Все повече данни излизат за хакерската атака в САЩ - Част 2

Все повече данни излизат за хакерската атака в САЩ - Част 2

Каква са най-новите данни за хакерската атака в САЩ? – Част 2

Компрометирана верига на доставки:

Един от основните фокуси на разследването досега беше SolarWinds, компанията със седалище в Остин, чийто софтуерен ъпдейт беше хакнат.

Но подразделението за киберсигурност на Министерството на националната сигурност заключи, че хакерите са работили и чрез други канали. CrowdStrike, друга компания за сигурност, разкри, че тя също е била атакувана, но неуспешно от същите хакери. Това е станало чрез компания, която препродава софтуер на Microsoft.

SolarWinds – имат широк достъп до мрежите на клиентите на Microsoft. В резултат на това могат да бъдат идеален троянски кон за хакерите. Служителите на разузнаването бяха притеснени, че Microsoft не е открил атаката по-рано; компанията, която заяви наскоро, че хакерите са прегледали изходен код за техен софтуер, не разкрива кой от нейните продукти е бил засегнат или за колко време хакерите са били в нейната мрежа.

„Те се насочиха към най-слабите места във веригата на доставки, чрез нашите най-доверени партньори“, каза Глен Чисхолм, основател на Obsidian Security.

Интервюта с настоящи и бивши служители на SolarWinds дават информация, че е отнело известно време преди сигурността да се превърне в приоритет, въпреки че нейният софтуер е приет от водещата американска компания за киберсигурност във федералните агенции.

Служителите казват, че при г-н Томпсън, счетоводител по образование и бивш главен финансов директор на SolarWinds, всяка част от бизнеса е била изтисквана, за да се спестяват разходи и общите практики за сигурност са били игнорирани, понеже са генерирали големи разходи. Неговият подход помогна и почти утрои годишния марж на печалба на SolarWinds. Той достигна до над 453 милиона долара през 2019 г. За сравнение през 2010 година е бил около 152 милиона долара.

Тези мерки може да изложат компанията и нейните клиенти на по-голям риск от атака.

Също така SolarWinds премества голяма част от инженеринга си в сателитни офиси в Чехия, Полша и Беларус, където инженерите имат широк достъп до софтуера за управление на мрежата Orion, който хакерите са компрометирали.

Компанията заяви, че манипулирането на нейния софтуер е дело на хакери, а не на компютърна програма. Не е оповестено публично възможността вътрешен човек да е бил замесен в хака.

 The New York Times се свърза и нтервюира никои от клиентите на SolarWinds и никой от тях не е знаел, че разчитат на софтуер, поддържан в Източна Европа. Мнозина казват, че дори доскоро не са знаели, че използват софтуер на SolarWinds.

SolarWinds е повишил сигурността си едва през 2017 г., под заплаха от наказание от новия европейски закон за поверителност на данните. Едва тогава SolarWinds наема първия си главен директор по информационна сигурност и вицепрезидент по „архитектура на сигурността“.

Иън Торнтън-Тръмп, бивш съветник по киберсигурност в SolarWinds, каза, че е предупредил ръководството в началото на 2020 година, че ако не предприеме по-проактивен подход към вътрешната си сигурност, може да има катастрофални последици. След като основните му препоръки са били игнорирани, г-н Торнтън-Тръмп напуска компанията.

SolarWinds отказа да отговори на въпроси относно сигурността на своите приложения. В изявление от компанията посочват, че са „жертва на изключително сложна и целенасочена кибератака“,  и работят в тясно сътрудничество с правоприлагащите органи, разузнавателните агенции, и експертите по сигурността, за да разследват атаката.

Експертите по сигурността отбелязват още, че SolarWinds са продължили да предлагат на клиентите си софтуер с компрометиран код и след откриването на атаката.

Отбрана чрез нападение

Милиарди долари от бюджетите за киберсигурност на Съединените Щати са се стичали през последните години към програми за шпионаж и превантивни действия. Това, което генерал Накасоне нарича необходимостта да се „защитава чрез атака“, като се хакват  мрежите на противниците, за да се знаят техните операции и да им се противодейства преди противника да е атакувал. “Атаката е най-добрата защита“ според генерала.

Но този подход, макар и приветстван като отдавна закъсняла стратегия за предотвратяване на атаки, пропусна тази хакерска атака.

Според FireEye хакерите са се възползвали от ограниченията върху правомощията на Националната агенция за сигурност. Конгресът не е дал на агенцията и националната сигурност никакви правомощия за влизане или защита на мрежи от частния сектор.

Като добавят зловреден код в актуализацията на Orion – софтуерът на SolarWinds и използват персонализирани инструменти, хакерите избягват алармите на системата за откриване на „атаки “, която вътрешната сигурност е разположила в правителствените агенции, за да улови известен зловреден софтуер. Избагват също и така наречения C.D.M. програма, която е специално създадена, за да предупреди агенциите за подозрителна дейност.

Някои служители от разузнаването се питат дали правителството е било толкова съсредоточено върху намесата в изборите, че е отворило врати и е било невнимателно другаде.

Разузнавателните агенции заключиха преди месеци, че Русия е преценила, че не може да проникне в достатъчно на брой изборни системи, за да повлияе на резултата от изборите, и вместо това е насочила вниманието си към отклоняване на атаките на рансъмуер.

Пробивът в SolarWinds и проникването в дистрибуторите на Microsoft, дадоха на хакерите шанс да атакуват най-уязвимите, най-малко защитени мрежи в много федерални агенции.

Говорителят на Агенцията за национална сигурност Чарлз К. Щатландър казва пред  Ню Йорк Таймс: „Ние не смятаме това за компромис. Нашите действия и новите рамки за сигурност направени за изборите, имат широко положително въздействие върху позицията на киберсигурността на нацията и правителството на САЩ. ”

За хакерите

Служителите на разузнаването казват, че може да минат месеци, дори години, преди да разберат кои стой реално зад хака.

След залавянето на водещ информатор от Кремъл през 2017 г. знанията на ЦРУ  за руските операции са намалели. И S.V.R. (Службата за външно разузнаване на Руската федерация) остава една от най-способните разузнавателни служби в света, като избягва електронните комуникации, които биха могли да изложат нейните тайни на Агенцията за национална сигурност, казват служители на американското разузнаване.

През 2014 г. хакери, работещи за холандската Обща служба за разузнаване и сигурност, успяват да проникнат в компютрите на S.V.R., наблюдавайки ги поне една година преди да бъдат разкрити.

Именно Холандия помогна за предупреждението на Белия дом и Държавния департамент, за хакване на техните системи през 2014 и 2015 г., а миналия месец те хванаха и депортираха от Холандия двама S.V.R. оперативни работници, обвинени в проникване, в технологични компании.

Въпреки, че не е известно хакерската атака да е разрушителна, трудно е да бъде премахната от компютърните системи, в които е проникнала.

Когато S.V.R. проникна в некласифицираните системи на Държавния департамент и Белия дом, Ричард Леджет, тогава заместник-директор на Агенцията за национална сигурност, заяви, че агенцията участва в цифровия еквивалент на „ръкопашен бой“. В един момент S.V.R. получи достъп до инструмента NetWitness Investigator, който следователите използват, за да изкоренят руските задни врати. Успяха да го манипулират  по такъв начин, че хакерите да не мога, да бъдат засечени.

Разследващите заявиха, че са отстранили хакерите, само за да открият, че злоумишлениците са се промъкнали през друг вектор на атака.

Твърди се, че намирането на следи от атаката в средата на пандемията от Covid19 би било прекалено скъпо и отнема много време, а новата администрация ще трябва да работи упорто, за да идентифицира и прегледа всяка компрометирана система, преди да може, да реагира адекватно.

„Атаката е умишлена, хакерите са усъвършенствани и нямат същите правни ограничения, както ние тук на Запад “, каза Адам Дара, бивш анализатор на правителственото разузнаване, който сега е директор на разузнаването в Vigilante, охранителна фирма.

Санкциите, обвинителните актове и други мерки, добави той, не успяха да възпрат S.V.R., което показа, че могат да се адаптират много бързо.

“Наблюдават ни много внимателно в момента”, каза г-н Дара. „И ще се върнат отново.“

Източник: Ню Йорк Таймс