La doar câteva zile după ce compania de securitate cibernetică FireEye a fost victima hackerilor, compania SolarWinds, specializată în crearea de software-uri pentru infrastructura informațiilor tehnologice, nu a detectat la timp un atac de pe urma căruia au avut de suferit 18.000 de clienți.
Potrivit primelor rezultate ale investigațiilor Microsoft, hackerii s-au folosit de un serviciu care furniza actualizări pentru platforma SolarWinds, Orion, care deține produsele necesare atât eficientizării activităților desfășurate de firmele Fortune 500 (care se ocupă de monitorizarea rețelelor IT), cât și consolidării securității cibernetice a guvernului federal american.
În Statele Unite ale Americii, hackerii au produs daune în rândul a peste 425 de companii de top care au legătură cu Fortune 500. Câteva dintre țintele hackerilor au fost de elită: primele zece companii de telecomunicații, cinci firme de contabilitate și cele cinci segmente militare ale țării, potrivit Krebs on Security. Lista SolarWinds însumează 300.000 de clienți, printre care se numără și agenții guvernamentale din Marea Britanie, ceea ce arată că hackerii au lovit în destul de puțini clienți ai SolarWinds, doar că nu trebuie ignorat un aspect: s-au orientat către cele mai prețioase ținte.
Anchetatorii sunt de părere că atacul a vizat guvernul SUA, dar acesta nu a fost lovit direct dintr-un singur motiv: funcția de actualizare automată a sistemelor digitale guvernamentale era incorporată în serviciul Orion al SolarWinds și avea o mai mare vulnerabilitate.
Hackerii au căpătat acces la emailurile care circulau prin intranetul companiilor. Cum au reușit? Au lansat o actualizare falsă a software-ului prin intermediul Orion.
PRINCIPALUL SUSPECT: RUSIA
Atacurile asupra FireEye și SolarWinds sunt puse pe seama hackerilor ruși. Printre emailurile la care hackerii au avut acces se numără cele din cadrul Trezoreriei SUA și Departamentului de Comerț. Specialiștii cataloghează atacurile drept „extrem de sofisticate”, motiv pentru care le pun pe seama unui stat (făcând referire direct sau subtil la Rusia) și nu pe seama unei companii sau cu atât mai puțin pe seama unor persoane fizice.
Consiliul Național de Securitate s-a reunit de urgență la Casa Albă în urma atacului comis asupra FireEye. Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și FBI-ul s-au mobilizat pentru a găsi cât mai repede răspunsuri plauzibile referitoare la acest subiect „pentru a coordona o recuperare rapidă și eficientă a întregului material și un răspuns la recenta infiltrare”.
Reacțiile nu au întârziat să apară din partea Ministerului de Externe al Rusiei, care consideră că acuzele sunt nefondate și reprezintă „o altă încercare a presei americane de a învinui Rusia pentru atacuri cibernetice împotriva agențiilor americane”. Mesajul a fost transmis prin intermediul unei rețele sociale americane: gigantul Facebook. Postarea bilingvă poate fi consultată aici: https://www.facebook.com/RusEmbUSA/posts/1488755328001519
Dar mesajul ministerului omite ceva: nu doar SUA a acuzat Moscova în ultima vreme. La începutul acestui an tulbure, Canada și Marea Britanie au atras atenția asupra unui grup rus de hacking, care își desfășoară activitățile necurate în mediul online sub denumirea de Cozy Bear sau APT 29.
Cum anul 2020 este anul coronavirusului, SUA, Marea Britanie și Canada au susținut că agențiile de spionaj FSB și SVR acționează prin intermediul Cozy Bear pentru a fura formula magică a vaccinului despre care se spune că va pune capăt pandemiei.
REACȚIA RUSIEI
Aceasta nu s-a rezumat la câteva cuvinte transmise prin intermediul rețelei lui Zuckerberg – care în ultima vreme servește drept exemplu referitor la gravitatea reprezentată de monopolul pe care giganții tehnologici se străduiesc să și-l sporească și consolideze, dar aceasta e altă discuție.
Pe site-ul oficial al instituției prezidențiale ruse (kremlin.ru / President of Russia) a fost postat un mesaj care începe astfel: „Una dintre provocările strategice majore de astăzi este riscul unei confruntări pe scară largă în domeniul digital.”
Administrația Putin își manifestă disponibilitatea de a colabora cu guvernul SUA cu scopul de a crea „un program cuprinzător de măsuri practice pentru a reporni relațiile în domeniul securității în utilizarea tehnologiilor informației și comunicațiilor.”
Mesajul integral care include patru puncte considerate de Moscova utile în această privință poate fi citit în limba engleză aici: http://en.kremlin.ru/events/president/news/64086
DESPRE COZY BEAR:
Kaspersky Lab (firmă specializată în domeniul securității cibernetice) descrie grupul de hackeri astfel: „atacator precis”. Țintele acestei entități digitale obscure nu se află doar pe teritoriul SUA și nu sunt doar organizații guvernamentale, ci și entități comerciale din Germania, Coreea de Sud și Uzbekistan.
Probabil că mulți cititori au citit despre ei de-a lungul timpului, fără să știe despre cine este vorba, întrucât nu întotdeauna sunt numiți astfel în presă sau în online, Cozy Bear ascunzându-se uneori sub denumirile Office Monkeys, CozyCar, The Dukes și CozyDuke.
Casa Albă și Departamentul de Stat al SUA au avut probleme din cauza Cozy Bear în anul 2014. Autoritățile s-au mobilizat pentru a tăia tentaculele pe care hackerii le întinseseră pe neașteptate pentru a testa terenul, nu pentru a da marea lovitură, pentru că s-au atins doar de corespondența neclasificată de pe email. (Totuși, atunci eforturile autorităților de remediere a problemelor s-au întins pe trei luni – rămâne de văzut cât va durat acum, când lucrurile sunt mult mai serioase.)
În 2015, Cozy Bear și-a făcut din nou apariția, dar cu mai mare îndrăzneală, atingându-se de sistemul Pentagonului și reușind să afecteze desfășurarea activității a aproximativ 4.000 de cadre militare și civili care furnizau servicii necesare șefilor de stat major. În același an, Comitetul Național Democrat (DNC) nu a fost îndeajuns de vigilent încât să nu permită Cozy Bear să extragă parole și „informații sensibile”, potrivit The Guardian.
În 2016, când a fost ales președinte al SUA omul de afaceri Donald Trump (care a luat măsuri pentru a exclude posibilitatea unor scurgeri de informații care ar fi putut afecta securitatea națională, dovadă ordinele emise împotriva TikTok și condițiile puse companiei chineze ByteDance) Cozy Bear a trimis nenumărate emailuri stranii persoanelor care ocupau „funcțiile cheie în domenii precum securitatea națională, apărarea, afacerile internaționale, politicile publice și studiile europene și asiatice”, după cum notează The Guardian.
Anul acesta, așa cum am spus și mai sus, Cozy Bear și-a făcut din nou simțită prezența, într-un caz care implica unul dintre cele mai discutate subiecte ale anului: vaccinul împotriva Covid-19.
Acuzațiile au venit din partea Agenției Naționale de Securitate (NSA), Centrului Național de Contrainformații și Securitate (NCSC) și Centrului Canadian pentru Securitate Cibernetică (CSE).
Centrul Național de Securitate Cibernetică (NCSC) a spus că „aproape sigur” este amenințat de către Kremlin, doar că grupul de hackeri invocat de acesta a fost APT29.
Dominic Raab, secretarul de externe al Marii Britanii, a declarat că este „complet inacceptabil” ca Rusia să se amestece în felul ăsta în năruirea eforturilor de descoperire a unui vaccin: „În timp ce alții își urmăresc interesele egoiste cu un comportament nesăbuit, Marea Britanie și aliații săi continuă munca grea de a găsi un vaccin și de a proteja sănătatea globală”, a spus Raab. „Marea Britanie va continua să îi contracareze pe cei care efectuează astfel de atacuri cibernetice și să colaboreze cu aliații noștri pentru a trage la răspundere făptașii”, a adăugat secretarul de externe.
Dmitri Peskov, purtătorul de cuvânt al lui Vladimir Putin, a spus: „Nu avem informații despre cine ar fi putut pirata companiile farmaceutice și centrele de cercetare din Regatul Unit. Putem spune doar că Rusia nu are nimic de-a face cu aceste încercări.”
ATACUL ASUPRA SOLARWINDS
Potrivit Reuters, FireEye (compania care a căzut de curând victima atacatorilor cibernetici, deși este considerată una dintre cele mai mari companii de securitate din lume) ar avea dovezi cum că acest atac asupra SolarWinds a fost motivat de nevoia hackerilor de a accesa computere Departamentului pentru Securitate Internă (DHS) al SUA.
Agențiile federale au primit o directivă de urgență din partea Agenției DHS pentru a se deconecta de la orice produs Orion afectat.
IMPLICAREA MICROSOFT
În urmă cu două zile, pe data de 14 decembrie, gigantul software Microsoft a achiziționat domeniul avsvmcloud [.] Com care poate fi utilizat pentru accesarea sistemelor compromise de actualizările produsului Orion.
În trecut, Microsoft a mai colaborat cu anchetatorii federali pentru a găsi răspunsuri și rezolvări la probleme care implicau domeniul securității cibernetice. De această dată, Microsoft se numără printre companiile din partea cărora se așteaptă primele concluzii și dovezi.
James Lewis, vicepreședintele senior al Centrului pentru Studii Strategice și Internaționale, a spus: „Procesele vin și sper că vor avea un avocat bun. Acum că guvernul le spune oamenilor să oprească software-ul [SolarWinds], întrebarea este: Cine o să îl repornească?”
