Naruszone maile rządu USA dzięki wysoce wyrafinowanemu wieloetapowemu atakowi, który mógł zostać przeprowadzony na zlecenie obcego państwa
W ostatnich dniach przeprowadzono atak hakerski o absolutnej powadze wymierzony w rząd USA, który jest przekonany, że za operacją stoi państwo narodowe. Według ekspertów ds. cyberbezpieczeństwa, atak został przeprowadzony przez tę samą grupę, która zaatakowała również FireEye, a najbardziej prawdopodobną hipotezą jest to, że hakerzy byli w stanie "dostać się" poprzez wykorzystanie luki w zabezpieczeniach Microsoft Office 365.
Atak był tak poważny, że wymagał nadzwyczajnego spotkania Rady Bezpieczeństwa Narodowego w Białym Domu w sobotę, ponieważ cyberprzestępcy byli w stanie dostać się w ręce danych z Departamentów Skarbu i Handlu. W szczególności chodzi o e-maile pracowników obu ministerstw. Rzecznik Rady Bezpieczeństwa Narodowego John Ullyot powiedział agencji informacyjnej Reuters, że "podejmowane są wszelkie niezbędne kroki w celu zidentyfikowania i rozwiązania wszelkich problemów związanych z tą sytuacją". Atak i jego powaga zostały więc oficjalnie potwierdzone.
Jakie dane wykradli hakerzy
Wydaje się, że głównym celem ataku hakerskiego były e-maile pracowników Departamentu Skarbu i Handlu. W szczególności pracowników Krajowej Agencji Telekomunikacji i Informacji (NTIA), agencji wchodzącej w skład Departamentu Handlu i odpowiedzialnej za regulację telekomunikacji.
Według Reutersa, hakerzy byli w stanie złamać oprogramowanie używane przez pracowników NTIA, a mianowicie Microsoft Office 365, i monitorować e-maile agencji przez miesiące. Być może już latem. Microsoft nie wydał jeszcze oficjalnego oświadczenia w sprawie tego incydentu. Atak był możliwy również dzięki ingerencji w inny element oprogramowania, dostarczony przez SolarWinds.
Jak przeprowadzono atak
Prawdopodobnie mechanizmem, który umożliwił atak jest technika "Supply Chan": włamuje się do systemów dostawcy, aby osiągnąć ostateczny cel. Dostawcą w tym przypadku byłaby teksańska firma informatyczna SolarWinds, której klientami są m.in. rząd, wojsko i służby wywiadowcze.
SolarWinds potwierdziła, że aktualizacje jej oprogramowania monitorującego wydane między marcem a czerwcem tego roku mogły zostać zmodyfikowane w celu włączenia obcego kodu przez coś, co określiła jako "wysoce wyrafinowany, ukierunkowany, ręczny atak na łańcuch dostaw przeprowadzony przez państwo narodowe".
Czy to Rosjanie?
Rząd USA nie określił publicznie, kto mógł stać za atakiem, ale według pogłosek obecnie za najbardziej prawdopodobnego sprawcę uważa się Rosję. Uważa się, że atak ten jest powiązany z szeroką kampanią, która już wcześniej była wymierzona w FireEye, wiodącą amerykańską firmę zajmującą się cyberbezpieczeństwem, posiadającą kontrakty rządowe.
W oświadczeniu zamieszczonym tutaj na Facebooku rosyjskie MSZ określiło oskarżenia jako bezpodstawną próbę zrzucenia winy na Rosję przez amerykańskie media.