Data: 1 lutego 2021

USA na celowniku – żywy przykład cyberwojny

Stany Zjednoczone są obecnie przedmiotem znaczącego cyberataku. Potwierdzono, że spośród ponad 18 tys. potencjalnie zaatakowanych użytkowników, wielu należy do sieci agencji federalnych, w tym Departamentów: Stanu, Skarbu, Bezpieczeństwa Krajowego, Energii oraz Pentagonu. Złośliwe oprogramowanie, odkryte w grudniu, było obecne w amerykańskiej cyberprzestrzeni od marca 2020 roku. Mogło to dać hakerom wystarczająco dużo czasu, aby uzyskać dostęp do tajnych informacji, zarówno w sektorze publicznym, jak i prywatnym.

ŹRÓDŁO: U.S. DEPARTMENT OF DEFENSE

Korporacja FireEye, z siedzibą w Kalifornii, zajmująca się bezpieczeństwem cybernetycznym, odkryła na początku grudnia, że padła ofiarą cyberataku. Firma odnalazła wirusa w marcowej aktualizacji oprogramowania Orion. System operacyjny, opracowany i dystrybuowany przez spółkę SolarWinds, jest wykorzystywany do wykrywania luk w sieciach setek tysięcy instytucji oraz firm na całym świecie, w tym większości spółek z rankingu Financial Times Global 500. Dlatego też tak ważne jest, aby system ten posiadał ostateczny zarys wszystkich procesów zachodzących w sieci, zarówno wewnętrznych, jak i zewnętrznych, co czyni go wartościowym celem cyberataków.

Gdy oceniono już skalę ataku, Kevin Thompson, dyrektor generalny spółki Solar Winds, ogłosił, że firma ściśle współpracuje z korporacją FireEye, FBI oraz Agencją Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) celem wyjaśnienia jego przyczyn, przeciwdziałania dalszej infiltracji amerykańskich sieci, a także potencjalnej kradzieży tajemnic państwowych. Ponadto, FBI, CISA oraz Biuro Dyrektora Wywiadu Narodowego (ODNI) weszły w skład grupy „Cyber Unified Coordination Group” (UCG), której wyłącznym celem jest koordynacja całościowej odpowiedzi na ww. incydent. Agencja CISA pozostaje również w stałym kontakcie z przedstawicielami sektora publicznego i prywatnego – pomaga im w przeciwdziałaniu utracie danych poprzez udzielanie pomocy technicznej oraz wskazywanie dobrych praktyk, które mają na celu zwiększenie poziomu ich cyberbezpieczeństwa. Choć podjęte działania wydają się być wyjątkowo skoordynowane, należy pamiętać, że wykradzione informacje pozostaną w rękach hakerów. W ostrzeżeniu agencji CISA możemy przeczytać, że „usunięcie podmiotu stanowiącego zagrożenie ze zinfiltrowanych środowisk, będzie dla organizacji procesem wysoce złożonym i trudnym w realizacji”. Dowiadujemy się również, że podmiot atakujący stosował „taktyki, techniki i procedury, które nie zostały dotychczas odkryte”. Jednak to nie zastosowany sposób infiltracji był nieoczekiwany. Metoda „łańcucha dostaw” (supply chain attack), polega na uzyskaniu dostępu do informacji, należących do celu ataku, poprzez przeniknięcie do jego wiarygodnego i zaufanego podmiotu zewnętrznego (w tym przypadku oprogramowania Orion). Atakujący uzyskali więc strategiczną przewagę dzięki swojemu rozważnemu podejściu, pozostając trudnymi do wykrycia. Nie spieszyli się, by wydobyć informacje – zamiast tego uznali, że ostrożniejsze działanie „dziś” pozwoli uzyskać lepsze wyniki „jutro”. Złośliwe oprogramowanie systematycznie ocenia wartość każdego użytkownika, do którego dociera, pod kątem mocy jego poświadczeń, infiltrując coraz więcej połączeń. Skrupulatnie rozbudowuje ono sieć, aż dotrze do użytkownika wysokiej rangi, który posiada wystarczającą liczbę uwierzytelnień w systemach danej organizacji. Następnie wykrada tajne informacje, nie wzbudzając przy tym żadnych podejrzeń. Dzięki tej metodzie hakerom udało się pozostać niezauważonym w obcych systemach przez dziewięć miesięcy.

Ten sposób postępowania został uznany przez amerykańskie władze za charakterystyczny dla projektów sponsorowanych przez państwo, a nie dla niezależnej grupy hakerów. Jego złożoność, przypominająca wojskową, oraz wzorowe wykonanie, musiały wymagać dużej wydajności pracy oraz znacznych środków. Specjaliści zajmujący się kryzysem nie wskazywali na żaden konkretny kraj jako źródło ataku. Zrobili to jednak inni eksperci, którzy zidentyfikowali liczne podobieństwa między ww. atakiem a tym, którego rosyjscy (wojskowi) hakerzy dokonali w 2017 roku. Jego celem były wówczas zachodnie firmy, które prowadziły interesy na Ukrainie. Wirus NotPetya został określony jako „najbardziej szkodliwy cyberatak do tej pory” – kwestią otwartą pozostaje, czy utrzyma ten tytuł. Dopiero 5 stycznia Stany Zjednoczone oficjalnie powiązały atak z Kremlem. We wspólnym oświadczeniu FBI, Departamentu Bezpieczeństwa Krajowego (DHS), Dyrektora Wywiadu Narodowego (DNI) oraz Agencji Bezpieczeństwa Narodowego (NSA), został on określony jako „prawdopodobnie rosyjskiego pochodzenia”. Podczas gdy to oskarżenie, być może poparte dowodami, jest wciąż wątpliwe i bardziej natury dyplomatycznej, niektórzy politycy wysuwali śmielsze twierdzenia już w grudniu. Te ze strony sekretarza stanu Mike’a Pompeo oraz ówczesnego prokuratora generalnego Williama Barra, okazały się zbieżne z ostatnimi ustaleniami, w przeciwieństwie do tych wysuwanych przez Donalda Trumpa. Były prezydent podszedł do sprawy w zaskakujący sposób. Jego administracja oceniła cyberatak jako „poważne zagrożenie” zarówno dla sieci rządowych, jak i prywatnych firm. Nie dość, że Trump nigdy nie poruszył go w debacie publicznej, to jeszcze oskarżył media o wyolbrzymianie problemu. Ponadto, bezpodstawnie oskarżył o niego Chiny.

Wesprzyj nas

Jeżeli przygotowane przez zespół Warsaw Institute treści są dla Państwa przydatne, prosimy o wsparcie naszej działalności. Darowizny od osób prywatnych są niezbędne dla kontynuacji naszej misji.

Wspieram

Według Chrisa Paintera, koordynatora polityki cybernetycznej Departamentu Stanu w trakcie kadencji Baracka Obamy, cyberbezpieczeństwo Ameryki nie było priorytetem Trumpa. Natomiast zespół ds. bezpieczeństwa narodowego administracji Bidena zapowiedział już, że będzie mniej tolerancyjny wobec agresji Rosji w sferze cybernetycznej. Wkrótce powinniśmy przekonać się czy oznacza to przeznaczenie większych środków na badania, rozwój i utrzymanie infrastruktury ochronnej, czy też podjęcie ostrzejszej reakcji dyplomatycznej oraz ekonomicznej na szczeblu federalnym. Z racji tego, że operacje cybernetyczne mają więcej wspólnego ze szpiegostwem niż z tajnymi działaniami wojskowymi, nigdy nie ma całkowitej pewności skąd pochodzi atak. Trudno również o zgromadzenie niepodważalnych dowodów potwierdzających potencjalne oskarżenia. Fakt ten w dużym stopniu ogranicza zakres mechanizmów odwetowych i sprawia, że są one bardziej podatne na potępienie na forum międzynarodowym lub, co gorsza, przez samego agresora – umożliwiając tym samym eskalację wzajemnych porachunków.

Skala szkód nie została dotychczas oszacowana i raczej nigdy nie zostanie – podobnie jak w przypadku skutków zdrady George’a Blake’a, który w czasach zimnej wojny szpiegował rząd brytyjski na zlecenie Związku Radzieckiego. Rzeczywiście, trwający atak jest pod wieloma względami podobny do konwencjonalnego szpiegostwa. Rosyjscy agenci są szkoleni przez lata, zanim zostaną umieszczeni w konkretnym środowisku – podobnie musiał wyglądać proces tworzenia złośliwego oprogramowania. Ich głównym celem w pierwszych miesiącach na wrogim terytorium jest wtopienie się w tłum – przez wiele miesięcy pozostawało więc ono w ukryciu. Ten nienazwany jeszcze, choć z pewnością zasługujący na „tytuł” wirus, jest arcydziełem rozumu i wywiadu. To, co Zachód musi teraz zrobić, to pokornie wyciągnąć wnioski. Moskwa staje się coraz bardziej pewna siebie, a skuteczność jej operacji cybernetycznych rośnie. Zasięg rosyjskich ataków hybrydowych jest globalny, a te są coraz bardziej efektywne – poczynając od prób włamania się do systemów Białego Domu i Partii Demokratycznej w 2014 i 2015 roku, przez ingerencję w amerykańskie wybory w 2016 roku, aż po próby kradzieży tajnych informacji dotyczących prac nad szczepionką przeciwko koronawirusowi od USA, Kanady i Wielkiej Brytanii w 2020 roku. Najnowszy wirus komputerowy jest obecny również poza Ameryką – m.in. w Parlamencie Europejskim, brytyjskim rządzie i Narodowej Służbie Zdrowia (NHS), czy Agencji Wsparcia i Zakupów NATO (NSPA). Niepokojącym pozostaje fakt, iż rzeczone przypadki nie były wystarczająco nagłaśniane przez media.

Aby zapobiec atakom typu „supply chain” w przyszłości oraz wzmocnić swoją cyberodporność, NATO musi zadbać o współpracę z państwami członkowskimi. Co więcej, Sojusz powinien zachęcać słabo zaawansowane technologicznie kraje do nadrobienia zaległości. Uzyskanie dostępu do tajnych informacji z rządowego systemu jednego kraju może skutkować ujawnieniem tajemnic również innych państw. To z kolei umożliwi stworzenie zainfekowanej sieci – tym razem w obrębie jednostek stowarzyszonych. Po raz kolejny zdajemy sobie sprawę z tego, że tylko poprzez jedność i wzajemną współpracę możemy ochronić nasze swobody i wartości demokratyczne.

Tekst pierwotnie ukazał się na łamach „Dziennika Związkowego” oraz „Polish Express”.

Autor: Jędrzej Duszyński
Absolwent Worth School, brytyjskiej szkoły prywatnej, gdzie na pełnym stypendium naukowym spędził dwa ostatnie lata liceum. Zdobywał doświadczenie zawodowe podczas stażu w Institute of Economic Affairs oraz w londyńskiej siedzibie firmy konsultingowej Oliver Wyman. Obecnie Asystent Projektów w think tanku Warsaw Institute.

Wszystkie teksty (bez zdjęć) publikowane przez Fundacje Warsaw Institute mogą być rozpowszechniane pod warunkiem podania ich źródła.

TAGS: 

 

Powiązane wpisy
Top