Att återhämta sig från SolarWinds-hacket kan ta 18 månader

utsikt över US Capitol Building

Jorge Acala/Unsplash





Att helt återhämta sig från SolarWinds-hacket kommer att ta den amerikanska regeringen från ett år till så länge som 18 månader, enligt chefen för den byrå som leder Washingtons återhämtning.

Hackningskampanjen mot amerikanska statliga myndigheter och stora företag upptäcktes först i november 2020. Minst nio federala myndigheter var inriktade på, inklusive Department of Homeland Security och State Department. Angriparna, som amerikanska tjänstemän tror är ryska, utnyttjade en produkt tillverkad av det amerikanska mjukvaruföretaget SolarWinds för att hacka regerings- och företagsmål.

Brandon Wales, tillförordnad direktör för CISA, US Cybersecurity and Infrastructure Agency, säger att det kommer att dröja långt in på 2022 innan tjänstemännen helt har säkrat de komprometterade statliga nätverken. Till och med en fullständig förståelse av skadans omfattning kommer att ta månader.



Jag skulle inte kalla det här enkelt, säger Wales. Det finns två faser för reaktion på denna incident. Det finns det kortsiktiga saneringsarbetet, där vi försöker ta bort motståndaren från nätverket, stänga av konton de kontrollerar och stänga av ingångspunkter som motståndaren använde för att komma åt nätverk. Men med tanke på hur lång tid de befann sig i dessa nätverk – månader – kommer strategisk återhämtning att ta tid.

'Med tanke på hur lång tid de var inne i dessa nätverk... kommer strategisk återhämtning att ta tid.'

Brandon Wales, CISA

När hackarna har lyckats så grundligt och så länge kan svaret ibland vara en fullständig ombyggnad från grunden. Hackarna gjorde en poäng med att undergräva förtroendet för riktade nätverk, stjäla identiteter och få möjligheten att imitera eller skapa till synes legitima användare för att fritt få tillgång till offrens Microsoft 365- och Azure-konton. Genom att ta kontroll över förtroende och identitet blir hackarna så mycket svårare att spåra.



De flesta av byråerna som går igenom den nivån av ombyggnad kommer att ta i närheten av 12 till 18 månader för att se till att de sätter in lämpligt skydd, säger Wales.

Amerikanska underrättelsetjänster säger att ryska hackare först infiltrerades 2019. Efterföljande undersökningar har visat att hackarna började använda företagets produkter för att distribuera skadlig programvara i mars 2020, och deras första framgångsrika brott mot den amerikanska federala regeringen kom tidigt på sommaren. Det är lång tid att gå obemärkt förbi – längre än många organisationer håller den typ av dyra kriminaltekniska loggar du behöver för att göra den utredningsnivå som krävs för att sniffa upp hackarna.

SolarWinds Orion, nätverkshanteringsprodukten som var målet, används i tiotusentals företag och statliga myndigheter. Över 17 000 organisationer laddade ner den infekterade bakdörren. Hackarna var utomordentligt smygande och specifika i inriktningen, vilket är anledningen till att det tog så lång tid att fånga dem – och varför det tog så lång tid att förstå deras fulla effekt.



Svårigheten att avslöja skadans omfattning sammanfattades av Brad Smith, Microsofts president, i en kongressutfrågning förra veckan.

Vem vet hela vad som hände här? han sa. Just nu är angriparen den enda som vet hela vad de gjorde.

Kevin Mandia, vd för säkerhetsföretaget FireEye, som väckte de första varningarna om attacken, sa till kongressen att hackarna prioriterade smygande framför allt annat.



Avbrott skulle ha varit lättare än vad de gjorde, sa han. De hade fokuserad, disciplinerad datastöld. Det är lättare att bara ta bort allt i trubbigt trauma och se vad som händer. De gjorde faktiskt mer arbete än vad det skulle ha krävt för att bli destruktiva.

'Detta har ett silverfoder'

CISA hörde först om ett problem när FireEye upptäckte att det hade blivit hackat och meddelade byrån. Företaget arbetar regelbundet nära den amerikanska regeringen, och även om det inte var juridiskt skyldigt att berätta för någon om hacket, delade det snabbt nyheter om kompromissen med känsliga företagsnätverk.

Det var Microsoft som berättade för den amerikanska regeringens federala nätverk hade äventyrats. Företaget delade den informationen med Wales den 11 december, sa han i en intervju. Microsoft observerade hackare som bröt sig in i Microsoft 365-molnet som används av många statliga myndigheter. En dag senare informerade FireEye CISA om bakdörren i SolarWinds, ett föga känt men extremt utbrett och kraftfullt verktyg.

Detta signalerade att hackets omfattning kan vara enorm. CISA:s utredare slutade med att arbeta rakt igenom helgerna för att hjälpa byråer att leta efter hackare i deras nätverk.

Dessa ansträngningar gjordes ännu mer komplicerade eftersom Wales precis hade tagit över på byrån: dagar tidigare hade tidigare regissören Chris Krebs fått sparken av Donald Trump för att han upprepade gånger avslöjat Vita husets desinformation om ett stulet val.

Efter att Trump sparkat CISA:s direktör är byrån redo att bli ännu mer kraftfull En dramatisk avfyrning av tweet gör inte mycket för att ändra det tvåpartiska stödet för att göra det till landets ledande cybersäkerhetsbyrå.

Medan rubriker om avskedandet av Krebs fokuserade på den omedelbara inverkan på valsäkerheten, hade Wales mycket mer på hans händer.

Den nya ansvarig på CISA står nu inför vad han beskriver som den mest komplexa och utmanande hackincident som byrån har stött på.

Hacket kommer nästan säkert påskynda den redan uppenbara uppgången av CISA genom att öka dess finansiering, auktoritet och stöd.

CISA fick nyligen den lagliga befogenheten att ihärdigt jaga efter cyberhot över hela den federala regeringen, men Wales säger att byrån saknar resurser och personal för att utföra det uppdraget. Han hävdar att CISA också måste kunna distribuera och hantera slutpunktsdetekteringssystem på datorer i hela den federala regeringen för att upptäcka skadligt beteende. Slutligen, och pekar på det faktum att hackarna rörde sig fritt i Microsoft 365-molnet, Wales säger att CISA måste driva på för mer synlighet i molnmiljön för att upptäcka cyberspionage i framtiden.

Under det senaste året har anhängare av CISA drivit på för att det ska bli landets ledande cybersäkerhetsbyrå. En cybersäkerhetskatastrof utan motstycke kan visa sig vara den katalysator den behöver.

Det här har en silverkant, sa Mark Montgomery, som tjänstgjorde som verkställande direktör för Cyberspace Solarium Commission, i ett telefonsamtal. Detta är bland de mest betydande skadliga cyberhandlingar som någonsin utförts mot den amerikanska regeringen. Historien kommer att fortsätta att bli värre i flera månader när mer förståelse för vad som hände avslöjas. Det kommer att hjälpa till att fokusera den inkommande administrationen på denna fråga. De har många prioriteringar, så det skulle vara lätt för cyber att gå vilse i röran. Det kommer inte att hända nu.

Dölj