Rus Hacking Anlaşması Arttıkça Alarm da Büyüyor

Seçim Günü, ülkenin en büyük siber savaşçısı General Paul M. Nakasone, başkanlık kampanyasına Rus müdahalesine karşı verilen savaşın büyük başarılar sağladığını ve karşı tarafın çevrimiçi silahlarını, araçlarını ve ticaretini açığa çıkardığını bildirdi.

Gazetecilere, “Faaliyetlerimizi genişlettik ve şu anda bulunduğumuz yerde kendimizi çok iyi hissediyoruz” dedi.

Sekiz hafta sonra, General Nakasone ve siber güvenlikten sorumlu diğer Amerikalı yetkililer artık en az dokuz ay boyunca kaçırdıkları şeylerle tüketiliyor: Rusya’nın seçim sistemini hedeflemediği 250 federal kurum ve işletmeyi etkilediğine inanılan bir bilgisayar korsanlığı. ama Birleşik Devletler hükümetinin geri kalanında ve birçok büyük Amerikan şirketlerinde.

İzinsiz girişin ortaya çıkmasından üç hafta sonra, Amerikalı yetkililer, Rusların başardığı şeyin basitçe Amerikan bürokrasisinin sistemleri içindeki bir casusluk operasyonu mu yoksa devlet kurumlarına ve büyük şirketlere “arka kapı” erişimi sağlayan daha kötü bir şey mi olduğunu anlamaya çalışıyorlar. elektrik şebekesi ve yeni nesil nükleer silahlar geliştiren ve taşıyan laboratuvarlar.

En azından, Birleşik Devletler’deki hükümet ve özel sektör ağlarının savunmasızlığı konusunda alarmlar verdi ve ülkenin siber savunmalarının nasıl ve neden bu kadar olağanüstü bir şekilde başarısız olduğuna dair sorular sordu.

Her ikisi de General Nakasone tarafından yönetilen ordunun Siber Komutanlığı ve Ulusal Güvenlik Teşkilatı gibi siber savunma sorumluluğunu paylaşan herhangi bir devlet kurumu tarafından ihlalin tespit edilmediği göz önüne alındığında, bu sorular özellikle aciliyet kazanmıştır. İç Güvenlik Bakanlığı – ancak özel bir siber güvenlik şirketi olan FireEye tarafından.

Virginia Demokrat ve Senato İstihbarat Komitesi’nin rütbeli üyesi Senatör Mark Warner “Bu, ilk korktuğumdan çok daha kötü görünüyor” dedi. “Boyutu genişlemeye devam ediyor. Amerika Birleşik Devletleri hükümetinin gözden kaçırdığı açık. ”

“Ve eğer FireEye öne çıkmasaydı,” diye ekledi, “Bugüne kadar bunun tam olarak farkında olacağımızdan emin değilim. ”

İstihbarat teşkilatlarının Rusya’nın S.V.R. istihbarat servisi tarafından bir operasyon olduğuna inandıklarını araştıran kilit oyuncularla yapılan görüşmeler şu noktaları ortaya çıkardı:

• İhlal ilk tahmin edilenden çok daha geniş. İlk tahminler, Rusya’nın, SolarWinds adlı bir Texas şirketi tarafından yapılan ağ yönetim yazılımına kod eklediklerinde eriştikleri 18.000 hükümet ve özel ağdan yalnızca birkaç düzine probunu gönderdiği yönündeydi. Ancak Amazon ve Microsoft gibi bulut hizmetleri sunan işletmeler kanıt bulmak için daha derine indikçe, Rusya’nın 250’ye kadar ağa erişim sağlamak için tedarik zincirinin birden çok katmanını kullandığı görülüyor.

• Bilgisayar korsanları, Birleşik Devletler’deki sunuculardan izinsiz girişleri yöneterek, Ulusal Güvenlik Ajansı’nın yerel gözetime girme konusundaki yasal yasaklarını istismar etti ve İç Güvenlik Bakanlığı tarafından kullanılan siber savunmaları atlattı.

• Demleme saldırılarını tespit etmek için Cyber ​​Command ve Ulusal Güvenlik Ajansı tarafından yabancı ağların derinliklerine yerleştirilen “erken uyarı” sensörleri açıkça başarısız oldu. Ayrıca, herhangi bir insan istihbaratının ABD’yi bilgisayar korsanlığı konusunda uyardığına dair henüz bir gösterge yok.

• Hükümetin 2020’de kritik olmakla birlikte seçim savunmasına yaptığı vurgu, kaynakları ve dikkati yazılımın “tedarik zincirini” korumak gibi uzun süredir devam eden sorunlardan uzaklaştırmış olabilir. Özel sektörde de FireEye ve Microsoft gibi seçim güvenliğine odaklanan şirketler, artık daha büyük tedarik zinciri saldırısının bir parçası olarak ihlal edildiğini ortaya koyuyor.

• Bilgisayar korsanlarının saldırıları için bir kanal olarak kullandıkları şirket olan SolarWinds, mevcut ve eski çalışanlarına ve hükümet müfettişlerine göre ürünlerini kolay bir hedef haline getiren zayıf bir güvenlik geçmişine sahipti. 11 yıl sonra işinden ayrılan CEO’su Kevin B. Thompson, şirketinin izinsiz girişi tespit edip etmediği sorusunu bir kenara attı.

• Ele geçirilen SolarWinds yazılımlarından bazıları Doğu Avrupa’da tasarlandı ve Amerikalı araştırmacılar şimdi, Rus istihbarat görevlilerinin köklü olduğu bir saldırının oradan kaynaklanıp kaynaklanmadığını inceliyorlar.

Saldırının ardındaki niyetler örtülüdür. Ancak yeni bir yönetimin üç hafta içinde göreve başlamasıyla bazı analistler, Rusların Washington’un iletişiminin güvenliğine olan güvenini sarsmaya ve nükleer silah görüşmelerinden önce Cumhurbaşkanı seçilen Joseph R. Biden Jr.’a karşı avantaj elde etmek için siber saldırılarını göstermeye çalışıyor olabileceğini söylüyor. .

Obama yönetimi sırasında İç Güvenlik Departmanında kıdemli siber yetkili olan Suzanne Spaulding, “Rusya’nın stratejik hedeflerinin ne olduğunu hâlâ bilmiyoruz” dedi. Ancak bunun bir kısmının keşiflerin ötesine geçebileceği konusunda endişelenmeliyiz. Amaçları, bizi Putin’e karşı hareket etmekten caydırmak için kafamıza silah dayamak gibi yeni yönetim üzerinde baskı kuracak bir konuma getirmek olabilir. “

Ticaret Bakanlığı ve Hazine Bakanlığı, Dışişleri Bakanlığı, Ticaret Bakanlığı, Enerji Bakanlığı ve Pentagon’un bazı kısımları ihlalin hedefi oldu. Kredi. . . The New York Times için Alyssa Schukar

Büyüyen Hit Listesi

ABD hükümeti açıkça saldırının ana odağıydı ve ajanslar arasında Hazine Bakanlığı, Dışişleri Bakanlığı, Ticaret Bakanlığı, Enerji Bakanlığı ve Pentagon’un bazı kısımlarının sızdığı doğrulandı. (Savunma Bakanlığı, herhangi bir kanıt sunmasa da, sistemlerine yapılan saldırıların başarısız olduğu konusunda ısrar ediyor.)

Ancak bilgisayar korsanlığı, birçoğu henüz bir adım atmamış olan çok sayıda şirketi de ihlal etti. SolarWinds’in, Rusya’nın hacklemede kullandığı birkaç tedarik zinciri satıcısından biri olduğuna inanılıyor. 17 Aralık itibariyle 40 kurbanı sayan Microsoft, başlangıçta ihlal edilmediğini, sadece bu hafta olduğunu ve yazılımın satıcılarının da olduğunu keşfettiğini söyledi. Amazon’un istihbarat ekibi tarafından daha önce bildirilmeyen bir değerlendirme, kurban sayısının beş kat daha fazla olabileceğini ortaya çıkardı, ancak yetkililer bazılarının iki kez sayılabileceği konusunda uyardı.

Kamuoyunda, yetkililer, Rusya’daki S.V.R. korsanlarının hassas iletişim ve planlar içeren gizli sistemleri deldiğine inanmadıklarını söylediler. Ancak özel olarak, yetkililer neyin çalınmış olabileceğine dair hala net bir tabloya sahip olmadıklarını söylüyorlar.

Bilgisayar korsanlarının Federal Enerji Düzenleme Komisyonu gibi kurbanlardan almış olabileceği hassas ancak sınıflandırılmamış veriler konusunda endişelendiklerini söylediler, Black Start da dahil olmak üzere, ABD’nin felaketle sonuçlanan bir kesinti durumunda gücü nasıl geri getirmeyi planladığına dair ayrıntılı teknik planlar.

Planlar, Rusya’ya 2015’te Ukrayna’da yaptığı saldırıya benzer bir saldırıda gücün geri gelmesini önlemek için hedefleyeceği bir sistem listesi verecek ve kışın ölümünde altı saat boyunca elektriği kesecek. Moskova uzun zaman önce Amerikan elektrik şebekesine kötü amaçlı yazılım yerleştirdi ve Amerika Birleşik Devletleri caydırıcı olarak aynısını Rusya’ya yaptı.

Bir Tedarik Zinciri İhlal Edildi

Araştırmanın şimdiye kadarki ana odak noktalarından biri, yazılımları bilgisayar korsanlarının tehlikeye attığı yazılımları güncelleyen Austin merkezli SolarWinds oldu.

Ancak İç Güvenlik Bakanlığı’nın siber güvenlik kolu, bilgisayar korsanlarının başka kanallar üzerinden de çalıştığı sonucuna vardı. Ve geçen hafta, başka bir güvenlik şirketi olan CrowdStrike, aynı hackerlar tarafından ancak Microsoft yazılımını yeniden satan bir şirket aracılığıyla başarısızlıkla hedef alındığını ortaya çıkardı.

Satıcılara genellikle müşterilerin yazılımlarını kurma görevi verildiğinden, SolarWinds gibi, Microsoft müşterilerinin ağlarına geniş erişime sahiptirler. Sonuç olarak, Rusya’nın bilgisayar korsanları için ideal bir Truva atı olabilirler. İstihbarat yetkilileri, Microsoft’un saldırıyı daha önce tespit etmediği için öfkesini dile getirdi; Perşembe günü bilgisayar korsanlarının kaynak kodunu görüntülediğini söyleyen şirket, hangi ürünlerinden etkilendiğini veya bilgisayar korsanlarının ağında ne kadar süredir bulunduğunu açıklamadı.

Obsidian Security’nin kurucusu Glenn Chisholm, “Tedarik zincirindeki en zayıf noktaları ve en güvenilir ilişkilerimizi hedeflediler,” dedi.

SolarWinds’in mevcut ve eski çalışanlarıyla yapılan görüşmeler, yazılımı Amerika’nın önde gelen siber güvenlik şirketi ve federal kurumlar tarafından benimsenmiş olsa bile, güvenliği bir öncelik haline getirmenin yavaş olduğunu gösteriyor.

Çalışanlar, eğitimli bir muhasebeci ve eski bir finans müdürü olan Bay Thompson’ın yönetiminde, işletmenin her bölümünün maliyet tasarrufu açısından incelendiğini ve masrafları nedeniyle ortak güvenlik uygulamalarından kaçınıldığını söylüyorlar. Yaklaşımı, SolarWinds’in yıllık kar marjının neredeyse üç katına çıkmasına yardımcı oldu ve 2010’da 152 milyon dolardan 2019’da 453 milyon doların üzerine çıktı.

Ancak bu önlemlerden bazıları şirketi ve müşterilerini saldırı için daha büyük risk altına sokmuş olabilir. SolarWinds mühendisliğinin çoğunu, mühendislerin Rusya temsilcilerinin tehlikeye attığı Orion ağ yönetimi yazılımına geniş erişime sahip olduğu Çek Cumhuriyeti, Polonya ve Beyaz Rusya’daki uydu ofislerine taşıdı.

Şirket yalnızca, yazılımlarının manipülasyonunun bir bilgisayar programı yerine insan korsanlarının işi olduğunu söyledi. İhlale içeriden bir kişinin dahil olma olasılığına kamuya açık bir şekilde değinmemiştir.

The New York Times’ın geçtiğimiz haftalarda temas kurduğu SolarWinds müşterilerinden hiçbiri, Doğu Avrupa’da bakımı yapılan yazılıma güvendiklerinin farkında değildi. Birçoğu yakın zamana kadar SolarWinds yazılımını kullandıklarını bile bilmediklerini söyledi.

Çalışanlar, yazılımı federal ağlar boyunca kurulmuş olsa bile, SolarWinds’in yeni bir Avrupa gizlilik yasasının cezası tehdidi altında yalnızca 2017’de güvenliği sağladığını söyledi. Çalışanlar, ancak o zaman SolarWinds’ın ilk baş bilgi yöneticisini işe aldığını ve bir “güvenlik mimarisi başkan yardımcısı” kurduğunu söylüyor. ”

SolarWinds’te eski bir siber güvenlik danışmanı olan Ian Thornton-Trump, o yıl yönetimi, iç güvenliğine daha proaktif bir yaklaşım benimsemediği takdirde, bir siber güvenlik olayının “felaket olacağı” konusunda uyardığını söyledi. Temel tavsiyeleri göz ardı edildikten sonra, Bay Thornton-Trump şirketten ayrıldı.

SolarWinds, güvenliğinin yeterliliği hakkındaki soruları yanıtlamayı reddetti. Yapılan açıklamada, “son derece gelişmiş, karmaşık ve hedefli bir siber saldırının kurbanı” olduğunu ve soruşturmak için kolluk kuvvetleri, istihbarat teşkilatları ve güvenlik uzmanlarıyla yakın işbirliği içinde olduğunu söyledi.

Ancak güvenlik uzmanları, SolarWinds’in web sitelerinin müşterilere güvenliği ihlal edilmiş kod sunmayı durdurmasından önce Rus saldırısının keşfedilmesinden günler geçtiğini belirtiyor.

Savunma Üzerinden Hücum

Son yıllarda siber güvenlik bütçelerindeki milyarlarca dolar, saldırgan casusluk ve önleyici eylem programlarına aktı; General Nakasone, operasyonlarına erken bir bakış elde etmek ve onlara karşı koymak için düşmanların ağlarını hackleyerek “ileriye dönük savunma” ihtiyacını ifade ediyor. Gerekirse saldırmadan önce kendi ağlarında.

Ancak bu yaklaşım, saldırıları önceden boşaltmak için gecikmiş bir strateji olarak selamlansa da, Rus ihlalini kaçırdı.

FireEye’a göre Ruslar, Amerika Birleşik Devletleri’ndeki sunuculardan saldırılarını sahneleyerek, bazı durumlarda kurbanlarıyla aynı kasaba veya şehirdeki bilgisayarları kullanarak, Ulusal Güvenlik Ajansı’nın yetkisindeki sınırlardan yararlandı. Kongre, ajansa veya yurt güvenliğine özel sektör ağlarına girme veya savunma yetkisi vermedi. Bu ağlarda S.V.R. ajanları daha az dikkatliydi ve FireEye’ın nihayetinde bulabildiği izinsiz girişleri hakkında ipuçları bıraktı.

Kendilerini SolarWinds’in Orion güncellemesine ekleyerek ve özel araçlar kullanarak, ülke güvenliğinin bilinen kötü amaçlı yazılımları yakalamak için devlet kurumları arasında uyguladığı “Einstein” algılama sisteminin ve açıkça tasarlanmış CDM programının alarmlarını tetiklemekten de kaçındılar. ajansları şüpheli faaliyetlere karşı uyarmak.

Bazı istihbarat yetkilileri, hükümetin başka yerlerde açıklıklar yaratacak kadar seçim müdahalesine odaklanıp odaklanmadığını sorguluyor.

İstihbarat teşkilatları aylar önce, Rusya’nın seçimlerin sonucunu etkilemeye yetecek kadar seçim sistemine sızamayacağına karar verdiğini ve bunun yerine dikkatini seçmenlerin haklarından mahrum bırakabilecek ve anlaşmazlığı artırmayı amaçlayan operasyonları etkileyebilecek fidye yazılımı saldırılarını saptırmaya ve sistemin dürüstlük ve seçmenlerin fikirlerini değiştiriyor.

Ekim 2019’da başlayan SolarWinds korsanlığı ve Microsoft’un bayilerine izinsiz giriş, Rusya’ya birden çok federal kurumdaki en savunmasız, en az savunulan ağlara saldırma şansı verdi.

General Nakasone röportaj yapmayı reddetti. Ancak Ulusal Güvenlik Teşkilatı sözcüsü Charles K. Stadtlander şunları söyledi: “Bunu bir ‘ya / ya da’ değiş tokuş olarak görmüyoruz. Seçim güvenliği çabaları sırasında inşa edilen eylemler, içgörüler ve yeni çerçeveler, ulusun ve ABD hükümetinin siber güvenlik duruşu üzerinde geniş olumlu etkilere sahiptir. ”

Aslında ABD, oyları değiştirmeyi amaçlayan bir saldırının maliyetli bir misillemeye yol açacağına Rusya’yı ikna etmeyi başarmış görünüyor. Ancak izinsiz girişin ölçeği odak noktasına geldikçe, Amerikan hükümetinin Rusya’yı ikna etmekte başarısız olduğu, federal hükümet ve şirket ağlarında geniş çaplı bir hacklemenin uygulanmasının benzer bir sonucu olacağı açıktır.

Hackerları Çıkarma

İstihbarat yetkilileri, bilgisayar korsanlığını tam olarak anlamalarının aylar, hatta yıllar alabileceğini söylüyorlar.

2017’de Kremlin’in en iyi muhbirinin çıkarılmasından bu yana, C.I.A.’nın Rusya operasyonları hakkındaki bilgisi azaldı. İstihbarat yetkilileri, S.V.R.’nin sırlarını Ulusal Güvenlik Teşkilatı’na ifşa edebilecek elektronik iletişimden kaçınarak dünyanın en yetenekli istihbarat servislerinden biri olarak kaldığını söylüyor.

S. V. R.’nin en iyi değerlendirmeleri Hollandalılardan geldi. 2014 yılında Hollanda Genel İstihbarat ve Güvenlik Servisi için çalışan hackerlar, grubun kullandığı bilgisayarları delip, en az bir yıl boyunca izlediler ve bir noktada kamera karşısında yakaladılar.

2014 ve 2015 yıllarında S.V. R.’nin sistemlerini hacklemesi konusunda Beyaz Saray ve Dışişleri Bakanlığı’nın uyarılmasına yardım eden Hollandalılardı. Grubun yıkıcı olduğu bilinmemekle birlikte, sızdığı bilgisayar sistemlerinden tahliye edilmesi çok zor.

S.V. R., Dışişleri Bakanlığı ve Beyaz Saray’daki sınıflandırılmamış sistemlere girdiğinde, o zaman Ulusal Güvenlik Ajansı müdür yardımcısı Richard Ledgett, ajansın “göğüs göğüse dövüşün dijital eşdeğeri ile uğraştığını söyledi. Bir noktada S. V. R., araştırmacıların Rus arka kapılarını sökmek için kullandıkları NetWitness Investigator aracına erişim kazandı ve hackerlar tespit edilmekten kaçmaya devam edecek şekilde onu manipüle etti.

Müfettişler, S.V.R.’yi kovduklarını, ancak grubun başka bir kapıdan içeri girdiğini keşfettiklerini varsayacaklarını söylediler.

Bazı güvenlik uzmanları, S.V.R.’nin bu kadar çok sayıda federal kurumdan kurtulmanın boşuna olabileceğini ve ileriye dönük tek yolun sistemleri kapatıp yeniden başlatmak olabileceğini söyledi. Diğerleri, bir pandeminin ortasında bunu yapmanın çok pahalı ve zaman alıcı olacağını ve yeni yönetimin, bir yanıtı kalibre etmeden önce tehlikeye atılan her sistemi tanımlayıp kontrol altına alması gerektiğini söyledi.

Şu anda bir güvenlik firması olan Vigilante’de istihbarat müdürü olan eski bir hükümet istihbarat analisti olan Adam Darrah, “SVR kasıtlı, karmaşık ve burada Batı’da yaptığımız yasal kısıtlamalara sahip değil” dedi. .

Yaptırımlar, iddianameler ve diğer tedbirlerin hızlı bir şekilde uyum sağlayabildiğini gösteren S.V. R.’yi caydırmakta başarısız olduğunu da sözlerine ekledi.

“Şu anda bizi çok yakından izliyorlar,” dedi Bay Darrah. “Ve buna göre dönecekler. “