Санберст: кибер-перл-Харбор?

Через несколько лет, когда нынешняя ужасная пандемия будет, наконец, под контролем, 2020 год запомнится не только вспышкой инфекции COVID-19 и ее ужасными последствиями, но и, вероятно, станет важной вехой для ученых и ученых. для профессионалов (а также для таких любопытных, как я) кибернетического измерения, следуя истории, которая принимает очертания одного из самых бессовестных шпионский рассказ успех на все времена. Речь идет о кибератаке, нанесенной американской ИТ-компанией. SolarWinds, чьи продукты, распространяемые по всему миру, использовались в качестве «троянских коней» для проникновения в сети и системы компаний и государственных учреждений по всему миру, являющихся настоящими целями шпионажа.

На жаргоне этот тип атаки называется "кибератака цепочки поставок", и на самом деле за этими громкими и явно сложными терминами скрываются современные методы шпионажа, которые существуют уже давно: безопасность цели косвенно скомпрометирована. , атакуя относительную «логистическую цепочку», то есть товар или услугу, законно предоставляемую третьей стороной (обычно компанией). В киберпространстве это ИТ-товары или услуги, без которых не может обойтись ни одна компания или государственный орган для выполнения своих задач.

Ярким примером такого типа кибератак является операция, которую Агентство национальной безопасности, по словам бывшего сотрудника Эдварда Сноудена, проводило бы в течение многих лет, обеспечивая распространение на рынке сетевых устройств, произведенных ведущей компанией. по всему миру, специально модифицированные Агентством, чтобы иметь возможность перехватывать и повторно передавать все сообщения, обрабатываемые этими системами. Или невероятная история Крипто-АГ (v.articolo), компания, базирующаяся в Швейцарии, которая производила и распространяла шифровальные машины как в странах, входящих в НАТО, так и за пределами Североатлантического союза (в общей сложности 130 правительств!), также модифицированная, чтобы позволить американской разведке и Немецкий язык перехватывает секретные сообщения от "дружественных" стран и противников уже более 50 лет!

Наконец, еще один пример кибератака цепочки поставок è costituito da NotPetya, разрушительное вредоносное ПО, «привитое» в 2017 году в обновление очень популярного в Украине программного обеспечения для управления бизнесом (v.articolo). В этом отношении, если верно то, что, вероятно, никогда не удастся количественно оценить реальное воздействие этих операций, несомненно, что, учитывая большое количество задействованных целей и продолжительность проводимых наступательных действий, во всех случаях речь идет о огромное количество информации было перехвачено или уничтожено, что нанесло очень серьезный ущерб безопасности жертв. Тот же сценарий возникает и для атаки SolarWinds поскольку они фильтруют детали (очевидно те, кто хочет знать) текущих исследований.

Может ли это быть киберэквивалентом атаки на военно-морскую базу Перл-Харбор в 1941 году, то есть враждебного акта, столь масштабного и с такими серьезными последствиями, что он предполагает беспрецедентный ответ, возможно, он развивается не только в кибернетическом измерении? Что будет теперь?

Продолжим по порядку. Несколько дней назад компания FireEye, ведущая компания в области кибербезопасности, объявила, что стала жертвой серьезной кибератаки, которая, среди прочего, позволила бы кражу некоторого программного обеспечения, разработанного для проведения тестов безопасности от имени ее клиентов (v.articolo). В частности, стало известно, что данная атака проводилась с использованием обновления системы Orion. SolarWinds искусно скомпрометированный, то есть очевидно "настоящий", но на самом деле модифицированный, чтобы позволить ему проникать в системы и сети FireEye. Эта деталь атаки, когда-то известная, впоследствии расширила кругозор расследования также на все другие компании и государственные органы, которые пользуются теми же услугами SolarWinds, цели, которые могли быть поражены с марта прошлого года - периода, с которого начинается распространение рассматриваемого мошеннического обновления.

Список жертв пополняется с каждым часом на основе проводимого анализа собранных доказательств и теперь включает тысячи государственных и частных тем, распределенных по всему миру (речь идет о более чем 17.000 жертв), в большинстве случаев, однако, сконцентрированных в США. . Поэтому попытка предоставить обновленный список оставляет время, которое находит. Однако, не опасаясь, что их неправота будет доказана, можно утверждать, что во многих случаях это правительственные органы, принадлежащие даже к важнейшим секторам (например, Министерство энергетики США) и ведущие компании мирового масштаба, которые: в свою очередь, они предоставляют товары и услуги. В частности, после того, как их системы Orion были обновлены модифицированным программным обеспечением, злоумышленник смог проникнуть в сети целей и во многих случаях взял их под контроль, запустив дальнейшие атаки, используя «брешь», открытую в защитных системах других.

В настоящее время все еще не известно ни о данных, украденных таким образом, ни о дальнейших последствиях атак, поскольку для отклонения расследования (на жаргоне) использовались особо сложные методы. Эта деталь, вместе с методами программирования, используемыми для того, чтобы скомпрометированное обновление SolarWinds, в то время получившее название SUNBURST, выглядело как оригинальное, считается, что это индикаторы очень высокого уровня возможностей, которыми обладает злоумышленник. Да кто стоит за этой дерзкой операцией?

Как обычно, расследования не позволяют с уверенностью приписать авторство шпионской акции, однако это определенно организация, обладающая огромными ресурсами (опытный технический персонал, финансирование, персонал планирования, инфраструктура и т. Д.) принадлежащие правительству или обязательно спонсируемые государством. Или это может быть преступная группировка, предлагающая услуги тому, кто больше заплатит, которая стала лидером черного рынка информации в Темная паутина, «темная сторона» Интернета. Кто подскажет? Нет с абсолютной уверенностью.

Некоторые аналитики и представители нынешней администрации США считают, что хакерская группа, известная под кодовыми названиями APT29, Cozy Bear, CozyCar, CozyDuke или Office Monkeys, якобы связана с Служба Внешних Разведок (СВР), российская служба внешней разведки (которая отметила свое первое 19-летие 100 декабря) и может похвастаться особенно обширной программой сложных киберопераций. Однако правительство Российской Федерации сразу же отрицало свою причастность.

Расследование только началось, и, как это почти всегда бывает в таких случаях, маловероятно, что будет собрано достаточно доказательств для установления виновных с разумной уверенностью и их уголовного наказания. Также будет очень сложно количественно оценить ущерб, нанесенный жертвам, и узнать, что случилось с украденной информацией, или, скорее, «скопированной», чтобы никто не заметил. В конечном итоге невозможно полностью реконструировать все операции, которые злоумышленник выполнял в течение примерно восьми месяцев «пребывания» в системах и сетях жертв.

Этот сценарий привел некоторых наблюдателей к тревожному выводу: нам придется бороться с последствиями этой атаки в течение многих месяцев или лет, так как злоумышленник мог распространить целевые сети и системы других вредоносных программ.. На самом деле, если это правда, что это особенно опытная и эффективная группа, аналитики указывают, что вероятность того, что транзакция была обнаружена, была определенно запланирована заранее, и, следовательно, они считают, что все меры, направленные на продолжить шпионскую кампанию, ожидая ответных мер со стороны жертв.

Последний аспект истории, возможно, только на первый взгляд второстепенный, - финансовый: SolarWinds это публичная компания, и такая атака может быть фатальной для ее репутации и, следовательно, для ее будущего. Кроме того, похоже, что есть те, кому удалось получить прибыль, не ограничиваясь всей проблемой, что делает движения рынка более чем подозрительными.

В заключение, пунктуально, каждый год в этот период мы оказываемся на этих страницах, чтобы делать окончательные отчеты по информационная безопасность, из которых возникают сценарии со все более темными оттенками. С каждым годом «планка» продвигается все выше и выше, опасно приближаясь к порогу реального столкновения между государствами, а технологические пределы неизменно сносятся, часто превышая само воображение. В этом контексте, если, с одной стороны, общество становится все более зависимым от кибернетического измерения, с другой стороны, это становится охотничьим угодьем, полностью лишенным правил как для правительств, так и для недобросовестных преступных групп.

Добычей этой неустанной охоты является информация, которая во все более взаимосвязанном мире является ключом к доминированию над ним с военной, финансовой, экономической, научной, технологической или политической точки зрения. Тем, кто еще не понял этого, или тем, кто не хочет принимать эту реальность, суждено поддаться.

С Днем 2021!

_{источники}

_{https://www.corrierecomunicazioni.it/cyber-security/crypto-ag-cyber-scan...}

_{https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-at...}

_{https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backd...}

_{https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-incl...}

_{https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-cus...}

_{https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/}

_{https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybers...}

_{https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/}

_{Фото: НАСА}