211service.com
Hur ryska hackare infiltrerade den amerikanska regeringen i månader utan att bli upptäckt
Treasury Department i Washington, DC. US Treasury Department' av *rboed* är licensierad under CC BY 2.0
Tusentals företag och regeringar tävlar för att upptäcka om de har drabbats av de ryska hackare som enligt uppgift infiltrerat flera amerikanska statliga myndigheter. Det första brottet, rapporterad den 13 december inkluderade finansministeriet samt handels- och hemsäkerhetsdepartementen. Men de smygande teknikerna som hackarna använde innebär att det kan ta månader att identifiera alla sina offer och ta bort allt spionprogram som de installerat.
För att genomföra intrånget bröt sig hackarna först in i systemet hos SolarWinds, ett amerikanskt mjukvaruföretag. Där satte de in en bakdörr till Orion, en av företagets produkter, som organisationer använder för att se och hantera stora interna nätverk av datorer. Under flera veckor med början i mars laddade alla klienter som uppdaterade till den senaste versionen av Orion – digitalt signerade av SolarWinds och därför till synes legitima – omedvetet ned den komprometterade programvaran, vilket gav hackarna en väg in i sina system.
SolarWinds har cirka 300 000 kunder runt om i världen, inklusive de flesta av Fortune 500 och många regeringar. I en ny arkivering med Securities and Exchange Commission sa företaget att färre än 18 000 organisationer någonsin laddat ner den komprometterade uppdateringen. (SolarWinds sa att det ännu inte är klart hur många av dessa system som faktiskt hackades.) Standardpraxis för cybersäkerhet är att hålla din programvara uppdaterad – så de flesta SolarWinds-kunder, ironiskt nog, skyddades eftersom de inte hade lyssnat på det rådet.
Hackarna var extremt smarta och strategiska, säger Greg Touhill, en före detta federal chef för informationssäkerhet. Även när de väl hade fått tillgång genom bakdörren i Orion, känd som Sunburst, rörde de sig långsamt och medvetet. Istället för att infiltrera många system samtidigt, vilket lätt kunde ha väckt misstankar, fokuserade de på en liten uppsättning utvalda mål, enligt en Rapportera från säkerhetsföretaget FireEye.
Sunburst var tyst i upp till två hela veckor innan den vaknade och började kommunicera med hackarna, enligt rapporten. Skadlig programvara döljer sin nätverkstrafik som Orion Improvement Program'' och lagrar data i legitima filer för att bättre smälta in. Den söker också efter säkerhets- och antivirusverktyg på den infekterade maskinen för att undvika dem.
För att ytterligare täcka sina spår var hackarna noga med att använda datorer och nätverk för att kommunicera med bakdörren vid ett visst mål endast en gång – motsvarande att använda en brännartelefon för en otillåten konversation. De använde begränsad användning av skadlig programvara eftersom det är relativt lätt att upptäcka; i stället, när de väl hade första tillgång genom bakdörren, tenderade de att välja den tystare vägen att använda riktiga stulna referenser för att få fjärråtkomst till offrets maskiner. Och den skadliga programvaran de distribuerade återanvänder inte kod, vilket gjorde spionaget svårare att fånga eftersom säkerhetsprogram letar efter kod som har dykt upp i tidigare hack.
Månader oupptäckt
Tecken på intrångskampanjen går tillbaka till mars, enligt säkerhetsrapporter från Microsoft och FireEye, som avslöjade en relaterad brott av sina egna nätverk förra veckan. Det betyder att alla organisationer som misstänker att det kan ha varit ett mål nu måste sålla igenom minst 10 månaders systemloggar och leta efter misstänkt aktivitet – en uppgift som ligger utanför kapaciteten för många säkerhetsteam.
Relaterad berättelse
De ryska hackare som inblandade 2016 sågs inriktade på det amerikanska valet 2020 Ryssland, Kina och Iran har ertappats för att bedriva cyberspionage relaterat till den amerikanska presidentvalet.För att hjälpa organisationer att ta reda på om deras system har blivit hackade, har FireEye och Microsoft publicerat en lång lista med indikatorer på kompromiss—kriminaltekniska data som kan visa bevis på skadlig aktivitet. Indikatorerna inkluderar närvaron av Sunburst själv, såväl som några av de IP-adresser som identifierar de datorer och nätverk som hackarna använde för att kommunicera med den. Om ett team hittar någon av dessa IP-adresser i sina nätverksloggar är det ett verkligt tecken på dåliga nyheter. Men eftersom hackarna använde varje adress endast en gång, är deras frånvaro ingen garanti för säkerhet. Upptäckten att de bor på ett nätverk betyder inte heller att det är lätt att framgångsrikt vräka dem, eftersom de kan leta igenom nätverket efter nya gömställen.
De misstänkta hackarna kommer från Rysslands SVR, landets primära utländska underrättelsetjänst. De kallas växelvis som Cozy Bear och APT29 och har sammanställt en lång lista med intrång, inklusive hacka av den demokratiska nationella kommittén 2016. Ryssland förnekar inblandning.
Det har gett dem möjligheten att backa in i stora nätverk, säger Touhill, som nu är president för Appgate Federal Group, ett säkert infrastrukturföretag. De har förmågan att sitta där, slurpa upp all trafik, analysera den. Vi måste vara mycket uppmärksamma på vad mer är dessa skådespelare ute efter? Var annars kan de vara? Var annars lurar de? Om de har tillgång, ger de inte upp det lätt.