Szerző: Hlács Ferenc

2020. december 18. 13:18

A Nukleáris Biztonsági Ügynökséget is érintheti az USA elleni hackertámadás

Főként az Egyesült Államokat célzó, eddig példátlan mértékű kibertámadást fedezett fel a FireEye biztonsági cég: az offenzíva állami szerveket és világszerte több ezer céget érinthet. A támadók észrevétlenül csúsztak át Egyesült Államok online védvonalain.

Történetének egyik legkiterjedtebb hackertámadása söpört végig az Egyesült Államokon. Az egyelőre nem megerősített feltételezések szerint orosz állami hátterű támadók számos kormányzati hivatal, az USA Nukleáris Biztonsági Ügynöksége, illetve Fortune 500 cégek rendszereihez is hozzáférést szerezhettek. Biztonsági szakértők jelenleg is vizsgálják a támadás pontos mértékét, ugyanakkor az összes érintett cég és szervezet felkutatásához hónapokra, szélsőséges esetben évekre is szükség lehet. A támadás egészen idén tavaszig nyúlik vissza, mégis csak néhány héttel ezelőtt észlelték, ráadásul nem is az állami védelmi szervek, hanem a FireEye kiberbiztonsági cég szakértői - a vállalat maga is ott van az állami hátterű hackerek áldozatai között.

AZ ATOMFEGYVER-KÉSZLETÉRT FELELŐS HIVATAL IS ÉRINTETT

Az állami célpontok listája már körvonalazódik és igen kétségbeejtő képet fest az Egyesült Államok kibervédelmi helyzetéről. Mint a Trump adminisztráció szóvivői a héten közölték, a támadásban az ország Külügyminisztériuma, a Belbiztonsági Minisztérium, a Pénzügyminisztérium, a Kereskedelmi Minisztérium, illetve annak Telekommunikációs és Információs Hivatala, az Országos Egészségügyi Intézetek, a Pentagon bizonyos hivatalai, sőt a Nemzeti Nukleáris Biztonsági Ügynökség (NNSA), illetve nukleáris kutatólaboratóriumok is érintettek voltak, több bank és Fortune 500 vállalat mellett - de a felfedezett célpontok listája folyamatosan bővül.

doe02

Hogy az elkövetők az Egyesült Államok Energiaügyi Miniszétériuma (Department of Energy – DOE), illetve az alatta működő, az ország atomfegyver-készletét is felügyelő NNSA rendszereibe is bejutottak különösen aggasztó, ugyanakkor a DOE szóvivője, Shaylyn Hynes szerint a jelenleg is zajló nyomozás nem hozott arra utaló jelet, hogy kritikus védelmi rendszerekhez hozzáfértek volna a hackerek, a támadás az üzleti hálózatokra korlátozódott.

Az offenzíva nem csak észak-amerikai célpontokat érintett, a FireEye Európában, Ázsiában és a Közel-Keleten is talált arra utaló aktivitást. A hackerek a kiterjedt támadást felfedező biztonsági vállalathoz is bejutottak, amelytől egy sor, az ügyfelek hálózati védelmének tesztelésére szánt eszközt loptak el, ugyanakkor éppen ez az adatlopás vezetett az akció leleplezéséhez.

Jelen állás szerint a támadók célja az információgyűjtés volt, noha továbbra is nagyban folyik az ügy kivizsgálása. Arról az USA kormányzata, illetve az alatta működő szervezetek sem közöltek részleteket, az elkövetők pontosan milyen adatokat szereztek meg a kampány során. Az ugyanakkor legalább valamennyire megnyugtató lehet, hogy a nyomozás során a szakértők eddig nem találtak arra utaló jeleket, hogy a támadók a bizalmas kormányzati, illetve hivatali rendszerekhez is hozzáfértek volna, "csak" az internetkapcsolattal rendelkező rendszerekbe jutottak be. Érzékeny információkhoz azonban utóbbiakon is hozzáférhettek.

RÉS AZ ELLÁTÁSI LÁNC PAJZSÁN

A FireEye által felfedezett támadásnak a texasi székhelyű SolarWinds hálózatkezelő szoftvere, az Orion ágyazott meg, amelynek egyik frissítésébe sikerült a támadóknak a hozzáféréshez szükséges, a kutatók által Sunburst névre keresztelt rosszindulatú kódot becsempészni. Ahogy kapcsolódó blogposztjában a biztonsági cég is kiemeli, a kormányzat és a nagyvállalatok ellátási lánca elleni támadásról van szó, amellyel az elkövetők nem csak egy adott entitást, hanem a fertőzött termékkel dolgozó ügyfelek széles körét megcélozhatják.

Az Oriont a SolarWinds mintegy 300 ezer ügyfeléből nagyjából 33 ezer használja, akikből közel 18 ezerhez jutott el a rosszindulatú frissítés. A felhasználók listáján többek között számos állami szervezet, a hadsereg, Fortune 500 nagyvállalatok, illetve ahogy a New York Times is kiemeli, a nukleáris fegyverek fejlesztésével is foglalkozó Los Alamos Nemzeti Laboratórium is ott van. Szerencsére a támadásban potenciálisan érintett áldozatok száma ennél jóval alacsonyabb, ugyanakkor így is rendkívül súlyos incidensről van szó, a támadók nem csak adatokat tudtak lopni az áldozatoktól, de azok hálózatain belül is terjeszkedni tudtak.

solarwindsill

A SolarWindsre jó eséllyel nem csak a cég szoftvereinek elterjedtsége miatt esett az elkövetők választása, a vállalat gyenge biztonsági gyakorlatainak hála is vonzó célpont lehetett. Tavaly GitHubon a SolarWinds több alkalmazottjának jelszavai is kiszivárogtak, a Reuters szerint továbbá 2019-ben a vállalat frissítési mechanizmusához tartozó jelszó is napvilágot látott - amelynek kitalálásánál a cég szintén nem erőltette meg magát, az azonosító "solarwinds123" volt. Emellett online bűnözők korábban már több alkalommal is árultak hozzáférést a vállalat rendszereihez különböző fórumokon. De az is sokat elárul a cég védelméről, hogy a SolarWinds nem rendelkezett IT biztonsági vezetővel. Biztonsági szakértők szerint ugyanakkor nem a sorolt fiaskók valamelyike vezetett az mostani incidenshez.

GONDOSAN ELTÜNTETTÉK A NYOMOKAT

A hackerek az Orion szoftveres keretrendszer egy a SolarWinds digitális aláírásával rendelkező komponensébe tudtak backdoort csempészni, amely HTTP-n keresztül kommunikált a vezérlőszerverekkel - az így trójaivá avanzsált Orion plugint a szakértők Sunburst név alatt követik. A kártevő a különböző szervezetek rendszereire bejutva akár két hétig is várakozott, mielőtt működésbe lépett volna, ezt követően kezdte csak végrehajtani a támadók parancsait.

Ingyenes Kubernetes workshop április 27-én (x)

A piacvezető Rancher szakértői bemutatják, hogyan kezelhető hatékonyan a gyakorlatban a Kubernetes.

Ingyenes Kubernetes workshop április 27-én (x) A piacvezető Rancher szakértői bemutatják, hogyan kezelhető hatékonyan a gyakorlatban a Kubernetes.

A Sunburst feladatok széles körére képes a fertőzött rendszeren, a fájlok továbbításától és végrehajtásától az adott rendszer elemzésén át egészen a fizikai gép újraindításáig vagy a rendszerszolgáltatások kikapcsolásáig. A malware hálózati adatforgalmát az ártalmatlan OIP (Orion Improvement Program) protokollként álcázza, a begyűjtött információkat pedig a valós plugin konfigurációs fájljaiban tárolja. A támadók egy sor titkosított blokkolási listával is felszerelték szoftverüket, amely így képes felismerni számos biztonsági szoftvert, és elrejtőzni azok elől.

A hackerek komoly erőfeszítéseket tettek nyomaik eltüntetésére, a támadásokat amerikai IP címekről indították, gyakran a célpontokkal megegyező városokból. Mindezek mellett speciális eszközökkel és az akciók időzítésével is kerülték a feltűnést, azokat többször munkaidőben hajtották végre. Az elkövetők továbbá gondosan megválogatták, hogy az Orion mely felhasználóinak rendszereibe hatolnak be, hogy minél inkább a radar alatt tudjanak mozogni, a legértékesebb adatvagyonokra koncentrálva.

Az akcióhoz használt, fertőzött frissítések az idén március és június közötti időszakban jutottak el az áldozatokhoz, az éppen fellángolóban lévő koronavírus-pandémia árnyékában - ugyanakkor mint arra a Reutersnek nyilatkozó Kyle Hanslovan, a Huntress biztonsági cég társalapítója rámutatott, a kártékony szoftververziók még napokkal azután is letölthetők voltak, hogy a cég néhány hete tudomást szerzett az illetéktelen hozzáférésről. Miután a támadásra fény derült, az USA Kiberbiztonsági és Információbiztonsági Ügynöksége a CISA (Cybersecurity and Infrastructure Security Agency) az Orion használatának felfüggesztésére utasította a kormányzati ügynökségeket - persze ezzel a támadók által már korábban elhelyezett backdoorok, továbbra is nyitva maradtak.

FÁJDALMAS VERESÉG AZ AMERIKAI KIBERVÉDELEMNEK

A biztonsági szakértők szerint orosz állami hátterű támadók nem most tévednek először az "amerikai kibertérbe", a GRU, azaz az orosz katonai hírszerzés 2016-ban a Demokrata Nemzeti Bizottság (Democratic National Committee, röviden DNC) rendszereibe is behatolt, noha akkor a "vendégeskedés" jóval rövidebb volt, a támadók célja a gyors információszerzés, majd mint sokan biztosan emlékeznek, annak közzététele volt. A mostani ügy mögött a szakértők az ugyancsak orosz SVR-t, a KGB egyik utódszervezetét sejtik, annak is az APT29, illetve Cozy Bear néven ismert ágazatát, amely ugyancsak betört 2016-ban a DNC rendszereibe, illetve egy évvel korábban az ország külügyminisztériumának szervereire is bejutott, ahol hosszú távon igyekezett megfigyelni a kormányzati kommunikációt.

Az ügyet sokan az Egyesült Államok legnagyobb kibervédelmi kudarcaként emlegetik, méghozzá jó okkal. Az ország az utóbbi években kibervédelmi stratégiáját a hagyományos védelmi vonalak kiépítése helyett inkább offenzív megközelítésre hegyezte ki, és az országra potenciálisan veszélyt jelentő felek hálózataiba csempészett "szenzorokkal" próbált információkat szerezni a lehetséges támadásokról, illetve alapot biztosítani az esetleges online ellencsapásoknak is - sikertelenül, legalábbis a Sunburst példája alapján. Az USA kormányzata továbbá az elmúlt években több tízmilliárd dollárt költött el kibervédelmi- és támadási képességeinek erősítésére, egyebek mellett az Einstein néven ismert védelmi rendszer bevezetésére, amely mint látható, nem tudta elcsípni a példátlanul kiterjedt adatlopási kampányt.

Nem meglepő módon az NSA is tűz alá került az ügyben, az USA vezető hírszerzési szervezete maga sem tudott a támadásról, míg a FireEye-tól meg nem érkezett a tájékoztatás - miközben az NSA maga is a SolarWinds szoftverét használta. De a Pentagon és a választások biztonságát is felügyelő CISA számára is legalább ilyen kínos az incidens. A támadásra reagálva az FBI, a CISA, illetve a Nemzeti Hírszerzési Igazgató Irodája, az ODNI (Office of the Director of National Intelligence) egy új, gyorsreagálású csoportot (Cyber Unified Coordination Group) is létrehozott, amely jelenleg is dolgozik egy koordinált, kormányzati válaszlépés kidolgozásán. Eközben Oroszország tagadja, hogy bármi köze lenne a támadáshoz, az ország egyesült államokbeli nagykövete szerint az amerikai média vádjai megalapozatlanok.

NEM LÁTNI A VÉGÉT

Az ügyben a magánszektor több nagyvállalata mellett a Microsoft is érintett, ezt a redmondi óriás mára hivatalosan is megerősítette - a cég ugyanakkor sietett kiemelni, hogy a SolarWindshez köthető kártékony binárisokat rendszereiben már izolálta és eltávolította, illetve egyelőre nem talált arra utaló jelet, hogy a támadók az élesben futó szolgáltatásokhoz vagy ügyféladatokhoz hozzáfértek volna – noha ezzel némileg szembemegy, hogy a Microsoft ezen a héten több mint 40 ügyfelét értesítette róla, hogy azok érintettek voltak a támadásban. Utóbbiak mintegy 80 százalékának székhelye az Egyesült Államokban található, ugyanakkor akadnak közöttük, az Egyesült Királyságban, Spanyolországban, Belgiumban, Mexikóban, Kanadában, Izraelben és az Egyesült Arab Emírségekben működő vállalatok is. A vállalat jelenleg is vizsgálatot folytat az ügyben.

mssolarwindmap
a támadások földrajzi eloszlása

Az ügyben a Microsoft elnöke, Brad Smith is megszólalt, arra figyelmeztetve, hogy az offenzíva még korántsem ért véget, az Orionon keresztül végrehajtott támadások jelenleg is zajlanak. Ahogy Smith fogalmaz, nem csak néhány specifikus célpont elleni támadásról van szó, a botrány a globális, kritikus infrastruktúrába vetett bizalmat is aláássa. Az elnök arra számít, a következő hetekben "vitathatatlan" bizonyítékot találnak majd az elkövetők kilétére.

KIPUCOLHATATLAN BACKDOOROK?

Mint a HWSW kérdésére Nemes Dániel biztonsági szakértő, a FireEye hazai disztribútora elmondta, a SolarWinds botrányban eddig nyilvánosságra került információk csak a jéghegy csúcsát jelentik, a következő napokban-hetekben egész biztosan számíthatunk még újabb áldozatokra. Bár az ügyben a FireEye hálózatvédelem-tesztelő eszközei is a hackerek birtokába kerültek, a biztonsági cég ügyfelei azokkal szemben ahogy eddig, továbbra is védelmet élveznek, illetve a cég GitHubon is közzétette a védekezéshez használható eszközöket.

A szakértő szerint a támadók szofisztikált módszerekkel dolgoztak és bár 18 ezer SolarWinds ügyfél rendszereihez férhettek (volna) hozzá, rendkívül szelektívek voltak, és csak a kiemelten fontosnak ítélt célpontokkal foglalkoztak - így tudtak a márciusi támadásoktól számítva csaknem kilenc hónapon keresztül rejtőzködni. A támadók épp ott hibáztak, hogy a FireEye rendszereiben is kutakodni kezdtek, amit a cég észre is vett és gyorsan nyilvánosságra is hozott. Ez persze valahol továbbra is kudarc a biztonsági cég számára, hiszen behatoltak a rendszereibe, ugyanakkor egyben dicsőség is ha a vállalat nem fedezi fel a támadást, az elkövetők akár további hónapokig észrevétlenek maradhattak volna. A szakértők egyébként a cég gyors reakcióját nagyra értékelik.

Nemes Dániel arról is beszélt, az akció professzionális kivitelezését az is jól mutatja, hogy míg átlagosan száz nap, mire egy ügyfél külső forrásból értesül a rendszereibe való behatolásról, jelen esetben ennél hosszú hónapokkal tovább tudtak az elkövetők a megfertőzött hálózatokban tartózkodni. Ennek megfelelően sajnos az elhárítás is több időt vesz majd igénybe a 30 napos iparági átlagnál, a pesszimistább szakértők szerint soha nem takarítják ki a támadók által elhelyezett összes backdoort az érintett rendszerekből, de még a derűlátóbb becslések is jó néhány hónapos munkáról beszélnek.

a címlapról