Torek, 27. 2. 2024, 22.59
8 mesecev, 2 tedna
Zavezništvo Pet oči svari pred novo grožnjo iz Rusije
APT29 oziroma Cozy Bear, zloglasna kibernetska združba, ki je leta 2020 izvedla enega najodmevnejših hekerskih vdorov vseh časov in ki je po prepričanju večine zahodnih obveščevalcev neločljivo povezana z rusko zunanjo obveščevalno službo (SVR), naslednje napade na cilje v Evropi, ZDA in Aziji pripravlja z novo strategijo, na katero njihove potencialne tarče morda še niso pripravljene, je posvarilo zavezništvo Pet oči, ki ga sestavljajo obveščevalne službe v Veliki Britaniji, ZDA, Kanadi, Avstraliji in Novi Zelandiji.
Dejstvo, da vse več institucij, organizacij in podjetij svojo računalniško in omrežno infrastrukturo seli v oblak, hekerjem predstavlja velik izziv, saj se je s tem konkretno zmanjšalo število potencialnih vektorjev napada, ki bi jih lahko izkoristili za vdor v sistem izbrane tarče. Nezakrpana varnostna luknja v kritično pomembni programski opremi, ki bi jo predhodno lahko izkoristili za pridobitev dostopa do omrežja, tako postane manj uporabna.
Toda hekerska organizacija Cozy Bear, v svetu internetne varnosti znana tudi kot stalno prisotna grožnja APT29, je dokaz, da se zlonamerne kibernetske združbe prilagajajo na spremembe moderniziranja računalniških in omrežnih sistemov s selitvijo v oblak.
Cozy Bear oziroma APT29, ki po prepričanju predvsem zahodnih obveščevalcev izpolnjuje ukaze SVR, ruske zunanje varnostne službe, oziroma je celo del nje, je našel obvod in v zadnjem letu začel napadati ponudnike storitev računalništva v oblaku, so ta teden sporočili posamezni člani zavezništva Pet oči, med katerimi so tudi CIA, FBI, NSA, MI6 in GCHQ, britanski Nacionalni center za kibernetsko varnost (NCSC) ter Zvezna agencija ZDA za kibernetsko varnost in infrastrukturo (CISA).
Zavezništvo Pet oči je združenje osrednjih obveščevalnih služb Avstralije, Nove Zelandije, Kanade, ZDA in Velike Britanije.
V izdanih opozorilih so organizacije s področja kibernetske varnosti s hekerskimi napadi na oblačno infrastrukturo, ki so jih zaznale v zadnjih dvanajstih mesecih, neposredno povezale rusko SVR.
"SVR se je prilagodila na spremembe v načinu delovanja sodobnih institucij, kar zadeva računalniška omrežja. Morali so se distancirati od svojih tradicionalnih metod, kot sta bila izkoriščanje ranljivosti v programski opremi in lokalnih omrežjih, ter namesto tega začeti neposredno napadati oblačne storitve," so zapisali v agenciji CISA.
Poskušajo tako dolgo, dokler jih ne zlomijo
Hekerji, povezani z APT29, dostop do oblačnih storitev izbranih tarč zdaj pridobivajo s krajo podatkov za prijavo v uporabniške račune v oblaku. Gesla pridobijo predvsem na dva načina, s tako imenovanim napadom s surovo močjo ("brute force"), pri katerem preprosto preizkusijo vse mogoče kombinacije znakov, in tako imenovanim razprševanjem gesel, kar pomeni poskus prijave z istim geslom v več uporabniških računov, preden preizkusijo drugega.
Hekerji zlorabljajo tudi predhodno mirujoče uporabniške račune, ki niso bili nikoli odstranjeni po tem, ko je njihov prvotni lastnik zapustil organizacijo ali podjetje. Ko pridobijo dostop do oblaka, hekerji uporabijo napredna orodja, ki jim omogočijo, da pridobijo dostop do uporabniškega računa kateregakoli uporabnika, ki je registriran v omrežju.
APT29 je v ozadju enega najodmevnejših hekerskih napadov vseh časov
Decembra 2020 je je odjeknila vest, da so imeli z rusko vlado povezani hekerji več mesecev na široko odprta vrata do računalniških sistemov nekaj tisoč ameriških podjetij in predvsem najpomembnejših vladnih organizacij. Vanje so se prebili prek ranljivosti v programski opremi za nadzor in upravljanje informacijskih omrežij Orion, ki jo je razvilo ameriško podjetje SolarWinds.
Programska oprema podjetja SolarWinds je bila globoko zakoreninjena v ameriško zvezno vlado. Ob spodaj naštetih potrjenih žrtvah jo je namreč uporabljalo tudi pravosodno ministrstvo ZDA, ministrstvo za obrambo ZDA, tajna služba ZDA in vseh šest vej ameriških oboroženih sil (vojska, marinci, mornarica, letalstvo, obalna straža in po novem še vesoljska veja Space Force).
Šlo je za pomembno stvar, saj je imel SolarWinds takrat 330 tisoč korporativnih in institucionalnih strank, vse od multinacionalk, med katerimi je bilo 425 od 500 velikih podjetij, ki sestavljajo borzni indeks S&P 500, do vladnih entitet, kot so ameriška ministrstva, Pentagon, Nasa in Bela hiša.
Tarče hekerskega vdora so bile potrjeno nekatere najpomembnejše ameriške vladne institucije, med drugim notranje ministrstvo ZDA, ministrstvo za finance, ministrstvo za trgovino in urad za domovinsko varnost ZDA. Programsko opremo podjetja SolarWinds so v času napada uporabljali tudi v britanski vladi in na sedežu zveze Nato.
Vse ameriške obveščevalne službe so med preiskavo dogodka izrazile prepričanje, da je v ozadju hekerskega vdora prek programske opreme Orion najverjetneje Rusija. Christopher Wray, prvi človek preiskovalnega urada FBI, je junija 2021 odgovornost za napad pripisal ruski zunanji obveščevalni službi (SVR). Kaj vse so videli in kaj "odnesli" hekerji, sicer še vedno ni znano. Rusija je vpletenost v dogodek zanikala.
Tarče bodo v Evropi, ZDA in Aziji
Kot so opozorili strokovnjaki za kibernetsko varnost in člani zavezništva Pet oči, naj bi bilo v zadnjem letu na opisane načine izvedenih že več tovrstnih napadov.
Ruska kibernetska vojska je ob invaziji na Ukrajino februarja 2022 pokazala takojšno podporo ruskim oboroženim silam na terenu, saj so napadli ukrajinska vladna omrežja, telekomunikacijske storitve in kritično infrastrukturo. Veljalo je tudi obratno: tarča ene od prvih izstreljenih ruskih balističnih raket je bil ukrajinski vladni podatkovni center.
Verjetno najodmevnejšega je januarja letos razkril ameriški računalniški velikan Microsoft, ki je opisal (vir), kako so hekerji, povezani s SVR – Microsoft skupino Cozy Bear oziroma APT29 imenuje z lastnim vzdevkom Midnight Blizzard – vdrli v oblačne uporabniške račune Exchange Online nekaterih članov Microsoftovega menedžmenta in dostopali do njihovih e-poštnih sporočil, na enak način pa so napadli tudi račune Exchange Online drugih organizacij.
Zavezništvo Pet oči institucije, organizacije in podjetja v Evropi, ZDA in Aziji, predvsem pa osebe, ki skrbijo za njihovo kibernetsko varnost, poziva, da mora biti zaščita pred opisanimi metodami hekerskih združb, ki delujejo pod okriljem Kremlja, na vrhu njihovih seznamov prioritet.
Svetujejo jim tudi, naj – kjerkoli je to mogoče – uporabljajo večstopenjsko potrjevanje identitete, torej ne zgolj z uporabniškim imenom in geslom, temveč še z dodatnim ključem, ki je lahko šifra, prejeta prek sporočila SMS ali namenske aplikacije za potrjevanje identitete, kot sta Google Authenticator ali Microsoft Authenticator.