Selgitatud: USA-s aset leidnud tohutu küberrünnak, kasutades uudseid tööriistu

Üks suurimaid küberrünnakuid, mis on suunatud USA valitsusasutustele ja eraettevõtetele, 'SolarWindsi häkkimist' peetakse tõenäoliseks ülemaailmseks jõupingutuseks. Kuidas see läbi viidi ja milliseid andmeid on ohustatud? Miks on USA valitsusametnikud ja poliitikud nimetanud Venemaad?

Küberrünnaku sihtmärgiks oli firma SolarWinds tarnitav tarkvara Orion. (Reutersi foto)

Ameerika Ühendriikides hiljuti avastatud küberrünnak SolarWinds on tõusnud üheks kõigi aegade suurim suunatud USA valitsuse, selle agentuuride ja mitmete teiste eraettevõtete vastu. Tegelikult on see tõenäoliselt ülemaailmne küberrünnak.

Selle avastas esmakordselt USA küberjulgeolekufirma FireEye ja sellest ajast alates tuleb iga päev päevavalgele üha uusi arenguid. Küberrünnaku ulatus on endiselt teadmata, kuigi arvatakse, et USA rahandusministeerium, sisejulgeolekuministeerium, kaubandusministeerium ja Pentagoni osad on kõik mõjutatud.

Aastal an arvamuslugu jaoks kirjutatud New York Times , Thomas P Bossert, kes oli president Donald Trumpi sisejulgeolekunõunik, nimetas Venemaa rünnaku eest. Ta kirjutas SolarWindsi ründepunktides tõendid Venemaa luureagentuurile, mida tuntakse SVR-i nime all ja mille kaubandus on üks maailma arenenumaid. Kreml on oma seotust eitanud.

Niisiis, mis see 'SolarWindsi häkkimine' on?

Uudised küberrünnakust levisid tehniliselt esmakordselt 8. detsembril, kui FireEye avaldas ajaveebi, mis tuvastas rünnaku oma süsteemidele. Firma aitab mitmete suurte eraettevõtete ja föderaalvalitsusasutuste turvahalduses.

FireEye tegevjuht Kevin Mandia kirjutas oma ajaveebipostituses, et ettevõtet ründas väga kogenud ohutegija, nimetades seda riiklikult toetatud rünnakuks, kuigi Venemaa nime ei nimetanud. Rünnaku korraldas kõrgeima ründevõimega riik ja ründaja otsis peamiselt teavet teatud valitsuse klientide kohta. Samuti öeldi, et ründajate kasutatud meetodid olid uudsed.

Seejärel teatas FireEye 13. detsembril, et küberrünnak, mille nimeks sai Campaign UNC2452, ei olnud suunatud ettevõttele, vaid oli suunatud erinevatele avalik-õiguslikele ja eraorganisatsioonidele üle maailma. Postituse kohaselt algas kampaania tõenäoliselt märtsis 2020 ja see on kestnud kuid. Mis veelgi hullem, varastatud või ohustatud andmete ulatus on endiselt teadmata, kuna rünnaku ulatust alles avastatakse. Pärast süsteemide ohtu sattumist toimus külgsuunaline liikumine ja andmete vargus.

Kuidas nii paljusid USA valitsusasutusi ja ettevõtteid rünnati?

Seda nimetatakse tarneahela rünnakuks: selle asemel, et rünnata otse föderaalvalitsust või eraorganisatsiooni võrku, võtavad häkkerid sihikule kolmanda osapoole müüja, kes tarnib neile tarkvara. Antud juhul oli sihtmärgiks IT-haldustarkvara nimega Orion, mida tarnis Texases asuv ettevõte SolarWinds.

Orion on olnud SolarWindsi domineeriv tarkvara klientidega, kelle hulgas on üle 33 000 ettevõtte. SolarWindsi sõnul on mõjutatud 18 000 tema klienti. Muide, ettevõte on oma ametlikelt veebisaitidelt klientide nimekirja kustutanud.

Lehe järgi, mis on samuti Google'i veebiarhiivist puhastatud, sisaldab loend 425 ettevõtet Fortune 500-s, mis on USA 10 parimat telekommunikatsioonioperaatorit. New York Timesi aruande kohaselt said mõjutatud osad Pentagonist, haiguste tõrje ja ennetamise keskustest, välisministeeriumist, justiitsministeeriumist ja teistest.

Microsoft kinnitas, et on leidnud tõendeid nende süsteemides oleva pahavara kohta, kuigi ta lisas, et puuduvad tõendid juurdepääsu kohta tootmisteenustele või kliendiandmetele või selle kohta, et tema süsteeme kasutati teiste ründamiseks. Microsofti president Brad Smith ütles, et ettevõte on hakanud rohkem kui 40 klienti teavitama, et ründajad sihivad täpsemalt ja ohustasid.

Reutersi raport ütles, et häkkerid jälgisid isegi sisejulgeolekuministeeriumi ametnike saadetud e-kirju.

Kuidas nad said juurdepääsu?

FireEye andmetel said häkkerid ohvritele juurdepääsu SolarWindsi Orion IT-seire- ja haldustarkvara troojastatud värskenduste kaudu. Põhimõtteliselt kasutati tarkvaravärskendust Sunbursti pahavara installimiseks Orioni, mille seejärel installis enam kui 17 000 klienti.

FireEye ütleb, et ründajad kasutasid tuvastamise vältimiseks ja nende tegevuse varjamiseks mitut tehnikat. Pahavara oli võimeline pääsema juurde süsteemifailidele. FireEye andmetel töötas pahavara kasuks see, et see suutis sulanduda SolarWindsi seadusliku tegevusega.

Pärast installimist andis pahavara häkkeritele tagaukse sissepääsu SolarWindsi klientide süsteemidesse ja võrkudesse. Veelgi olulisem on see, et pahavara suutis takistada ka selliseid tööriistu nagu viirusetõrje, mis võisid seda tuvastada.

Kuhu Venemaa sisse tuleb?

Bossert nimetas oma NYT-i arvamusartiklis Venemaad ja selle agentuuri SVR, millel on võimekus sellise leidlikkuse ja ulatusega rünnak läbi viia.

Microsoft märgib oma ajaveebis, et rünnaku see aspekt tekitas peaaegu ülemaailmse tähtsusega tarneahela haavatavuse, mis jõudis paljudesse suurematesse riikide pealinnadesse väljaspool Venemaad. See lisab, et keerukad rünnakud Venemaalt on muutunud tavaliseks.

FireEye ei ole aga veel Venemaad vastutavaks nimetanud ja ütles, et käimas on uurimine koos FBI, Microsofti ja teiste oluliste partneritega, keda ei nimetata.

Mida on SolarWinds ja USA valitsus häkkimise kohta öelnud?

Praegu soovitab SolarWinds kõigil klientidel viivitamatult uuendada olemasolevat Orioni platvormi, millel on selle pahavara jaoks plaaster. Kui keskkonnas avastatakse ründaja tegevus, soovitame läbi viia põhjaliku uurimise ning kavandada ja rakendada parandusstrateegia, mis põhineb uurimistulemustel ja mõjutatud keskkonna üksikasjadel, öeldakse.

Neil, kes ei saa värskendada, palutakse SolarWindsi serverid isoleerida ja see peaks hõlmama kogu Interneti-väljapääsu blokeerimist SolarWindsi serveritest. Minimaalne soovitus on SolarWindsi serveritele / infrastruktuurile juurdepääsu omavate kontode paroolide muutmine.

USA küberjulgeoleku ja infrastruktuuri turvalisuse agentuur (CISA) on välja andnud hädaolukorra direktiivi 21-01, milles palutakse kõigil föderaalsetel tsiviilasutustel oma võrgud üle vaadata, et leida kompromissi. Ta on palunud neil SolarWinds Orioni tooted viivitamatult lahti ühendada või välja lülitada.

FBI, CISA ja riikliku luuredirektori büroo tegid ühisavalduse ja teatasid nn küberühtse koordinatsioonirühmast (UCG), mille eesmärk on koordineerida valitsuse reageerimist kriisile. Avalduses nimetatakse seda oluliseks ja jätkuvaks küberjulgeolekukampaaniaks.

Valge Maja ja president Donald Trump on vaikinud. Senaator Mitt Romney võttis selle kõige paremini kokku oma kommentaarides raadio SiriusXM ajakirjanikule Olivier Knoxile, kus ta võrdles seda rünnakut võrdväärsega Vene pommitajate lendamisega märkamatult üle kogu riigi, paljastades USA kübersõja nõrkuse. Ta ütles, et Valge Maja vaikus ja tegevusetus oli vabandamatu.

Demokraat senaator Richard Blumenthal säutsus: Venemaa küberrünnak tekitas minus sügavat ärevust, tegelikult lausa hirmu.

Valitud president Joe Biden ütles avalduses: Heast kaitsest ei piisa; Peame häirima ja heidutama oma vastaseid olulisi küberrünnakuid tegemast.

Jagage Oma Sõpradega: