Afera „SolarWinds“: Zašto je najnoviji hakerski napad bez presedana?

Krajem 2019. ili početkom 2020. godine, najmanje jedna grupa hakera ubacila je malver u mrežni softver kompanije SolarWinds, sa sedištem u gradu Ostinu, u Teksasu. Ova kompanija je ciljana iz strateških razloga, s obzirom da ima ogromnu američku i globalnu klijentelu iz javnog, privatnog i neprofitnog sektora.

Nakon što je provaljen u decembru 2020. godine, štetni malver poznat kao Sunburst ili Solorigate verovatno je najveći slučaj sajberšpijunaže u istoriji. Mesecima su se napadači infiltrirali u državne institucije i preduzeća preko Oriona, zaštitnog softvera kompanije SolarWinds.

Napad na SolarWinds izdvaja se iz serije sličnih incidenata po svom obimu. Prema prijavama podnetim američkoj Komisiji za hartije od vrednosti, kompanija ima preko 300.000 klijenata širom sveta. Tokom 2020. godine, otprilike 18.000 njih je dobilo nove verzije softvera od SolarWindsa. Do danas je najmanje 250 mreža bilo pogođeno zaraženim fajlom. Nakon preuzimanja fajla, virus kreira backdoor u mreži preko kojeg se vrši prenos datoteka, blokiranje usluga i restartovanje mašina.

U oštećene institucije spadaju američka ministarstva odbrane, bezbednosti, unutrašnjih poslova, energetike i finansija, svih pet rodova američke vojske, Nacionalna uprava za nuklearnu bezbednost i 425 kompanija sa liste 500 najbogatijih, uključujući Cisco, Equifax, MasterCard i Microsoft. U prošlosti je bilo i drugih velikih sajbernapada, ali nijedan nije bio ovako efikasan. Ugrožavanjem moćnih vlada i preduzeća, hakovanje SolarWindsa razbilo je iluziju o informatičkoj sigurnosti, a uplašilo je i sektor finansijskih usluga.

Nekoliko sati nakon otkrivanja napada, američki zvaničnici i stručnjaci za digitalnu bezbednost označili su rusku Spoljnu obaveštajnu službu (SVR) kao mogućeg krivca. Njena elitna hakerska jedinica, poznata kao APT29 ili „Cozy Bear“, je dobro poznat protivnik. Navodno je ova jedinica odgovorna i za hakovanje službi Bele kuće, Stejt departmenta i generalštaba tokom 2014. i 2015., kao i hakovanje Demokratskog nacionalnog komiteta tokom predizborne kampanje 2016. godine. SVR je hakovao servere stranke zajedno sa drugim ruskim timom, APT28 ili „Fancy Bear“, koji kontroliše ruska vojno-obaveštajna agencija (GRU).

Američki istražitelji ispituju i JetBrain, češku firmu osnovanu u Rusiji, zbog širenja zaraženog koda putem svoje TeamCity usluge. Sa svoje strane, ruska ambasada u Vašingtonu reagovala je izjavom na Fejsbuku, u kojoj negira odgovornost, tvrdeći da su takvi napadi suprotni ruskim spoljnopolitičkim interesima. U izjavi takođe stoji da „Rusija ne izvodi ofanzivne operacije u sajber domenu“. Protiveći se sopstvenom državnom sekretaru i obaveštajnim službama, američki predsednik Tramp se složio sa Rusima i kao mogućeg krivca označio Kinu.

Ono što hakovanje SolarWindsa razlikuje od drugih sajbernapada jeste način na koji je izveden. Za razliku od slučajeva phishinga i hakovanja kompanija poput Equifax i Sony, izuzetno je teško ući u trag napadačima na SolarWinds, te utvrditi koji podaci su otključani i ukradeni. To je zato što žrtva napada nije bila samo jedna organizacija ili sektor, pa je nemoguće prosto ukloniti malver brisanjem čitavog sistema.

Upravo je suprotno: hakeri će imati dugoročni pristup jer stalno dodaju nova ovlašćenja i koriste administrativne privilegije kako bi imali pristup raznim delovima IT infrastrukture svojih žrtava. To znači da bi ova sofisticirana operacija, uključujući krađu informacija sa zaštićenih mreža, mogla da traje godinama.

Napad na SolarWinds je u bezbednosnim krugovima poznat kao ugrožavanje kaskadnog lanca snabdevanja, što znači da ne cilja samo direktne klijente kompanije. Iako se još ne zna koliko država i preduzeća je pogođeno, desetine hiljada drugih su u opasnosti, iako nemaju veze sa SolarWindsom. Budući da je softver napravljen za nadziranje digitalnih mreža, što ga stavlja u srce IT infrastrukture, omogućen mu je širok pristup i potencijal za štetno delovanje.

Da stvar bude gora, SolarWinds je navodno podsticao kupce da smanje postojeće antivirusne i sigurnosne protokole, što znači da je napadu bio izložen veći deo mreže nego obično. Napadači su iskoristili neograničeni pristup za krađu dozvola i izvornog koda od kompanija poput Microsofta kako bi ciljali još više meta.

Katastrofa SolarWindsa je razotkrila ranjivost trenutne mrežne arhitekture, što bi moglo da označi kraj do sada poznatog otvorenog interneta. Nakon hakovanja SolarWindsa, države bi mogle da odluče da je fragmentiranje interneta jedina realna opcija za zaštitu od napada, što će dovesti do niza ozbiljnih posledica. Između ostalog, zatvoreni i kontrolisani internet će ojačati autoritarne i antidemokratske režime i okončati američku dominaciju u digitalnom domenu.

(ForeignPolicy-ZTP, foto: Bloomberg/Getty)

Ostavi komentar

Vaša adresa e-pošte neće biti objavljena.