Czas cyberpandemii? Tysiące urzędów i firm na całym świecie ofiarą ataku na firmę… od bezpieczeństwa

Firmy i agendy rządowe w Stanach Zjednoczonych, Belgii, Hiszpanii, Izraelu, Kanadzie, Meksyku, Wielkiej Brytanii, Zjednoczonych Emiratach Arabskich i wielu innych krajach z całego świata, w tym z Polski, walczą z potężnym cyberatakiem. Prawdopodobnie jednym z największych w historii. W samych Stanach Zjednoczonych zaatakowano Pentagon, amerykańskie Ministerstwo Skarbu, FBI, Departament Stanu, Departament Bezpieczeństwa Krajowego oraz zajmujące się technologiami jądrowymi laboratoria Los Alamos.

Z atakiem walczą też giganci technologiczni: Cisco i Intel. Stało się coś, co informatykom odpowiedzialnym za bezpieczeństwo sieci śniło się w najgorszych koszmarach. Skutki tego ataku są jeszcze nieznane, ale na pewno będą potężne i długoterminowe. I kto wie, czy nie zmienią naszego myślenia o bezpieczeństwie danych.

Czytaj też: Cyfrowy paszport dla tych, którzy się zaszczepią na Covid-19. Wybawienie czy zło?

Jak atak na firmę FireEye rozlał się na cały świat

Z każdego zakątka świata dobiegają kolejne głosy o cyberataku. Wszystko zaczęło się 8 grudnia, kiedy firma FireEye przekazała informację o włamaniu na swoje serwery. FireEye to jedna z najbardziej renomowanych na świecie firm zajmujących się cyberbezpieczeństwem. Jej rozwiązania służą m.in. do wykrywania i blokowania nowych, zaawansowanych ataków typu malware (czyli internetowych „robaków”).

Dość długo wydawało się, że celem ataku były właśnie narzędzia FireEye. A firma usprawiedliwiała się, że atak nastąpił w czasie, kiedy była zajęta… ochroną wyborów prezydenckich w USA (sic!). Jednak już 11 grudnia wewnętrzne dochodzenie FireEye, które wymagało gigantycznej pracy i przejrzenia ponad 50 000 linii kodu, wykazało lukę w najnowszej aktualizacji oprogramowania platformy Orion (to zaawansowane oprogramowanie do zarządzania sieciami informatycznymi) stworzonej przez firmę SolarWinds.

Felerna aktualizacja Oriona była dostępna od marca do maja 2020 roku, a furtka w jej kodzie pozwoliła w tym czasie zainfekować co najmniej 18.000 klientów firmy. Wygląda też na to, że SolarWinds nie zrobił wszystkiego, by niezwłocznie poinformować klientów o problemie. Świadczy o tym zachowanie Kevina Thompsona, dyrektora generalnego SolarWinds.

18 listopada Thompson sprzedał akcje SolarWinds o wartości 15 mln USD. Niedługo potem, 7 grudnia, wiodący inwestorzy firmy, Silver Lake i Thoma Bravo, sprzedali akcje SolarWinds za 280 mln USD. Tego samego dnia Kevin Thompson zrezygnował ze stanowiska.  8 grudnia FireEye podała informację o włamaniu na swoje serwery. Już 11 grudnia wewnętrzne dochodzenie FireEye wykazało, że uszkodzony został kod aktualizacji oprogramowania Orion, a dwa dni później ta informacja zostaje przekazana do wiadomości publicznej. Gołym okiem widać, że ktoś tu nieźle zakombinował.

Jak doszło do infiltracji oprogramowania SolarWinds?

Hakerzy wydają się być powiązani z państwową grupą hackerską Cosy Bear, znaną również jako Advanced Persistent Threat (APT) grupa 29, stanowiącą część rosyjskich służb wywiadowczych. Jej przedstawiciele zdołali wstawić złośliwy kod do jednego z plików *.dll aktualizacji oprogramowania, udostępnionej później przez firmę klientom.

Jak działa wirus? Szkodliwe oprogramowanie łączy się z swoimi autorami i umożliwia im wejście do firmowej sieci oraz podjęcie kolejnych działań. A ponieważ aktualizacja pochodzi od zaufanej firmy i posiada cyfrowy podpis SolarWinds, żadna z firm używających oprogramowania nie mogła mieć pojęcia, że jest szpiegowana. A tym bardziej o naruszeniu kodu zaktualizowanego oprogramowania.

Złośliwe oprogramowanie, które zostało zainstalowane wraz z aktualizacją, jest nie dość, że „wyrafinowane i eleganckie” – jak mówią specjaliści -, to jeszcze zostało opracowane z myślą o uzyskaniu dostępu do zasobów zainfekowanych firm. Oznacza to, że haker, który ma kontrolę nad oprogramowaniem, może go użyć do potencjalnego przejęcia haseł i innych firmowych zasobów, a także wykrycia podatnych na ataki systemów i zaatakowania ich w celu zainfekowania kolejnych fragmentów sieci.

Co gorsza kod umożliwia dostęp do wszystkich hostów w firmowej sieci. A biorąc pod uwagę sporą popularność platformy Orion w dużych przedsiębiorstwach i agencjach rządowych, hakerzy mogli objąć swoimi działaniami znaczną część agend rządowych, instytucji i dużych firm na świecie. Atak może więc mieć duży zasięg.

Dlatego skutki tego ataku będziemy odczuwać przez długie lata, a niektóre z naruszeń bezpieczeństwa mogą nie zostać nigdy wykryte.

Czytaj też: Jak bezpiecznie surfować w internecie? Poznaj VPN i… przetestuj

Czytaj też: Gdy duża firma chce nam robić Big Data. Jak ochronić swoją prywatność w sieci i nie dać się profilować? Oto przewodnik krok po kroku

Atak na FireEye. Które firmy mogą jeszcze uniknąć jego konsekwencji?

Na szczęście nie wszyscy klienci firmy SolarWinds mogli stać się ofiarami ataku. Dotyczy on wyłącznie użytkowników platformy Orion i tylko tych, którzy zainstalowali marcową aktualizację. SolarWinds poinformował, że liczba klientów, którzy mają tę aktualizację, wynosi około 18.000.

Jednak nawet jeśli w firmie zostało zainstalowane oprogramowanie z luką, nie musi to oznaczać, że furtka już została użyta. 18 000 firm to bardzo wiele przedsiębiorstw i zasobów do spenetrowania nawet dla dużej grupy specjalistów od hakowania systemów, takich jak grupa Cosy Bear.

Najprawdopodobniej hakerzy w pierwszej kolejności zajęli się agencjami i firmami o dużym znaczeniu, czyli agencjami rządowymi, instytucjami państwowymi oraz dużymi firmami. I dopiero potem będą eksplorować kolejne zasoby. Jeśli jakaś firma nie jest wymieniana na liście 500 największych firm świata Fortune 500, istnieje spora szansa, że nie jest jeszcze celem ataku. Ale dla informatyków broniących swoich firm przed kradzieżą danych liczy się każda minuta.

Kto mógł paść ofiarą ataku w Polsce? Długa lista urzędów i firm

Firma SolarWinds jest obecna także Polsce. Pięć lat temu, dzięki zachętom finansowym polskich władz, założyła centrum badawczo-rozwojowe w Krakowie. Z platformy Orion korzysta polska administracja, a z pewnością przyznają się do tego trzy ministerstwa: Ministerstwo Sprawiedliwości, MSWiA oraz Ministerstwo Zdrowia.

Oprogramowania SolarWinds używają także Ministerstwo Nauki, Najwyższa Izba Kontroli, GDDKiA oraz Prokuratura Okręgowa w Warszawie oraz spółka energetyczna Energa. Nie można jeszcze powiedzieć, czy którakolwiek z polskich firm lub agencji mogła utracić kontrolę nad hasłami, danymi lub innymi cennymi zasobami. I ewentualnie jak długo była infiltrowana.

Nie można też z całą odpowiedzialnością powiedzieć, czy jakiekolwiek nasze dane nie zostały przejęte. Ale jedno jest pewne – jeśli do tego doszło, zgodnie z ustawą o RODO firmy, urzędy lub agencje rządowe będą musiały to podać do wiadomości publicznej i poinformować klientów oraz obywateli.

Czytaj też: Europa kontra Facebook? Cyfrowy gigant zawiesza część funkcji w aplikacjach Messenger i Instagram. Czy to początek zmierzchu imperium Zuckerberga?

Jak ten atak zmieni świat?

Najbliższe miesiące pokażą prawdziwe skutki całej akcji hakerów. Atak pokazuje  jednak, jak kruche i złudne jest cyberbezpieczeństwo najważniejszych instytucji gospodarczych, agencji rządowych oraz firm. Nie trzeba atakować konkretnej firmy, żeby spróbować dostać się do jej systemów. Wystarczy skutecznie „wstrzyknąć” kod do programu, który – o ironio – ma chronić tę firmę przed wirusami. W tym przypadku było jeszcze ciekawiej, bo mówimy o komponencie dostarczonym przez jeszcze inną firmę, współpracującą z producentem systemów do ochrony firm w sieci.

Niewykluczone, że w cieniu pandemii Covid-19 mamy do czynienia z największym atakiem cybernetycznym w historii świata, którego zasięg spowoduje podobne skutki, jak Covid-19 w realnym świecie.

Czytaj też: Unijna dyrektywa miała polepszyć nasze bezpieczeństwo w sieci, ale… coś chyba poszło nie tak. „To jakiś absurd!”

FireEye to założona w 2013 roku, notowana na giełdzie, amerykańska firma z siedzibą w Milpitas w Kalifornii zajmująca się cyberbezpieczeństwem. Działania firmy skupiają się na wykrywaniu i zapobieganiu poważnym cyberatakom, badaniu cyberataków, ochronie przed złośliwym oprogramowaniem i analizie zagrożeń dla bezpieczeństwa informatycznego. Firma zajmowała się m.in. głośnymi cyberatakami na Target, JP Morgan Chase, Sony Pictures, Anthem i inne firmy.

SolarWinds Inc. to założona w 2004 roku amerykańska firma z siedzibą w Austin w Teksasie, zajmująca się opracowaniem i rozwijaniem oprogramowania do zarządzania firmowymi sieciami, systemami i infrastrukturą informatyczną. Spółka obsługuje około 300 000 klientów z krajów całego świata, w tym prawie wszystkie firmy z listy Fortune 500 oraz liczne agencje rządowe.