211service.com
Atkopšanās no SolarWinds uzlaušanas var ilgt 18 mēnešus
Horhe Akala/Unsplash
Saskaņā ar aģentūras, kas vada Vašingtonas atveseļošanos, vadītājs, pilnībā atgūstoties no SolarWinds uzlaušanas, ASV valdībai prasīs no gada līdz pat 18 mēnešiem.
Datorurķēšanas kampaņa pret Amerikas valdības aģentūrām un lielākajiem uzņēmumiem pirmo reizi tika atklāta 2020. gada novembrī. Par mērķi tika vērstas vismaz deviņas federālās aģentūras, tostarp Iekšzemes drošības departaments un Valsts departaments. Uzbrucēji, kurus ASV amatpersonas uzskata par krieviem, izmantoja ASV programmatūras firmas SolarWinds ražoto produktu, lai uzlauztu valdības un korporatīvos mērķus.
Brendons Velss, ASV Kiberdrošības un infrastruktūras aģentūras CISA direktora pienākumu izpildītājs, saka, ka paies krietni līdz 2022. gadam, pirms amatpersonas pilnībā nodrošinās apdraudētos valdības tīklus. Pat pilnīga kaitējuma apmēra izpratne prasīs mēnešus.
Es to nesauktu par vienkāršu, saka Velsa. Reaģēšanai uz šo incidentu ir divas fāzes. Ir īstermiņa sanācijas pasākumi, kuru laikā mēs cenšamies noņemt pretinieku no tīkla, slēdzot viņu kontrolētos kontus un slēdzot ieejas punktus, kurus pretinieks izmantoja, lai piekļūtu tīkliem. Taču, ņemot vērā laiku, ko viņi atradās šajos tīklos — mēnešus —, stratēģiskā atveseļošanās prasīs laiku.
'Ņemot vērā laiku, ko viņi atradās šajos tīklos... stratēģiskā atveseļošanās prasīs laiku.'
Brendons Velss, CISA
Kad hakeriem ir izdevies tik pamatīgi un tik ilgi, atbilde dažkārt var būt pilnīga pārbūve no nulles. Hakeri centās graut uzticību mērķtiecīgiem tīkliem, nozagt identitāti un iegūt spēju uzdoties vai izveidot šķietami likumīgus lietotājus, lai brīvi piekļūtu upuru Microsoft 365 un Azure kontiem. Pārņemot kontroli pār uzticību un identitāti, hakerus kļūst daudz grūtāk izsekot.
Lielākajai daļai aģentūru, kas veiks šāda līmeņa pārbūvi, būs nepieciešami aptuveni 12 līdz 18 mēneši, lai pārliecinātos, ka tās ievieš atbilstošu aizsardzību, saka Velsa.
Amerikas izlūkošanas aģentūras ziņo, ka Krievijas hakeri pirmo reizi iefiltrējās 2019. gadā. Turpmākā izmeklēšana parādīja, ka hakeri sāka izmantot uzņēmuma produktus ļaunprātīgas programmatūras izplatīšanai līdz 2020. gada martam, un viņu pirmais veiksmīgais ASV federālās valdības pārkāpums notika vasaras sākumā. Tas ir ilgs laiks, lai paliktu nepamanīts — ilgāk, nekā daudzas organizācijas glabā tādus dārgus kriminālistikas žurnālus, kas jums nepieciešami, lai veiktu nepieciešamo izmeklēšanu, lai izjauktu hakerus.
SolarWinds Orion, tīkla pārvaldības produkts, kas bija paredzēts, tiek izmantots desmitiem tūkstošu korporāciju un valsts aģentūru. Vairāk nekā 17 000 organizāciju lejupielādēja inficētās sētas durvis. Hakeri bija ārkārtīgi slepeni un precīzi veica mērķauditorijas atlasi, tāpēc bija nepieciešams tik ilgs laiks, lai viņus notvertu, un tāpēc ir nepieciešams tik ilgs laiks, lai izprastu visu viņu ietekmi.
Grūtības atklāt kaitējuma apmēru pagājušajā nedēļā kongresa sēdē apkopoja Microsoft prezidents Breds Smits.
Kurš zina visu, kas šeit notika? viņš teica. Šobrīd uzbrucējs ir vienīgais, kurš zina visu, ko viņi izdarīja.
Apsardzes uzņēmuma FireEye izpilddirektors Kevins Mandija, kurš izvirzīja pirmos brīdinājumus par uzbrukumu, Kongresam sacīja, ka hakeri par prioritāti izvirzījuši slepenību.
Viņš teica, ka traucēšana būtu bijusi vieglāka par to, ko viņi darīja. Viņiem bija mērķtiecīga, disciplinēta datu zādzība. Vienkāršāk ir vienkārši izdzēst visu, kas gūts ar stulbu traumu, un redzēt, kas notiek. Viņi faktiski paveica vairāk darba, nekā būtu bijis nepieciešams, lai kļūtu destruktīvs.
'Šim ir sudraba odere'
CISA pirmo reizi uzzināja par problēmu, kad FireEye atklāja, ka tā ir uzlauzta, un paziņoja aģentūrai. Uzņēmums regulāri cieši sadarbojas ar ASV valdību, un, lai gan tai nebija juridiska pienākuma nevienam stāstīt par uzlaušanu, tas ātri dalījās ziņās par kompromisu ar sensitīviem korporatīvajiem tīkliem.
Tā bija Microsoft, kas paziņoja ASV valdībai, ka federālie tīkli ir apdraudēti. Uzņēmums dalījās ar šo informāciju ar Velsu 11. decembrī, viņš teica intervijā. Microsoft novēroja hakerus, kas ielaužas Microsoft 365 mākonī, ko izmanto daudzas valdības aģentūras. Dienu vēlāk FireEye informēja CISA par mazpazīstamā, bet ārkārtīgi plaši izplatītā un jaudīgā rīka SolarWinds aizmugurējām durvīm.
Tas liecināja, ka uzlaušanas mērogs varētu būt milzīgs. CISA izmeklētāji visu brīvdienu laikā strādāja, lai palīdzētu aģentūrām meklēt hakerus savos tīklos.
Šie centieni bija vēl sarežģītāki, jo Velsa tikai tikko bija pārņēmusi aģentūras vadību: dažas dienas iepriekš Donalds Tramps bija atlaidis bijušo direktoru Krisu Krebsu par vairākkārtēju Baltā nama dezinformācijas atmaskošanu par nozagtām vēlēšanām.
Saistīts stāsts
Pēc tam, kad Tramps atlaida CISA direktoru, aģentūra ir gatava kļūt vēl spēcīgāka Dramatiska atlaišana ar tvītu neko nedara, lai mainītu abu partiju atbalstu, padarot to par valsts vadošo kiberdrošības aģentūru.Lai gan virsraksti par Krebsa atlaišanu bija vērsti uz tūlītēju ietekmi uz vēlēšanu drošību, Velsai bija daudz vairāk.
Jaunais CISA atbildīgais cilvēks tagad saskaras ar to, ko viņš raksturo kā vissarežģītāko un izaicinošāko uzlaušanas incidentu, ar kuru aģentūra ir saskārusies.
Hack gandrīz noteikti paātrināt jau tā acīmredzamo CISA pieaugumu palielinot finansējumu, autoritāti un atbalstu.
CISA nesen tika piešķirtas likumīgas pilnvaras pastāvīgi meklēt kiberdraudus visā federālajā valdībā, taču Velsa saka, ka aģentūrai trūkst resursu un personāla, lai veiktu šo misiju. Viņš apgalvo, ka CISA ir arī jāspēj izvietot un pārvaldīt galapunktu noteikšanas sistēmas datoros visā federālajā valdībā, lai atklātu ļaunprātīgu rīcību. Visbeidzot, norādot uz faktu, ka hakeri brīvi pārvietojās visā Microsoft 365 mākonī, Velsa saka, ka CISA ir jācenšas panākt lielāku mākoņa vides redzamību, lai nākotnē atklātu kiberspiegošanu.
Pagājušajā gadā CISA atbalstītāji ir uzstājuši, lai tā kļūtu par valsts vadošo kiberdrošības aģentūru. Bezprecedenta kiberdrošības katastrofa var izrādīties tai nepieciešamais katalizators.
Tam ir sudraba odere, telefona sarunā sacīja Marks Montgomerijs, kurš bija Kibertelpas solārija komisijas izpilddirektors. Šī ir viena no nozīmīgākajām ļaunprātīgajām kiberdarbībām, kas jebkad veiktas pret ASV valdību. Stāsts turpinās pasliktināties vairākus mēnešus, jo tiks atklāta lielāka izpratne par notikušo. Tas palīdzēs jaunajai administrācijai koncentrēties uz šo jautājumu. Viņiem ir daudz prioritāšu, tāpēc kibernetikai būtu viegli pazust jucekli. Tagad tas nenotiks.