Pe masura ce creste intelegerea hackingului rusesc, creste si alarma

Interdictiile legale impuse Agentiei Nationale de Securitate il impiedica sa supravegheze retelele din Statele Unite … Credit: TJ Kirkpatrick pentru The New York Times

In ziua alegerilor, generalul Paul M. Nakasone, principalul razboinic cibernetic al natiunii, a raportat ca batalia impotriva interferentei rusesti in campania prezidentiala a inregistrat succese majore si a expus armele, instrumentele si instrumentele comerciale online ale celeilalte parti.

„Ne-am extins operatiunile si ne simtim foarte bine acolo unde ne aflam acum”, a spus el jurnalistilor.

Opt saptamani mai tarziu, generalul Nakasone si alti oficiali americani responsabili cu securitatea cibernetica sunt acum consumati de ceea ce au ratat timp de cel putin noua luni: un hacking, despre care se crede ca a afectat peste 250 de agentii si companii federale, ca Rusia nu a urmarit sistemul electoral. dar in restul guvernului Statelor Unite si al multor mari corporatii americane.

La trei saptamani dupa intrarea la iveala, oficialii americani inca incearca sa inteleaga daca ceea ce au reusit rusii a fost pur si simplu o operatiune de spionaj in sistemele birocratiei americane sau ceva mai sinistru, introducand accesul „din spate” in agentiile guvernamentale, in corporatiile majore , reteaua electrica si laboratoarele care dezvolta si transporta noi generatii de arme nucleare.

Cel putin, a declansat alarme cu privire la vulnerabilitatea retelelor guvernamentale si a sectorului privat din Statele Unite pentru a ataca si a ridicat intrebari cu privire la modul si motivul pentru care ciberdefensele nationale au esuat atat de spectaculos.

Aceste intrebari au luat o urgenta deosebita, avand in vedere ca incalcarea nu a fost detectata de niciuna dintre agentiile guvernamentale care impartasesc responsabilitatea pentru apararea cibernetica – Comandamentul cibernetic al armatei si Agentia de securitate nationala, ambele fiind conduse de generalul Nakasone si de Departamentul de Patrie Securitate – dar de catre o companie privata de securitate cibernetica, FireEye.

„Arata mult, mult mai rau decat ma temeam pentru prima data”, a declarat senatorul Mark Warner, democrat din Virginia si membru de rang inalt al Comitetului de informatii al Senatului. „Dimensiunea acestuia continua sa se extinda. Este clar ca guvernul Statelor Unite a ratat-o. ”

„Si daca FireEye nu s-ar fi prezentat”, a adaugat el, „nu sunt sigur ca vom fi pe deplin constienti de acest lucru pana in ziua de azi”.

Interviurile cu jucatori cheie care investigau ce agentii de informatii cred ca sunt o operatiune ale serviciului de informatii SVR din Rusia au dezvaluit aceste puncte:

• Incalcarea este mult mai larga decat se credea pentru prima data. Estimarile initiale au fost ca Rusia si-a trimis sondele doar in cateva zeci din cele 18.000 de retele guvernamentale si private la care au obtinut acces atunci cand au introdus cod in software-ul de gestionare a retelei realizat de o companie din Texas numita SolarWinds. Dar, pe masura ce companii precum Amazon si Microsoft, care ofera servicii cloud, adancesc dovezile, se pare ca Rusia a exploatat mai multe straturi ale lantului de aprovizionare pentru a avea acces la 250 de retele.

• Hackerii si-au gestionat intruziunea de pe serverele din interiorul Statelor Unite, exploatand interdictiile legale impuse de Agentia Nationala de Securitate de a se angaja in supravegherea interna si de a eluda apararile cibernetice desfasurate de Departamentul pentru Securitate Interna.

• Senzorii de „avertizare timpurie” plasati de Cyber ​​Command si de Agentia Nationala de Securitate adanc in interiorul retelelor straine pentru a detecta atacurile de fabricare a berii au esuat in mod clar. De asemenea, nu exista inca nicio indicatie ca orice inteligenta umana a alertat Statele Unite cu privire la hacking.

• Accentul guvernului pus pe apararea alegerilor, desi critic in 2020, ar putea sa fi distrus resursele si atentia de la problemele de productie indelungata, cum ar fi protejarea „lantului de aprovizionare” al software-ului. Si in sectorul privat, companiile axate pe securitatea alegerilor, cum ar fi FireEye si Microsoft, dezvaluie acum ca au fost incalcate ca parte a atacului mai mare al lantului de aprovizionare.

• SolarWinds, compania pe care hackerii au folosit-o ca conducta pentru atacurile lor, avea o istorie de securitate lipsita de lumina pentru produsele sale, facandu-l o tinta usoara, potrivit angajatilor actuali si fosti si anchetatorilor guvernamentali. Directorul executiv al acestuia, Kevin B. Thompson, care isi paraseste slujba dupa 11 ani, a ignorat intrebarea daca compania sa ar fi trebuit sa detecteze intruziunea.

• Unele dintre software-urile SolarWinds compromise au fost proiectate in Europa de Est, iar anchetatorii americani examineaza acum daca incursiunea a aparut acolo, unde agentii de informatii rusi sunt adanc inradacinati.

Intentiile din spatele atacului raman invaluite. Dar cu o noua administratie care intra in functie in trei saptamani, unii analisti spun ca este posibil ca rusii sa incerce sa scuture increderea Washingtonului in securitatea comunicatiilor sale si sa-si demonstreze ciberarsenalul pentru a castiga parghie impotriva presedintelui ales Joseph R. Biden Jr. .

Departamentul Comertului, Departamentul Trezoreriei, Departamentul de Stat, Departamentul Energie si parti ale Pentagonului au fost tinte ale incalcarii … Alyssa Schukar pentru The New York Times

Lista de hituri in crestere

Guvernul SUA a fost in mod clar principalul focar al atacului, cu Departamentul Trezoreriei, Departamentul de Stat, Departamentul Comert, Departamentul Energie si parti ale Pentagonului printre agentiile confirmate ca au fost infiltrate. (Departamentul Apararii insista ca atacurile asupra sistemelor sale nu au avut succes, desi nu a oferit nicio dovada.)

Dar hacking-ul a incalcat si un numar mare de corporatii, dintre care multe nu au facut inca un pas inainte. SolarWinds este considerat a fi unul dintre mai multi furnizori de lanturi de aprovizionare utilizate de Rusia in hacking. Microsoft, care a inregistrat 40 de victime incepand cu 17 decembrie, a spus initial ca nu a fost incalcata, doar pentru a descoperi saptamana aceasta ca a fost – si ca au fost si revanzatorii de software. O evaluare nedeclarata anterior de echipa de informatii Amazon a constatat ca numarul victimelor ar fi putut fi de cinci ori mai mare, desi oficialii avertizeaza ca unele dintre acestea ar putea fi numarate dublu.

Public, oficialii au spus ca nu cred ca hackerii din SVR din Rusia au strapuns sisteme clasificate care contin planuri si comunicatii sensibile. Dar, pe plan privat, oficialii spun ca inca nu au o imagine clara a ceea ce ar fi putut fi furat.

Acestia au spus ca sunt ingrijorati de datele delicate, dar neclasificate, pe care hackerii le-ar fi putut lua de la victime, cum ar fi Comisia Federala de Reglementare in Energie, inclusiv Black Start, planurile tehnice detaliate pentru modul in care Statele Unite intentioneaza sa restabileasca energia in caz de intrerupere cataclismica.

Planurile ar oferi Rusiei o lista de sisteme de tinte pentru a impiedica refacerea puterii intr-un atac precum cel pe care l-a retras in Ucraina in 2015, oprind alimentarea timp de sase ore in toiul iernii. Moscova a implantat demult malware in reteaua electrica americana, iar Statele Unite au facut acelasi lucru cu Rusia ca un factor de descurajare.

Un lant de aprovizionare compromis

Unul dintre obiectivele principale ale anchetei de pana acum a fost SolarWinds, compania cu sediul in Austin, al carei software actualizeaza hackerii compromis.

Dar bratul securitatii cibernetice al Departamentului pentru Securitate Interna a concluzionat ca hackerii au lucrat si prin alte canale. Si saptamana trecuta, CrowdStrike, o alta companie de securitate, a dezvaluit ca a fost vizata, fara succes, de aceiasi hackeri, dar printr-o companie care revinde software-ul Microsoft.

Deoarece revanzatorii sunt adesea incredintati sa configureze software-ul clientilor, acestia – la fel ca SolarWinds – au acces larg la retelele clientilor Microsoft. www.livebinders.com Drept urmare, pot fi un cal troian ideal pentru hackerii din Rusia. Oficialii serviciilor de informatii si-au exprimat furia ca Microsoft nu a detectat atacul mai devreme; compania, care a declarat joi ca hackerii i-au vizualizat codul sursa, nu a dezvaluit care dintre produsele sale au fost afectate sau pentru cat timp au fost hackeri in reteaua sa.

„Au vizat cele mai slabe puncte din lantul de aprovizionare si prin relatiile noastre cele mai de incredere”, a declarat Glenn Chisholm, fondatorul Obsidian Security.

SolarWinds, compania cea mai direct exploatata de hackeri, a avut o istorie de securitate lipsita de lumina pentru propriile sale produse, facandu-l o tinta usoara, potrivit angajatilor sai. Credite ..

• monopoly
• leonardo da vinci
• porofessor
• millie bobby brown
• thor
• programul
• straja live
• sfatul parintilor
• cocolix
• blat de tort
• fantezii
• kamikaze
• videnov
• jooble
• micul dejun
• rpg2
• uefa champions league
• motocoasa
• webex
• cotele dunarii

. Sergio Flores / Reuters

Interviurile cu angajatii actuali si fosti ai SolarWinds sugereaza ca a fost lent sa facem din securitate o prioritate, chiar daca software-ul sau a fost adoptat de prima companie americana de securitate cibernetica si de agentiile federale.

Angajatii spun ca sub domnul Thompson, contabil prin pregatire si fost director financiar, fiecare parte a afacerii a fost examinata pentru a economisi costuri si practicile comune de securitate au fost evitate din cauza cheltuielilor lor. Abordarea sa a ajutat aproape sa tripleze marjele de profit anuale ale SolarWinds la peste 453 milioane dolari in 2019 de la 152 milioane dolari in 2010.

Dar unele dintre aceste masuri ar fi putut pune compania si clientii sai intr-un risc mai mare de atac. SolarWinds si-a mutat o mare parte din ingineria sa in birouri prin satelit din Republica Ceha, Polonia si Belarus, unde inginerii au avut acces larg la software-ul de gestionare a retelei Orion pe care agentii rusi l-au compromis.

Compania a spus doar ca manipularea software-ului sau a fost mai degraba opera hackerilor umani decat a unui program de computer. Nu a abordat in mod public posibilitatea ca o persoana din interior sa fie implicata in incalcare.

Niciunul dintre clientii SolarWinds contactati de The New York Times in ultimele saptamani nu stia ca depind de software-ul care a fost intretinut in Europa de Est. Multi au spus ca nici macar nu stiau ca folosesc software-ul SolarWinds pana de curand.

Chiar si cu software-ul instalat in retelele federale, angajatii au declarat ca SolarWinds a abordat securitatea abia in 2017, sub amenintarea cu sanctiuni din partea unei noi legi europene privind confidentialitatea. Numai atunci, spun angajatii, SolarWinds si-a angajat primul ofiter sef de informatii si a instalat un vicepresedinte al „arhitecturii de securitate”.

Ian Thornton-Trump, fost consilier pentru securitate cibernetica la SolarWinds, a declarat ca a avertizat conducerea in acel an ca, daca nu va adopta o abordare mai proactiva a securitatii sale interne, un episod de securitate cibernetica va fi „catastrofal”. Dupa ce recomandarile sale de baza au fost ignorate, domnul Thornton-Trump a parasit compania.

SolarWinds a refuzat sa abordeze intrebari cu privire la adecvarea securitatii sale. Intr-o declaratie, a spus ca a fost „victima unui atac cibernetic extrem de sofisticat, complex si tintit” si a colaborat indeaproape cu fortele de ordine, agentiile de informatii si expertii in securitate pentru a investiga.

Dar expertii in securitate observa ca a trecut cateva zile dupa ce atacul rus a fost descoperit inainte ca site-urile web ale SolarWinds sa nu mai ofere clientilor cod compromis.

Ofensa peste aparare

Milioane de dolari in bugetele de securitate cibernetica au curs in ultimii ani catre programe ofensive de spionaj si actiune preventiva, ceea ce generalul Nakasone numeste necesitatea de a „apara inainte” prin piratarea retelelor adversarilor pentru a arunca o privire timpurie asupra operatiunilor lor si pentru a le contracara in propriile retele, inainte de a putea ataca, daca este necesar.

Generalul Paul M. Nakasone conduce atat Agentia Nationala de Securitate, cat si Comandamentul Cibernetic al armatei … Credit: TJ Kirkpatrick pentru The New York Times

Prin organizarea atacurilor de pe servere din interiorul Statelor Unite, in unele cazuri folosind computere din acelasi oras sau oras ca si victimele lor, potrivit FireEye, rusii au profitat de limitele autoritatii Agentiei Nationale de Securitate. Congresul nu a acordat agentiei sau securitatii interne nicio autoritate pentru a intra sau apara retele din sectorul privat. In aceste retele, agentii SVR au fost mai putin atenti, lasand indicii despre intruziunile lor pe care FireEye le-a putut gasi in cele din urma.

Prin introducerea lor in actualizarea Orion a SolarWinds si utilizarea instrumentelor personalizate, au evitat, de asemenea, declansarea alarmelor sistemului de detectare „Einstein” pe care securitatea interna l-a desfasurat in cadrul agentiilor guvernamentale pentru a prinde malware cunoscut si asa-numitul program CDM care a fost conceput in mod explicit pentru a alerta agentiile cu privire la activitatea suspecta.

Unii oficiali ai serviciilor de informatii se intreaba daca guvernul a fost atat de concentrat pe interferentele electorale incat a creat deschideri in alta parte.

Agentiile de informatii au concluzionat in urma cu cateva luni ca Rusia a stabilit ca nu se poate infiltra in sisteme electorale suficiente pentru a afecta rezultatul alegerilor si, in schimb, si-a indreptat atentia spre devierea atacurilor de tip ransomware care ar putea sa-i priveasca pe votanti si sa influenteze operatiunile care vizeaza semanarea discordiei, provocand indoieli cu privire la sistemul integritate si schimbarea mintii alegatorilor.

Concentrarea pe apararea alegerilor, desi critica in 2020, ar putea sa fi distrus atat resursele, cat si atentia de la alte probleme de lunga durata. Credite … Lauren Justice pentru The New York Times

Hartuirea SolarWinds, care a inceput inca din octombrie 2019 si intrarea in revanzatorii Microsoft, au dat Rusiei sansa de a ataca cele mai vulnerabile si mai putin aparate retele din mai multe agentii federale.

Generalul Nakasone a refuzat sa fie intervievat. Dar un purtator de cuvant al Agentiei Nationale de Securitate, Charles K. Stadtlander, a declarat: „Nu consideram acest lucru ca un compromis„ fie / fie ”. Actiunile, perspectivele si noile cadre construite in timpul eforturilor de securitate electorala au un impact pozitiv larg asupra pozitiei de securitate cibernetica a natiunii si a guvernului SUA. ”

De fapt, Statele Unite par sa fi reusit sa convinga Rusia ca un atac care vizeaza schimbarea voturilor ar determina o represalii costisitoare. Dar, pe masura ce amploarea intruziunii se concentreaza, este clar ca guvernul american nu a reusit sa convinga Rusia ca ar exista o consecinta comparabila cu executarea unui hacking larg pe guvernul federal si retelele corporative.

Indepartarea hackerilor

Oficialii serviciilor de informatii spun ca ar putea trece luni, ani chiar, pana cand vor intelege complet hacking-ul.

De la extragerea unui informator de top de la Kremlin in 2017, cunostintele CIA despre operatiunile rusesti au fost diminuate. Si SVR a ramas unul dintre cele mai capabile servicii de informatii din lume, evitand comunicatiile electronice care ar putea expune secretele sale Agentiei Nationale de Securitate, spun oficialii de informatii.

Cele mai bune evaluari ale SVR au venit de la olandezi. In 2014, hackerii care lucrau pentru Serviciul General de Informatii si Securitate din Olanda au strapuns computerele utilizate de grup, urmarindu-le cel putin un an si, la un moment dat, surprinzandu-le pe camera.

Olandezii au contribuit la alertarea Casei Albe si a Departamentului de Stat cu privire la pirateria SVR a sistemelor lor in 2014 si 2015, iar luna trecuta au prins si expulzat din Olanda doi agenti SVR acuzati ca s-au infiltrat acolo in companii de tehnologie. Desi nu se stie ca grupul este distructiv, este notoriu dificil de evacuat din sistemele informatice pe care le-a infiltrat.

Presedintele Vladimir V. Putin al Rusiei in afara sediului SVR din Moscova in decembrie. Credit . www.protopage.com .. Alexey Nikolsky / Sputnik, via Agence France-Presse – Getty Images

Cand SVR a patruns in sistemele neclasificate de la Departamentul de Stat si Casa Alba, Richard Ledgett, pe atunci director adjunct al Agentiei Nationale de Securitate, a declarat ca agentia s-a angajat in echivalentul digital al „luptei corp la corp”. La un moment dat, SVR a obtinut acces la instrumentul NetWitness Investigator pe care anchetatorii il folosesc pentru a dezradacina usile din spate rusesti, manipulandu-l in asa fel incat hackerii au continuat sa se sustraga detectarii.

Anchetatorii au spus ca vor presupune ca au dat afara SVR-ul, doar pentru a descoperi ca grupul se tarase prin alta usa.

Unii experti in securitate au spus ca eliminarea atatea agentii federale extinse ale SVR poate fi inutila si ca singura cale de urmat poate fi inchiderea sistemelor si pornirea din nou. Altii au spus ca a face acest lucru in mijlocul unei pandemii ar fi prohibitiv costisitor si consumator de timp, iar noua administratie ar trebui sa lucreze pentru a identifica si contine fiecare sistem compromis inainte de a putea calibra un raspuns.

„SVR este deliberat, sunt sofisticate si nu au aceleasi restrictii legale ca si noi in Occident”, a spus Adam Darrah, fost analist guvernamental de informatii care acum este director de informatii la Vigilante, o firma de securitate .

Sanctiunile, rechizitoriile si alte masuri, a adaugat el, nu au reusit sa descurajeze SVR, care a demonstrat ca se poate adapta rapid.

„Ne urmaresc foarte atent chiar acum”, a spus domnul Darrah. „Si vor pivota in consecinta.”

Publicitate

Continuati sa cititi povestea principala