Zašto su ruski hakeri izazvali paniku u SAD

Vesti, 16.12.2020, 09:30 AM

Ista ruska vladina hakerska grupa koja je navodno odgovorna za hakovanje kompanije FireEye hakovala je i Ministarstvo finansija i trgovine i druge američke državne institucije, izvestio je Vašington Post. Grupa, poznata pod nazivima APT29 i Cozy Bear, odgovorna je za hakovanje američkog Stejt departmenta i Bele kuće tokom Obaminog mandata, navodi Post, a ovog leta APT29 je pokušala da ukrade podatke o istraživanju vakcine protiv COVID-19 u SAD, Velikoj Britaniji i Kanadi.

Kako je izvestio Rojters, pored hakovanja Ministarstva finansija i Nacionalne uprave za telekomunikacije i informisanje Ministarstva trgovine (NTIA), hakeri su možda upali i u druge američke državne institucije.

Američki zvaničnici smatrali su ovu situaciju dovoljno ozbiljnom da Savet za nacionalnu bezbednost u subotu održi hitan sastanak u Beloj kući.

Portparol saveta je rekao da je vlada „upoznata“ sa izveštajima, dodajući da „preduzimaju sve neophodne korake“ da poprave situaciju. Još nije jasno koje su informacije možda ukradene niti koja je strana vlada umešana u napade. Ali, „visokosofisticirani“ hakeri uspeli su da hakuju Microsoft Office softver NTIA, prevarivši autentifikacione kontrole i mesecima nadzirali elektronsku poštu zaposlenih.

Microsoft je objavio detalje o metodama koje su koristili hakeri. Microsoft kaže da su hakeri koji rade u ime neke države kompromitovali softver za nadzor i upravljanje Orion kompanije SolarWinds, što je napadačima obezbedilo uporište u ciljanim mrežama. Uljezi su tada mogli da se „lažno predstavljaju kao bilo koji od postojećih korisnika i naloga organizacije, uključujući privilegovane naloge“.

SolarWinds (SW) je softverska kompanija koja je osnovana 1999. godine. SW proizvodi alate za monitoring i upravljanje, a u ovom slučaju napad se vrti oko SW platforme Orion. Ova platforma se koristi za centralizovano nadgledanje tako da administratori i uprava mogu imati ažurirane informacije o učinku i problemima. Platforma Orion povezuje ogromne količine podataka, te stoga nudi ogromnu količinu informacija o kompaniji, njenoj tehnologiji i podacima. Zbog toga je pristup Orion platformi u bilo kojoj kompaniji strogo kontrolisan, a samo nekoliko administratora ima pristup podacima koji se prikupljaju i pregledavaju.

Napadači su kompromitovali mreže SolarWindsa, a zatim hakovali platformu koja se koristi za slanje ažuriranja korisnicima Orion platforme. Hakeri su ubacili svoj kod u jedno ili više ažuriranja koja su zatim distribuirana svim korisnicima Oriona.

Ovakav napad naziva se “napad na lanac snabdevanja”, jer nije reč o direktnim napadima na jednu ili više žrtava, već na jednu ili više platformi koje neka organizacija ili više njih koristi.

Rezultat napada u ovom slučaju je da su hiljade kompanija i institucija koje koriste Orion nesvesno preuzele kod napadača ažurirajući softver, što ih je učinilo ranjivim za dalje napade.

Ipak, prema tvrdnjama SolarWindsa, nisu svih 275000 organizacija širom sveta koje koriste SolarWinds pogođene napadom. Ipak, koliko je situacija dramatična govori i to što su korisnici ovog softvera skoro sve kompanije sa spiska 500 najmoćnijih kompanija u svetu.

I Microsoft i SolarWinds klijentima su stavili na raspolaganje kontramere koje pomažu u otkrivanju, zaštiti i reagovanju na pretnju.

Nekoliko američkih saveznih agencija, uključujući FBI, istražuje ove incidente.