Kā Krievijas hakeri mēnešiem ilgi iefiltrējās ASV valdībā, nepamanīti

Valsts kases departaments Vašingtonā, DC.

Valsts kases departaments Vašingtonā, DC. *rboed* ASV Valsts kases departaments ir licencēts saskaņā ar CC BY 2.0





Tūkstošiem uzņēmumu un valdību sacenšas, lai noskaidrotu, vai tos nav skāruši Krievijas hakeri, kuri, kā ziņots, ir iefiltrējušies vairākās ASV valdības aģentūrās. Sākotnējais pārkāpums, ziņots 13. decembrī iekļāva Valsts kasi, kā arī Tirdzniecības un Iekšējās drošības departamentus. Taču hakeru izmantotās slepenās metodes nozīmē, ka var paiet mēneši, lai identificētu visus viņu upurus un noņemtu visu instalēto spiegprogrammatūru.

Lai veiktu pārkāpumu, hakeri vispirms ielauzās amerikāņu programmatūras uzņēmuma SolarWinds sistēmās. Tur viņi ievietoja aizmugurējās durvis Orionam, vienam no uzņēmuma produktiem, ko organizācijas izmanto, lai redzētu un pārvaldītu plašus iekšējos datoru tīklus. Vairākas nedēļas, sākot no marta, ikviens klients, kurš atjaunināja uz jaunāko Orion versiju, ko digitāli parakstījis SolarWinds un tādējādi šķietami likumīgs, neapzināti lejupielādēja apdraudēto programmatūru, ļaujot hakeriem iekļūt savās sistēmās.

SolarWinds ir aptuveni 300 000 klientu visā pasaulē, tostarp lielākā daļa Fortune 500 un daudzas valdības. Jaunā iesniegšana ar Vērtspapīru un biržu komisiju uzņēmums paziņoja, ka mazāk nekā 18 000 organizāciju jebkad ir lejupielādējušas apdraudēto atjauninājumu. (SolarWinds teica, ka vēl nav skaidrs, cik daudzas no šīm sistēmām faktiski tika uzlauztas.) Standarta kiberdrošības prakse ir atjaunināt savu programmatūru — tāpēc lielākā daļa SolarWinds klientu, ironiskā kārtā, tika aizsargāti, jo nebija ievērojuši šo ieteikumu.



Hakeri bija ārkārtīgi gudri un stratēģiski, saka Gregs Touhils, bijušais federālais informācijas drošības vadītājs. Pat tad, kad viņi bija iekļuvuši pa sētas durvīm Orionā, kas pazīstama kā Sunburst, viņi pārvietojās lēni un apzināti. Tā vietā, lai vienlaikus iefiltrētos daudzās sistēmās, kas varētu viegli radīt aizdomas, viņi koncentrējās uz nelielu atlasītu mērķu kopu, saskaņā ar Ziņot no apsardzes firmas FireEye.

Saskaņā ar ziņojumu Sunburst klusēja līdz pat divām nedēļām, pirms tas pamodās un sāka sazināties ar hakeriem. Ļaunprātīga programmatūra maskē savu tīkla trafiku kā Orion uzlabošanas programmu un glabā datus likumīgos failos, lai tie labāk saplūstu. Tā arī meklē drošības un pretvīrusu rīkus inficētajā datorā, lai no tiem izvairītos.

Lai vēl vairāk slēptu savas pēdas, hakeri rūpīgi izmantoja datorus un tīklus, lai sazinātos ar aizmugures durvīm noteiktā mērķa vietā tikai vienu reizi, kas ir līdzvērtīga rakstītāja tālruņa izmantošanai nelikumīgai sarunai. Viņi izmantoja ierobežotu ļaunprogrammatūru, jo to ir salīdzinoši viegli pamanīt; tā vietā, kad viņiem bija sākotnējā piekļuve pa aizmugurējām durvīm, viņi mēdza izvēlēties klusāku ceļu, izmantojot īstus nozagtus akreditācijas datus, lai iegūtu attālinātu piekļuvi upura iekārtām. Un ļaunprātīgā programmatūra, ko viņi izvietoja, neizmanto kodu atkārtoti, tāpēc spiegošanu bija grūtāk notvert, jo drošības programmas meklē kodu, kas tika parādīts iepriekšējos uzlaušanas gadījumos.



Mēneši neatklāti

Ielaušanās kampaņas pazīmes datētas ar martu, liecina Microsoft un FireEye drošības ziņojumi, kas atklāja saistītu pārkāpums no saviem tīkliem tikai pagājušajā nedēļā. Tas nozīmē, ka jebkurai organizācijai, kurai ir aizdomas, ka tā varētu būt bijusi mērķis, tagad ir jāizsijā vismaz 10 mēnešu sistēmas žurnāli, meklējot aizdomīgas darbības — šis uzdevums ir ārpus daudzu drošības komandu spēju.

Krievu hakeri, kas iejaucās 2016. gadā, tika pamanīti, mērķējot uz 2020. gada ASV vēlēšanām Krievija, Ķīna un Irāna pieķertas kiberspiegošanā saistībā ar sacensībām ASV prezidenta vēlēšanās.

Lai palīdzētu organizācijām noskaidrot, vai to sistēmas ir uzlauztas, FireEye un Microsoft ir publicējuši garu kompromitēšanas indikatoru sarakstu — kriminālistikas datus, kas varētu liecināt par ļaunprātīgu darbību. Rādītāji ietver pašu Sunburst klātbūtni, kā arī dažas IP adreses, kas identificē datorus un tīklus, kurus hakeri izmantoja, lai ar to sazinātos. Ja komanda savos tīkla žurnālos atrod kādu no šīm IP adresēm, tā ir patiesa sliktu ziņu pazīme. Bet, tā kā hakeri katru adresi izmantoja tikai vienu reizi, viņu neesamība negarantē drošību. Atklājums, ka viņi dzīvo tīklā, arī nenozīmē, ka ir viegli viņus veiksmīgi izlikt, jo viņi var pārmeklēt tīklu, lai atrastu jaunas slēptuves.

Aizdomās turētie hakeri ir no Krievijas SVR, valsts galvenās ārējās izlūkošanas aģentūras. Pazīstami kā Cozy Bear un APT29, viņi ir izveidojuši garu pārkāpumu sarakstu, tostarp uzlauzt Demokrātu nacionālās komitejas 2016. gadā. Krievija noliedz līdzdalību.



Tas viņiem ir devis iespēju piekļūt lielākajiem tīkliem, saka Touhils, kurš tagad ir drošas infrastruktūras uzņēmuma Appgate Federal Group prezidents. Viņiem ir iespēja tur sēdēt, izjaukt visu satiksmi, analizēt to. Mums ir jāpievērš īpaša uzmanība tam, ko vēl šie aktieri meklē? Kur vēl viņi var būt? Kur vēl viņi var slēpties? Ja viņiem ir piekļuve, viņi to nevar viegli atteikties.

paslēpties