Skala rosyjskiego cyberataku większa niż sądzono. Przybywa ofiar

Na liście ofiar ataku hakerów są m.in. agencje rządowe, firmy zajmujące się bezpieczeństwem, firmy technologiczne oraz organizacje pozarządowe. Około 20 proc. celów to podmioty z Kanady, Meksyku, Belgii, Hiszpanii, Wielkiej Brytanii, Izraela i Zjednoczonych Emiratów Arabskich. Radca prawny Microsoft, Brad Smith przyznał, że nie jest to ostateczna lista.

W czwartek dziennik „Politico” poinformował, że ministerstwo energii USA i podległa mu Narodowa Administracja Bezpieczeństwa Jądrowego (NISA) mają dowody na to, że padły ofiarą masowego ataku.

CZYTAJ TAKŻE: Hakerzy włamali się do kliniki psychiatrycznej. Szokujący szantaż

Włamanie odkryła kilka dni temu firma FireEye, która zajmuje się cyberbezpieczeństwem. Głośno o nim stało się dopiero, gdy ucierpiały Departamenty Handlu i Skarbu USA. W grę wchodzi też m.in. Agencja Bezpieczeństwa Narodowego, Biuro Prezydenta Stanów Zjednoczonych, a nawet większość amerykańskich firm z listy Fortune 500.

Według dziennika „Washington Post” za atakami stoi grupa APT29, to grupa hakerów działających od co najmniej 2008 roku i powiązanych z rosyjskim rządem. Moskwa kategorycznie zaprzecza oskarżeniom. W oświadczeniu opublikowanym na Facebooku rosyjskie ministerstwo spraw zagranicznych określiło zarzuty jako kolejną nieuzasadnioną próbę obwiniania Rosji przez amerykańskie media za cyberataki.

Wiadomo już, że hakerzy włamywali się dzięki aktualizacji oprogramowania SolarWinds Orion. Używa je wiele agend rządowych oraz dużych firm do monitorowania i inwentaryzacji sieci. Jak podaje cberdefence24.pl, oprogramowanie dostarczone przez firmę SolarWinds jest też wykorzystywane przez polski rząd, np. MSWiA.

CZYTAJ TAKŻE: Rosyjscy hakerzy polują na szczepionkę na koronawirusa

Przestępcy wykorzystali uprawnienia administracyjne uzyskane w wyniku włamania do lokalnych systemów, by dostać się do kont administratora poszczególnych departamentów i firm. W ten sposób podszyli się pod uprzywilejowane profile i byli w stanie swobodnie poruszać się w sieci, podglądać maile i dokumenty. Metoda ta – często nazywana „atakiem na łańcuch dostaw” – polega na ukrywaniu złośliwego oprogramowania w treści legalnych aktualizacji dostarczanych celom hakerów przez współpracujące z nimi firmy.

W związku z atakiem hakerskim Microsoft rozpoczął przymusowe blokowanie oraz izolowanie wersji aplikacji SolarWindows Orion. Jednak feralna aktualizacja zainfekowana złośliwym oprogramowaniem wyszła w marcu tego roku. Specjaliści od cyberbezpieczeństwa wciąż starają się oszacować skalę szkód wyrządzonych przez włamanie.

Eksperci Microsoft nie są w stanie wyjaśnić, w jaki sposób hakerom udało się uzyskać dostęp do pakietów aktualizacyjnych. Według informacji agencji Reuters zabezpieczenia serwerów SolarWinds pozostawiały wiele do życzenia. Kilka lat temu anonimowi oferenci usiłowali sprzedać na forach hakerskich dostęp do serwerów firmy, twierdząc, że mają odpowiednie hasła. Jeden z hakerów oferujących hasła jest poszukiwany przez FBI za udział w „kilku głośnych incydentach”. Agencja cytuje też specjalistę od zabezpieczeń Vinotha Kumara, który ostrzegał w zeszłym roku firmę, że hakerzy są w stanie łatwo się dostać do serwera aktualizacji SolarWinds, używając hasła „solarwinds123”. Nie wiadomo, czy firma zareagowała na jego ostrzeżenia.

John Ullyot, rzecznik Rady Bezpieczeństwa Narodowego wydał specjalne oświadczenie, w którym informuje, że włamanie jest częścią większej kampanii wymierzonej we władze Stanów Zjednoczonych oraz interesy tego kraju. Zapewnił, że podjęto niezbędne kroki do usunięcia intruzów oraz zabezpieczenia sieci przed podobnymi atakami.