedział, że „tego typu hacki wymagają wyjątkowego rzemiosła i czasu”, dodając, że uważa, że ich wpływ dopiero zaczyna być rozumiany. Agencje federalne od dawna są atrakcyjnym celem dla zagranicznych hakerów, którzy chcą uzyskać wgląd w personel rządu amerykańskiego i proces tworzenia polityki. Na przykład hakerzy powiązani z Rosją byli w stanie włamać się do systemu poczty elektronicznej Departamentu Stanu w 2014 roku, infekując go tak dokładnie, że trzeba było go odciąć od Internetu, podczas gdy eksperci pracowali nad wyeliminowaniem infekcji.
Rok później włamanie do biura kadrowego rządu USA, z którego obarczono Chiny, naruszyło dane osobowe około 22 milionów obecnych, byłych i przyszłych pracowników federalnych, w tym dane bardzo wrażliwe, takie jak dochodzenia. W niedzielę ujawniono włamania, w tym agencję Departamentu Handlu odpowiedzialną za politykę internetową i telekomunikacyjną. Rzecznik potwierdził „naruszenie w jednym z naszych biur” i powiedział „poprosiliśmy CISA i FBI o zbadanie sprawy”. Firma SolarWinds z siedzibą w Austin w Teksasie potwierdziła w niedzielę „potencjalną lukę” związaną z aktualizacjami wydanymi między marcem a czerwcem oprogramowania o nazwie Orion, które pomagają monitorować sieci pod kątem problemów.
„Uważamy, że ta luka jest wynikiem wysoce wyrafinowanego, ukierunkowanego i ręcznego ataku na łańcuch dostaw przez państwo narodowe” - powiedział w oświadczeniu dyrektor generalny SolarWinds, Kevin Thompson. Powiedział, że współpracuje z FBI, FireEye i społecznością wywiadowczą. FireEye ogłosiło 8 grudnia, że zostało zhakowane, mówiąc, że hakerzy z zagranicy posiadający „światowe możliwości” włamali się do jego sieci i ukradli narzędzia, których używa do badania mechanizmów obronnych tysięcy klientów.
Hakerzy „szukali przede wszystkim informacji związanych z niektórymi klientami rządowymi”, powiedział w oświadczeniu dyrektor generalny FireEye Kevin Mandia, nie wymieniając ich. Były haker NSA Jake Williams, prezes firmy zajmującej się bezpieczeństwem cybernetycznym Rendition Infosec, powiedział, że FireEye z pewnością powiedział FBI i innym partnerom federalnym, w jaki sposób został zhakowany, i ustalili, że skarb państwa został podobnie zagrożony. „Podejrzewam, że jest wiele innych agencji (federalnych), o których usłyszymy w tym tygodniu, a które również zostały zaatakowane” - dodał Williams.
FireEye zareagowało na naruszenia danych Sony i Equifax i pomogło Arabii Saudyjskiej udaremnić cyberatak przemysłu naftowego - i odegrało kluczową rolę w zidentyfikowaniu Rosji jako głównego bohatera licznych agresji w rozwijającym się podziemiu globalnego konfliktu cyfrowego. Mandia stwierdziła, że nic nie wskazuje na to, że uzyskał informacje o klientach od firm konsultingowych lub firm reagujących na włamania lub zebranych danych dotyczących zagrożeń. ___ Bajak zameldował się z Bostonu i O'Brien z Providence w stanie Rhode Island.
zrodlo:apnews
Brak komentarzy:
Prześlij komentarz