Jak zmarnować czas, zasoby i nerwy szpiegów z wrogiego kraju? Najlepiej sabotować ich wysiłki, neutralizować operacje oraz opisywać techniki działania, które można ujawnić. To właśnie zrobili polscy specjaliści wraz z kolegami z innych krajów.
Pamiętacie incydent Solarwinds? Sprawcami tego „włamania stulecia” byli hakerzy pracujący dla rosyjskiej Służby Wywiadu Zagranicznego (SWR), znanej jako APT29. To właśnie tych włamywaczy, uznawanych za jednych z najlepszych na świecie, przyłapali specjaliści z CERT Polska, SKW, amerykańskich Federalnego Biura Śledczego, Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) i Narodowej Agencji Bezpieczeństwa (NSA), a także Brytyjskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego (NCSC). Udało się przeanalizować i zakłócić sporą kampanię SWR, ostrzec kilkadziesiąt ofiar ataków i uniemożliwić realizację dalszych celów napastników.
Podatność znana, ale nadal obecna
Napastnicy wykorzystywali podatność CVE-2023-42793 w serwerach JetBrains TeamCIty. Błąd znany od września 2023 niestety nadal był i jest obecny w publicznie dostępnych serwerach wielu firm. Atakowane narzędzie używane jest do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania, zatem na liście ofiar nie brakowało firm zajmujących się rozwojem oprogramowania. Na szczęście w trakcie analizy kampanii badacze nie natrafili na ślad prób modyfikacji kodu aplikacji tworzonych przez ofiary ataku. APT29 pokazało w incydencie Solarwinds, że ataki na łańcuch dostaw są niezwykle skuteczne. Istnieje spora szansa, że w opisywanym wypadku udało się zapobiec analogicznemu atakowi albo przynajmniej obniżyć szansę rosyjskich hakerów na jego przeprowadzenie.
Analiza ataku
Publikacji polskich badaczy towarzyszy bardzo obszerna analiza techniczna ataku. Nie będziemy jej tu całej streszczać – polecamy lekturę całości osobom, które chciałyby sprawdzić swoje sieci pod kątem śladów, które mogli zostawić włamywacze. Jeśli ktoś nie ma ochoty czytać całości, to wspomnimy tylko, że zachowanie sprawców było dość standardowe – rozpoznanie, gdzie trafili, podniesienie uprawnień, kradzież informacji oraz zapewnienie sobie przetrwania i zdalnego dostępu do zainfekowanych systemów.
Co dość w takich przypadkach nietypowe, badacze w swojej publikacji dziękują za współpracę nie tylko partnerom z innych krajów, ale także podmiotom prywatnym, które padły ofiarami tego ataku. Warto docenić taką kooperację – zaatakowane firmy nie zawsze chcą pomagać badaczom, udostępniając im swoją infrastrukturę do analizy lub inne przydatne dane. Jak widać, da się współpracować dla większego dobra. Brawa zarówno dla badaczy, jak i dla wszystkich, którzy pomogli w analizie. Mamy nadzieję, że rosyjscy włamywacze solidnie się na tej sprawie potknęli.
Komentarze
Sukces goni sukces powinna być medalioza
Szczególnie medal dla naszej najbardziej profesjonalnej i najbardziej tajnej służby wojskowej, o której bloger pisze tak:
https://sluzbyiobywatel.pl/osrodek-skw-w-sopocie-i-wakacyjna-willa-w-gdyni
https://sluzbyiobywatel.pl/mapa-sluzb-specjalnych
Asy kontrwywiadu, zatrudnione przez rosyjskiego agenta Antoniego M.
Polska po 8 latach PiS, to kraj z gówna i paździerza…
Poczekaj jeszcze 4 lata, to się poprawi
Tak? Serio? Chyba nie mówisz o PO i zmianie po wyborach?