W walce z rosyjskimi hakerami administracja Bidena robi postępy
Opublikowany: 2022-01-2314 stycznia 2022 r. FSB, rosyjska służba wywiadowcza, ogłosiła, że rozbiła osławioną rosyjską organizację przestępczą REvil zajmującą się oprogramowaniem ransomware. FSB poinformowała, że działania zostały podjęte w odpowiedzi na prośbę władz USA.
Ten ruch oznacza dramatyczną zmianę w reakcji Rosji na cyberataki kryminalne wymierzone w cele amerykańskie z Rosji i ma miejsce w czasie wzmożonych napięć między tymi dwoma krajami.
Polityka i działania USA w odpowiedzi na cyberataki na Rosję zmieniły się wyraźnie od czasu objęcia urzędu przez administrację Bidena.
Prezydent Joe Biden otwarcie skonfrontował się z prezydentem Rosji Władimirem Putinem w sprawie jego odpowiedzialności za międzynarodowe cyberataki, a administracja Bidena podjęła bezprecedensowe kroki w celu nałożenia kosztów na rosyjskich cyberprzestępców i udaremnienia ich wysiłków.
Po objęciu urzędu Biden natychmiast stanął przed trudnymi wyzwaniami ze strony rosyjskich agentów wywiadu i przestępców w nagłówkach cyberataków na prywatne firmy i infrastrukturę krytyczną.
Jako badacz rosyjskich operacji cybernetycznych widzę, że administracja poczyniła znaczne postępy w reagowaniu na rosyjską cyberagresję, ale mam też jasne oczekiwania co do tego, co narodowa cyberobrona może, a czego nie może zrobić.
Kompromis w łańcuchu dostaw oprogramowania
Hack SolarWinds przeprowadzony w 2020 roku był udanym atakiem na globalny łańcuch dostaw oprogramowania. Hakerzy wykorzystali uzyskany dostęp do tysięcy komputerów do szpiegowania dziewięciu amerykańskich agencji federalnych i około 100 firm z sektora prywatnego.
Amerykańskie agencje bezpieczeństwa poinformowały, że za zbieranie danych wywiadowczych odpowiedzialna była wyrafinowana grupa hakerska, „prawdopodobnie pochodzenia rosyjskiego”.
4 lutego 2021 r. Biden zwrócił się do Putina w oświadczeniu wygłoszonym w Departamencie Stanu. Biden powiedział, że czasy przewracania się Stanów Zjednoczonych w obliczu rosyjskich cyberataków i ingerencji w wybory w USA „minęły”.
Biden obiecał „nie wahać się przed podniesieniem kosztów dla Rosji”. Rząd USA nie wydał wcześniej aktów oskarżenia ani nie nałożył sankcji za cyberszpiegostwo, częściowo z obawy, że mogą one skutkować wzajemnymi działaniami Moskwy przeciwko hakerom z NSA i CIA.
Niemniej jednak Departament Skarbu USA nałożył sankcje na rosyjską Służbę Wywiadu Zagranicznego, SVR, 15 kwietnia 2021 r.
Biden podpisał również zarządzenie wykonawcze mające na celu modernizację cyberbezpieczeństwa rządu federalnego. Polecił agencjom wdrożyć systemy wykrywające włamania cybernetyczne, takie jak ten, który wykrył aktywność SolarWinds w Palo Alto Networks.
Równolegle jego agencje bezpieczeństwa opublikowały narzędzia i techniki wykorzystywane przez gangi SVR i ransomware, aby pomóc organizacjom w obronie przed nimi.
Sankcje gospodarcze i bariery techniczne nie spowolniły jednak wysiłków SVR w celu zebrania informacji na temat polityki zagranicznej USA. W maju 2021 r. Microsoft ujawnił, że hakerzy związani z Rosją wykorzystywali usługę masowej wysyłki Constant Contact.
Podszywając się pod amerykańską Agencję Rozwoju Międzynarodowego, wysłali autentycznie wyglądające wiadomości e-mail z odsyłaczami do ponad 150 organizacji, które po kliknięciu umieszczały złośliwy plik umożliwiający dostęp do komputera.
Ataki ransomware
Również w maju zamknięcie rurociągu kolonialnego przez atak ransomware przez rosyjski cybergang DarkSide wstrzymał przepływ prawie połowy gazu i paliwa do silników odrzutowych na Wschodnie Wybrzeże.
Spanikowani kierowcy rzucili się do tankowania, podczas gdy ceny rosły. Miesiąc później konsumenci zaczęli szukać alternatywy dla mięsa po tym, jak REvil zainfekował przetwórcę wołowiny i wieprzowiny JBS USA oprogramowaniem ransomware.
Biden powiedział, że Rosja ma „pewną odpowiedzialność, aby sobie z tym poradzić”. Na czerwcowym szczycie w Genewie przekazał Putinowi listę niedostępnej infrastruktury krytycznej, która w przypadku ataku zasługiwałaby na reakcję USA.
Jest prawdopodobne, że rosyjskie służby wywiadowcze i organy ścigania mają milczące porozumienie z cyberprzestępcami i mogą zamknąć swoje zasoby.
Chociaż nie liczył na to, że Putin wywrze wpływ, Biały Dom utworzył grupę zadaniową zajmującą się oprogramowaniem ransomware, która ma zaatakować gangi.
Pierwszym krokiem było wykorzystanie programu antyterrorystycznego, aby zaoferować nagrody w wysokości do 10 milionów dolarów za informacje o hakerach stojących za naruszeniami infrastruktury krytycznej usankcjonowanymi przez państwo.
W ścisłej współpracy z międzynarodowymi partnerami Departament Sprawiedliwości ogłosił aresztowanie obywatela Ukrainy w Polsce, oskarżonego o atak ransomware REvil na firmę Kaseya, dostawcę oprogramowania informatycznego.
Departament Sprawiedliwości przejął również 6,1 miliona dolarów w kryptowalucie od innego operatora REvil. Władze rumuńskie aresztowały dwóch innych osób zamieszanych w ataki REvil.
Amerykańskie organy ścigania przechwyciły 2,3 miliona dolarów zapłacone DarkSide przez Colonial Pipeline jako okup za pomocą klucza prywatnego do odblokowania bitcoina. A Departament Skarbu zakłócił działanie wirtualnych giełd walutowych SUEX i Chatex za pranie dochodów z oprogramowania ransomware.
Sankcje Departamentu Skarbu zablokowały całą ich własność w USA i zabroniły obywatelom USA zawierania z nimi transakcji.
Ponadto czołowy amerykański cyberwojownik, gen. Paul Nakasone, po raz pierwszy publicznie przyznał, że wojsko USA podjęło ofensywne działania przeciwko grupom oprogramowania ransomware. W październiku US Cyber Command zablokowało witrynę REvil, przekierowując ruch, co uniemożliwiło grupie wyłudzanie ofiar. Po tym, jak REvil zdał sobie sprawę, że jego serwer został naruszony, zaprzestał działania.
Granice odpowiedzi USA
Rosja przeprowadza lub aprobuje cyberataki ze strony państwowych i grup przestępczych, które wykorzystują luki w prawie międzynarodowym i unikają przekraczania narodowych granic bezpieczeństwa.
W październiku SVR zintensyfikował próby włamania się do firm technologicznych w celu kradzieży poufnych informacji. Urzędnicy amerykańscy uznali tę operację za rutynowe szpiegostwo. Fakt, że prawo międzynarodowe nie zabrania szpiegostwa per se, uniemożliwia amerykańskie reakcje, które mogłyby służyć jako silny środek odstraszający.
Podobnie po tym, jak we wrześniu cybergang BlackMatter przeprowadził atak ransomwware na spółdzielnię rolniczą w stanie Iowa, gang twierdził, że spółdzielnia nie jest zaliczana do infrastruktury krytycznej. Twierdzenie gangu odnosi się do celów cyberataków, które skłoniłyby rząd USA do krajowej reakcji.
Pomimo tej niejasności administracja uwolniła wojsko, aby udaremnić wysiłki grup oprogramowania ransomware, podczas gdy organy ścigania ścigały swoich przywódców i ich pieniądze, a organizacje w USA wzmocniły obronę swoich systemów informatycznych.
Chociaż kontrolowani przez rząd hakerzy mogą się utrzymywać, a grupy przestępcze mogą zniknąć, odbudować się i zmienić markę, moim zdaniem wysokie koszty narzucone przez administrację Bidena mogą utrudnić ich sukces.
Niemniej jednak należy pamiętać, że narodowa cyberobrona jest niezwykle trudnym problemem i jest mało prawdopodobne, aby Stany Zjednoczone były w stanie wyeliminować zagrożenie.
Uwaga wydawcy: Ten artykuł został napisany przez Scotta Jaspera, starszego wykładowcę ds. bezpieczeństwa narodowego w Naval Postgraduate School i ponownie opublikowany za zgodą The Conversation na licencji Creative Commons. Przeczytaj oryginalny artykuł.
Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.
Rekomendacje redaktorów:
- Oszuści kradną czeki ze skrzynek pocztowych i zamieniają je w bitcoiny – oto jak to robią
- Nissan może być obecnie największym zagrożeniem dla Tesli – oto dlaczego
- Computer Space zrewolucjonizował branżę gier – oto dlaczego prawdopodobnie o niej nie słyszałeś
- Śledztwo WSJ w sprawie Facebooka może w końcu wpędzić Marka Zuckerberga w poważne kłopoty
