Obnova z hacku SolarWinds může trvat 18 měsíců

pohled na budovu Kapitolu USA

Jorge Acala/Unsplash





Úplné zotavení z hacku SolarWinds bude americké vládě trvat rok až 18 měsíců, podle šéfa agentury, která vede obnovu Washingtonu.

Hackerská kampaň proti americkým vládním agenturám a velkým společnostem byla poprvé objevena v listopadu 2020. Cílem bylo nejméně devět federálních agentur, včetně ministerstva pro vnitřní bezpečnost a ministerstva zahraničí. Útočníci, o nichž se američtí představitelé domnívají, že jsou Rusové, zneužili produkt americké softwarové firmy SolarWinds k hacknutí vládních a korporátních cílů.

Brandon Wales, úřadující ředitel CISA, americké Agentury pro kybernetickou bezpečnost a infrastrukturu, říká, že bude dlouho do roku 2022, než úředníci plně zajistí kompromitované vládní sítě. I úplné pochopení rozsahu škod bude trvat měsíce.



Nenazval bych to jednoduchým, říká Wales. Reakce na tento incident má dvě fáze. Existuje krátkodobé úsilí o nápravu, kdy se snažíme odstranit protivníka ze sítě, uzavřít účty, které kontrolují, a uzavřít vstupní body, které protivník používal pro přístup k sítím. Ale vzhledem k množství času, po který byli uvnitř těchto sítí – měsíce – bude strategická obnova nějakou dobu trvat.

'Vzhledem k množství času, kdy byli uvnitř těchto sítí... strategická obnova bude nějakou dobu trvat.'

Brandon Wales, CISA

Když hackeři uspěli tak důkladně a tak dlouho, odpovědí někdy může být kompletní přestavba od nuly. Hackeři si dali záležet na tom, aby podkopali důvěru v cílené sítě, ukradli identity a získali možnost vydávat se za identitu nebo vytvářet zdánlivě legitimní uživatele, aby mohli volně přistupovat k účtům Microsoft 365 a Azure obětí. Převzetím kontroly nad důvěrou a identitou se hackeři stávají mnohem obtížnějšími sledovat.



Většině agentur, které procházejí touto úrovní přestavby, bude trvat přibližně 12 až 18 měsíců, aby se ujistily, že nasazují vhodnou ochranu, říká Wales.

Americké zpravodajské agentury tvrdí, že ruští hackeři se poprvé infiltrovali v roce 2019. Následné vyšetřování ukázalo, že hackeři začali používat produkty společnosti k distribuci malwaru do března 2020 a jejich první úspěšné porušení federální vlády USA přišlo na začátku léta. To je dlouhá doba na to, aby zůstala nepovšimnuta – déle než mnoho organizací uchovává druh drahých forenzních protokolů, které potřebujete, abyste provedli úroveň vyšetřování potřebnou k odcizení hackerů.

SolarWinds Orion, cílový produkt pro správu sítě, se používá v desítkách tisíc korporací a vládních agentur. Infikovaná zadní vrátka si stáhlo přes 17 000 organizací. Hackeři byli v zacílení mimořádně nenápadní a přesní, a proto trvalo tak dlouho je chytit – a proč tak dlouho trvá pochopit jejich plný dopad.



Obtížnost odhalování rozsahu škod shrnul minulý týden na slyšení v Kongresu Brad Smith, prezident Microsoftu.

Kdo ví všechno, co se tu stalo? řekl. Právě teď je útočník jediný, kdo ví všechno, co udělal.

Kevin Mandia, generální ředitel bezpečnostní společnosti FireEye, která vyvolala první varování o útoku, řekl Kongresu, že hackeři upřednostňují utajení nade vše ostatní.



Narušení by bylo jednodušší než to, co udělali oni, řekl. Zaměřili se na disciplinované krádeže dat. Je snazší jednoduše smazat vše v tupém traumatu a vidět, co se stane. Ve skutečnosti udělali více práce, než kolik by bylo zapotřebí k destruktivnímu postupu.

'To má stříbrný okraj'

CISA poprvé slyšela o problému, když FireEye zjistil, že byl napaden hackery, a informoval agenturu. Společnost pravidelně úzce spolupracuje s americkou vládou, a přestože nebyla ze zákona povinna o hacku komukoli říct, rychle sdílela zprávy o kompromisu s citlivými podnikovými sítěmi.

Byl to Microsoft, kdo oznámil, že federální sítě americké vlády byly kompromitovány. Společnost sdělila tuto informaci Walesu 11. prosince, řekl v rozhovoru. Microsoft pozoroval, jak hackeři pronikli do cloudu Microsoft 365, který používá mnoho vládních agentur. O den později FireEye informoval CISA o zadních vrátkách SolarWinds, málo známého, ale extrémně rozšířeného a výkonného nástroje.

To signalizovalo, že rozsah hacku může být obrovský. Vyšetřovatelé CISA nakonec pracovali přímo přes prázdniny, aby pomohli agenturám pátrat po hackerech v jejich sítích.

Tyto snahy byly ještě komplikovanější, protože Wales v agentuře teprve nedávno převzal vedení: před několika dny byl bývalý ředitel Chris Krebs vyhozen Donaldem Trumpem za opakované odhalení dezinformací Bílého domu o ukradených volbách.

Poté, co Trump odvolal ředitele CISA, je tato agentura připravena stát se ještě silnější Dramatické odpálení tweetu jen málo změní podporu obou stran, aby se z ní stala vedoucí národní agentura pro kybernetickou bezpečnost.

Zatímco titulky o vyhození Krebse se soustředily na bezprostřední dopad na volební bezpečnost, Wales měl v rukou mnohem víc.

Nový muž odpovědný za CISA nyní čelí tomu, co popisuje jako nejsložitější a nejnáročnější hackerský incident, se kterým se agentura setkala.

Hack bude téměř jistě urychlit již zjevný vzestup CISA zvýšením jeho financování, autority a podpory.

CISA nedávno získala zákonnou pravomoc vytrvale pátrat po kybernetických hrozbách napříč federální vládou, ale Wales tvrdí, že agentuře chybí zdroje a personál k provedení této mise. Tvrdí, že CISA musí být také schopna nasadit a spravovat systémy detekce koncových bodů na počítačích v celé federální vládě, aby bylo možné odhalit škodlivé chování. A konečně, poukazujíc na skutečnost, že hackeři se volně pohybovali v cloudu Microsoft 365, Wales říká, že CISA musí usilovat o větší viditelnost cloudového prostředí, aby mohla v budoucnu odhalovat kyberšpionáž.

V posledním roce stoupenci CISA usilovali o to, aby se stala hlavní národní agenturou pro kybernetickou bezpečnost. Bezprecedentní kybernetická bezpečnostní katastrofa by se mohla ukázat jako katalyzátor, který potřebuje.

To má stříbro, řekl Mark Montgomery, který sloužil jako výkonný ředitel komise Cyberspace Solarium Commission, v telefonátu. Jedná se o jeden z nejvýznamnějších škodlivých kybernetických činů, které byly kdy proti americké vládě provedeny. Příběh se bude několik měsíců zhoršovat, protože se odhalí více pochopení toho, co se stalo. To pomůže zaměřit nastupující administrativu na tento problém. Mají spoustu priorit, takže pro kybernetiku by bylo snadné se v tom nepořádku ztratit. To se nyní nestane.

skrýt