Redakcja
Stany Zjednoczone są obecnie przedmiotem znaczącego cyberataku. Potwierdzono, że spośród ponad 18 tys. potencjalnie zaatakowanych użytkowników, wielu należy do sieci agencji federalnych, w tym Departamentów: Stanu, Skarbu, Bezpieczeństwa Krajowego, Energii oraz Pentagonu. Złośliwe oprogramowanie, odkryte w grudniu, było obecne w amerykańskiej cyberprzestrzeni od marca 2020 roku. Mogło to dać hakerom wystarczająco dużo czasu, aby uzyskać dostęp do tajnych informacji, zarówno w sektorze publicznym, jak i prywatnym.
Korporacja FireEye, z siedzibą w Kalifornii, zajmująca się bezpieczeństwem cybernetycznym, odkryła na początku grudnia, że padła ofiarą cyberataku. Firma odnalazła wirusa w marcowej aktualizacji oprogramowania Orion. System operacyjny, opracowany i dystrybuowany przez spółkę SolarWinds, jest wykorzystywany do wykrywania luk w sieciach setek tysięcy instytucji oraz firm na całym świecie, w tym większości spółek z rankingu Financial Times Global 500. Dlatego też tak ważne jest, aby system ten posiadał ostateczny zarys wszystkich procesów zachodzących w sieci, zarówno wewnętrznych, jak i zewnętrznych, co czyni go wartościowym celem cyberataków.
Gdy oceniono już skalę ataku, Kevin Thompson, dyrektor generalny spółki Solar Winds, ogłosił, że firma ściśle współpracuje z korporacją FireEye, FBI oraz Agencją Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) celem wyjaśnienia jego przyczyn, przeciwdziałania dalszej infiltracji amerykańskich sieci, a także potencjalnej kradzieży tajemnic państwowych. Ponadto FBI, CISA oraz Biuro Dyrektora Wywiadu Narodowego (ODNI) weszły w skład grupy „Cyber Unified Coordination Group” (UCG), której wyłącznym celem jest koordynacja całościowej odpowiedzi na ww. incydent. Agencja CISA pozostaje również w stałym kontakcie z przedstawicielami sektora publicznego i prywatnego – pomaga im w przeciwdziałaniu utracie danych poprzez udzielanie pomocy technicznej oraz wskazywanie dobrych praktyk, które mają na celu zwiększenie poziomu ich cyberbezpieczeństwa. Choć podjęte działania wydają się być wyjątkowo skoordynowane, należy pamiętać, że wykradzione informacje pozostaną w rękach hakerów. W ostrzeżeniu agencji CISA możemy przeczytać, że „usunięcie podmiotu stanowiącego zagrożenie ze zinfiltrowanych środowisk, będzie dla organizacji procesem wysoce złożonym i trudnym w realizacji”. Dowiadujemy się również, że podmiot atakujący stosował „taktyki, techniki i procedury, które nie zostały dotychczas odkryte”. Jednak to nie zastosowany sposób infiltracji był nieoczekiwany. Metoda „łańcucha dostaw” (supply chain attack), polega na uzyskaniu dostępu do informacji należących do celu ataku poprzez przeniknięcie do jego wiarygodnego i zaufanego podmiotu zewnętrznego (w tym przypadku oprogramowania Orion). Atakujący uzyskali więc strategiczną przewagę dzięki swojemu rozważnemu podejściu, pozostając trudnymi do wykrycia. Nie spieszyli się, by wydobyć informacje – zamiast tego uznali, że ostrożniejsze działanie „dziś” pozwoli uzyskać lepsze wyniki „jutro”. Złośliwe oprogramowanie systematycznie ocenia wartość każdego użytkownika, do którego dociera, pod kątem mocy jego poświadczeń, infiltrując coraz więcej połączeń. Skrupulatnie rozbudowuje ono sieć, aż dotrze do użytkownika wysokiej rangi, który posiada wystarczającą liczbę uwierzytelnień w systemach danej organizacji. Następnie wykrada tajne informacje, nie wzbudzając przy tym żadnych podejrzeń. Dzięki tej metodzie hakerom udało się pozostać niezauważonym w obcych systemach przez dziewięć miesięcy.
Ten sposób postępowania został uznany przez amerykańskie władze za charakterystyczny dla projektów sponsorowanych przez państwo, a nie dla niezależnej grupy hakerów. Jego złożoność, przypominająca wojskową, oraz wzorowe wykonanie, musiały wymagać dużej wydajności pracy oraz znacznych środków. Specjaliści zajmujący się kryzysem nie wskazywali na żaden konkretny kraj jako źródło ataku. Zrobili to jednak inni eksperci, którzy zidentyfikowali liczne podobieństwa między ww. atakiem a tym, którego rosyjscy (wojskowi) hakerzy dokonali w 2017 roku. Jego celem były wówczas zachodnie firmy, które prowadziły interesy na Ukrainie. Wirus NotPetya został określony jako „najbardziej szkodliwy cyberatak do tej pory” – kwestią otwartą pozostaje, czy utrzyma ten tytuł. Dopiero 5 stycznia Stany Zjednoczone oficjalnie powiązały atak z Kremlem. We wspólnym oświadczeniu FBI, Departamentu Bezpieczeństwa Krajowego (DHS), Dyrektora Wywiadu Narodowego (DNI) oraz Agencji Bezpieczeństwa Narodowego (NSA), został on określony jako „prawdopodobnie rosyjskiego pochodzenia”. Podczas gdy to oskarżenie, być może poparte dowodami, jest wciąż wątpliwe i bardziej natury dyplomatycznej, niektórzy politycy wysuwali śmielsze twierdzenia już w grudniu. Te ze strony sekretarza stanu Mike’a Pompeo oraz ówczesnego prokuratora generalnego Williama Barra, okazały się zbieżne z ostatnimi ustaleniami, w przeciwieństwie do tych wysuwanych przez Donalda Trumpa. Były prezydent podszedł do sprawy w zaskakujący sposób. Jego administracja oceniła cyberatak jako „poważne zagrożenie” zarówno dla sieci rządowych, jak i prywatnych firm. Nie dość, że Trump nigdy nie poruszył go w debacie publicznej, to jeszcze oskarżył media o wyolbrzymianie problemu. Ponadto, bezpodstawnie oskarżył o niego Chiny.
Według Chrisa Paintera, koordynatora polityki cybernetycznej Departamentu Stanu w trakcie kadencji Baracka Obamy, cyberbezpieczeństwo Ameryki nie było priorytetem Trumpa. Natomiast zespół ds. bezpieczeństwa narodowego administracji Bidena zapowiedział już, że będzie mniej tolerancyjny wobec agresji Rosji w sferze cybernetycznej. Wkrótce powinniśmy przekonać się czy oznacza to przeznaczenie większych środków na badania, rozwój i utrzymanie infrastruktury ochronnej, czy też podjęcie ostrzejszej reakcji dyplomatycznej oraz ekonomicznej na szczeblu federalnym. Z racji tego, że operacje cybernetyczne mają więcej wspólnego ze szpiegostwem niż z tajnymi działaniami wojskowymi, nigdy nie ma całkowitej pewności skąd pochodzi atak. Trudno również o zgromadzenie niepodważalnych dowodów potwierdzających potencjalne oskarżenia. Fakt ten w dużym stopniu ogranicza zakres mechanizmów odwetowych i sprawia, że są one bardziej podatne na potępienie na forum międzynarodowym lub, co gorsza, przez samego agresora – umożliwiając tym samym eskalację wzajemnych porachunków.
Skala szkód nie została dotychczas oszacowana i raczej nigdy nie zostanie – podobnie jak w przypadku skutków zdrady George’a Blake’a, który w czasach zimnej wojny szpiegował rząd brytyjski na zlecenie Związku Radzieckiego. Rzeczywiście, trwający atak jest pod wieloma względami podobny do konwencjonalnego szpiegostwa. Rosyjscy agenci są szkoleni przez lata, zanim zostaną umieszczeni w konkretnym środowisku – podobnie musiał wyglądać proces tworzenia złośliwego oprogramowania. Ich głównym celem w pierwszych miesiącach na wrogim terytorium jest wtopienie się w tłum – przez wiele miesięcy pozostawało więc ono w ukryciu. Ten nienazwany jeszcze, choć z pewnością zasługujący na „tytuł” wirus, jest arcydziełem rozumu i wywiadu. To, co Zachód musi teraz zrobić, to pokornie wyciągnąć wnioski. Moskwa staje się coraz bardziej pewna siebie, a skuteczność jej operacji cybernetycznych rośnie. Zasięg rosyjskich ataków hybrydowych jest globalny, a te są coraz bardziej efektywne – poczynając od prób włamania się do systemów Białego Domu i Partii Demokratycznej w 2014 i 2015 roku, przez ingerencję w amerykańskie wybory w 2016 roku, aż po próby kradzieży tajnych informacji dotyczących prac nad szczepionką przeciwko koronawirusowi od USA, Kanady i Wielkiej Brytanii w 2020 roku. Najnowszy wirus komputerowy jest obecny również poza Ameryką – m.in. w Parlamencie Europejskim, brytyjskim rządzie i Narodowej Służbie Zdrowia (NHS) czy Agencji Wsparcia i Zakupów NATO (NSPA). Niepokojącym pozostaje fakt, iż rzeczone przypadki nie były wystarczająco nagłaśniane przez media.
Aby zapobiec atakom typu „supply chain” w przyszłości oraz wzmocnić swoją cyberodporność, NATO musi zadbać o współpracę z państwami członkowskimi. Co więcej, Sojusz powinien zachęcać słabo zaawansowane technologicznie kraje do nadrobienia zaległości. Uzyskanie dostępu do tajnych informacji z rządowego systemu jednego kraju może skutkować ujawnieniem tajemnic również innych państw. To z kolei umożliwi stworzenie zainfekowanej sieci – tym razem w obrębie jednostek stowarzyszonych. Po raz kolejny zdajemy sobie sprawę z tego, że tylko poprzez jedność i wzajemną współpracę możemy ochronić nasze swobody i wartości demokratyczne.
Jędrzej Duszyński
Absolwent Worth School, brytyjskiej szkoły prywatnej, gdzie na pełnym stypendium naukowym spędził dwa ostatnie lata liceum. Zdobywał doświadczenie zawodowe podczas stażu w Institute of Economic Affairs oraz w londyńskiej siedzibie firmy konsultingowej Oliver Wyman. Obecnie Asystent Projektów w think tanku Warsaw Institute.
Niniejszy artykuł powstał w ramach działalności społeczno-misyjnej polskiego think tanku Warsaw Institute. Jeśli cenicie Państwo przygotowane przez naszych ekspertów treści, apelujemy o wsparcie finansowe naszej działalności realizowanej na zasadzie non-profit. Do regularnych darczyńców przysyłamy bezpłatnie anglojęzyczny kwartalnik The Warsaw Institute Review.Więcej informacji: www.warsawinstitute.org/support/Darowizny można dokonać bezpośrednio na konta bankowe:USD: PL 82 1020 4900 0000 8502 3060 4017EUR: PL 85 1020 4900 0000 8902 3063 7814GBP: PL 18 1020 4900 0000 8302 3069 6641PLN : PL 41 1020 1097 0000 7202 0268 6152SWIFT: BPKOPLPWDziękujemy!
Warsaw Institute to polski think tank zajmujący się geopolityką. Główne obszary badawcze to stosunki międzynarodowe, bezpieczeństwo energetyczne oraz obronność. Warsaw Institute wspiera Inicjatywę Trójmorza oraz stosunki transatlantyckie.
Warsaw Institute is a Polish think tank focusing on geopolitics. The main research areas are international relations, energy security and defense. The Warsaw Institute supports the Three Seas Initiative and transatlantic relations.
Mariusz Misiewiczjest licencjonowanym agentem obrotu nieruchomościami z HomeSmart Connect w Chicago. Dzięki umiejętnościom i doświadczeniu oferuje usługi na wysokim poziomie, które należą się klientom. Od 2006 r. pracuje nie tylko z kupującymi i sprzedającymi, ale także z firmami REO. Zdobywca wielu nagród branżowych, m.in. ERA Top Producer Award, Coldwell Banker Outstanding Performance Award oraz International Sterling Society Award.Mariusz „Mario” MisiewiczHomeSmart Connecttel. (773) 412-0517e-mail: [email protected]
USA Under Attack – A Living Case of Cyber Warfare
The United States is currently undergoing a significant cyberattack. Among over 18,000 potentially affected users, many have been confirmed to operate within the networks of federal agencies, including the State Department, Treasury, Department of Homeland Security, Pentagon, and Department of Energy. The malware discovered in December has been present in American cyberspace since March 2020, which might have given the invaders enough undercover time to access classified information across both the public and private sectors.
In early December, a California-based cybersecurity corporation, FireEye, noticed that it had undergone a cyberattack. The company tracked the malware’s origin back to a March update of the Orion software. The operating system, developed and distributed by SolarWinds, is used globally by hundreds of thousands of institutions and businesses, including most of the Financial Times Global 500 companies, to detect vulnerabilities in their networks. Therefore, it is inherent to the system to have an ultimate overview of all the processes within a network, both internal and externally, making it a valuable target of cyberattacks.
Once the scale of the breach has been realized, Kevin Thompson, the CEO of Solar Winds, quickly announced the corporation was working closely with FireEye, FBI, and the Cybersecurity & Infrastructure Security Agency (CISA) to investigate the attack, counteract further infection of American networks and, potentially, theft of federal secrets. Furthermore, together with the Director of National Intelligence, the three institutions formed a Cyber Unified Coordination Group, whose sole purpose is to coordinate a holistic response to the incident. CISA has also remained in regular contact with the public and private sector to help them counteract the breach of their data by offering technical assistance and advising best-practices that should strengthen their cyber safety. Although the actions undertaken seem impressively coordinated, one should remember that the information stolen will remain in the hands of the aggressor. In an alert by CISA we can read that “removing [the] threat actor from compromised environments will be highly complex and challenging for organisations.” We also learn that the invader employed “tactics, techniques, and procedures that have not yet been discovered.” It is not, however, the strategy of infiltration used that was not expected; known as the “supply-chain” method, the tactic involves accessing a target’s information via corrupting its reliable, trusted third-party (the Orion software in this case). On the contrary, the attackers gained a crucial strategic advantage by their judicious, silent approach. They did not hurry to extract information as soon as possible – instead, they acknowledged that a more careful and restrained approach ‘today’ will enable better results ‘tomorrow’. The malware methodically analyses the value of each client it reaches with respect to the strength of their credentials, corrupting more and more connections. It meticulously builds a network until a top-priority user with enough accreditations within their organisation’s systems is reached. Then, it extracts classified information without raising any concerns about its legitimacy. Thanks to this method, the attackers managed to prevail in the foreign systems for nine months without the victim even noticing their presence.
This incredibly clever tactic was quickly assumed by American authorities to be a product of a nation-state rather than an independent group of hackers. The complex military-like design and its perfect execution must have required large working capacity and resources. Yet while officials handling the crisis did not point in the direction of any specific country, others did. Experts quickly identified the tactical similarities between the ongoing breach and the one used by Russian military hackers in 2017 against Western companies engaged in business in Ukraine. The virus called NotPetya has been described as “the most damaging cyberattack to date” – whether it will retain this notorious title remains to be seen. Only on January 5 did the U.S. officially associate the breach to the Kremlin in a joint statement by the FBI, Department of Homeland Security, Director of National Intelligence, and the National Security Agency, calling it “likely Russian in origin.” While this accusation, perhaps backed by evidence, is still uncertain and rather diplomatic in its nature, some politicians made bolder claims as early as in December. Those of Mike Pompeo, the State Secretary, and William Barr, the then-Attorney General, proved to coincide with the recent findings, unlike those made by Trump. The former president took a surprising approach to the problem which his administration assessed to be of a “grave risk” to government networks as well as private companies. Not only did Trump never brought the cyberattack to the public debate, but he also accused the media of inflating the severity of the breach. Additionally, he mistakenly put the blame on China.
According to Chris Painter, the coordinator of State Department’s cyber policy during Obama’s presidency, America’s cybersecurity was not one of Trump’s priorities. On the contrary, the national security team of Biden’s administration has already announced that it will be less tolerant to Russia’s aggression in the cyber sphere. We should soon find out if this means allocating more resources to the research, development, and maintenance of the protective infrastructure, or adopting a stricter diplomatic and economic response on the federal level. However, since cyber operations share more common ground with espionage than with covert military actions, one can never be entirely sure from where an attack comes nor have uncompromised evidence to prove their accusations. This fact largely restricts the scope of retaliatory mechanisms and makes them more vulnerable to condemnation on the international forum or, worse, the initial aggressor themselves – thus giving room for an escalating tit-for-tat.
For now, however, the scale of harm has not yet been evaluated and is unlikely to ever be – just like it was with the impact of George Blake’s betrayal, who spied for the Soviet Union within the British government during the Cold War era. Indeed, the ongoing breach is on many levels similar to traditional espionage. Russian spies are trained for years before being “planted” in the region of interest – so must have been the process of designing and developing the malware. Their main objective in the first months on the enemy’s terrain is to blend in – so did it remain silent for months, literally. This not-yet-named, though certainly worthy of a ‘title’, virus is a masterpiece of intelligence – in both meanings of the word. What the West must now do is to humbly learn the lesson. Moscow is becoming increasingly confident and efficient in their cyber-operations. From trying to hack into the White House and the Democratic Party systems in 2014 and 2015, to meddling in the 2016 American elections, to trying to steal the secrets of the work on coronavirus vaccine from the US, Canada, and the UK in 2020, the reach of Russian hybrid attacks has been truly global and increasingly successful – with the most recent virus present also beyond America in the European Parliament, UK central government and National Health Service, or NATO Support Agency to name just a few. Worryingly, these cases have received disproportionately little coverage from the media.
To prevent a larger-scale supply-chain attack in the future, NATO must ensure to work collaboratively with its members to improve its cyber-resistance. Moreover, it should nudge the less technologically-developed of its states to catch up with the work. Accessing classified information in one country’s government systems may disclose the secrets of other states, too, thus enabling the build-up of an infected network, but this time across federal units. We are yet again reminded that only through unity and mutual cooperation can we protect our liberties and democratic values.
Author: Jędrzej Duszyński
Alumnus of Worth School, a British Independent School, where he pursued Sixth Form education on a full academic scholarship. Alumnus and Volunteer at United World Colleges Poland. He gained professional experience during a research internship at Institute of Economic Affairs and a consulting work placement at Oliver Wyman, London. He currently works as a Project Assistant at the Warsaw Institute think tank.
