Rząd USA reaguje na incydenty związane z SolarWinds i Microsoft Exchange

Rząd USA, poprzez raport GAO (Government Accountability Office), prezentuje dokonania agencji w związku z incydentami związanymi z SolarWinds i Microsoft Exchange. Oficjalnie powiedziano, że to Rosyjskie Służby Wywiadu Zagranicznego włamały się do oprogramowania do zarządzania siecią SolarWinds, które jest powszechnie używane w agencjach rządowych w USA. Co więcej, według Białego Domu, chińskie podmioty rządowe także prawdopodobnie wykorzystały lukę w Microsoft Exchange Server.

Po potwierdzeniu i przeanalizowaniu problemów związanych z SolarWindsMicrosoft Exchange agencje federalne oraz inne organizacje i firmy otrzymały awaryjne dyrektywy dotyczące sposobu reagowania.

GAO napisała też – „Agencje federalne i inne podmioty muszą podjąć pilne działania w celu wdrożenia kompleksowej strategii cyberbezpieczeństwa, sprawowania skutecznego nadzoru, zabezpieczania systemów federalnych oraz ochrony infrastruktury krytycznej cybernetycznej, prywatności i danych wrażliwych.”

Co odkryła GAO (Government Accountability Office)?

Według dyrektora generalnego GAO (Government Accountability Office), już w styczniu 2019 r. cyberprzestępcy włamali się do sieci komputerowych w SolarWinds, firmie zajmującej się oprogramowaniem do zarządzania siecią z siedzibą w Teksasie.

Rząd federalny potwierdził później, że sprawcą zagrożenia była Rosyjska Służba Wywiadu Zagranicznego. Ponieważ oprogramowanie SolarWinds Orion było szeroko stosowane w rządzie federalnym do monitorowania aktywności sieciowej i zarządzania urządzeniami sieciowymi w systemach federalnych, incydent ten pozwolił cyberprzestępcom włamać się do kilku sieci agencji federalnych, które korzystały z tego oprogramowania.

rzad-usa-gao-reakcja-incydent-solarwinds - analiza
Analiza wykorzystania oprogramowania SolarWinds Orion przez cyberprzestępców

Podczas gdy reakcja i dochodzenie w sprawie włamania do SolarWinds nadal trwały, w marcu 2021 r. Microsoft poinformował o wykorzystaniu lub niewłaściwym wykorzystaniu luk w zabezpieczeniach służących do uzyskania dostępu do kilku wersji Microsoft Exchange Server. Dotyczyło to wersji, które były używane w siedzibach agencji federalnych.

Według oświadczenia Białego Domu dokonali tego cyberprzestępcy powiązani z Ministerstwem Bezpieczeństwa Państwowego Chińskiej Republiki Ludowej.

Luki początkowo umożliwiały cyberprzestępcom nawiązywanie uwierzytelnionych połączeń z serwerami Microsoft Exchange z nieautoryzowanych źródeł zewnętrznych. Gdy nawiązano kontakt, możliwe było wykorzystanie innych luk w zabezpieczeniach do eskalacji uprawnień kont i instalowania narzędzi umożliwiających hakerom zdalny dostęp do serwera Microsoft Exchange. To z kolei umożliwiło trwałe złośliwe działania nawet po załataniu tychże luk.

rzad-usa-gao-reakcja-incydent-microsoft-exchange - analiza
Analiza sposobu, w jaki hakerzy wykorzystywały luki w oprogramowaniu Microsoft Exchange Server

Kroki podjęte przez rząd USA i agencje federalne

Agencje federalne i rząd USA podjęły kroki mające na celu koordynowanie i reagowanie na incydenty związane z SolarWinds i Microsoft Exchange. Utworzono dwie grupy Cyber Unified Coordination Groups (UCG), jednej dla incydentu związanego z SolarWinds i drugiej dla incydentu Microsoft Exchange.

Obie UCG składały się z Agencji Bezpieczeństwa Cyberbenetycznego i Infrastruktury (CISA), Federalnego Biura Śledczego (FBI) oraz Biura Dyrektora Wywiadu Narodowego (ODNI), przy wsparciu Agencji Bezpieczeństwa Narodowego (NSA).

rzad-usa-gao-reakcja-incydent-solarwinds-microsoft-exchange-ucg
Struktura UCG

CISA wydała dyrektywy nadzwyczajne, aby poinformować agencje federalne o lukach i opisać, jakie działania należy podjąć w odpowiedzi na incydenty. Aby pomóc agencjom w prowadzeniu własnych dochodzeń i zabezpieczaniu ich sieci, agencje UCG zapewniały również wskazówki za pomocą porad, alertów i narzędzi.

Departament Bezpieczeństwa Wewnętrznego (DHS), w tym CISA, FBI i NSA, wydały zalecenia dla każdego incydentu, zawierające informacje o narzędziach cybernetycznych, celach, technikach i możliwościach cyberprzestępcy. CISA i niektóre agencje, których dotyczyły incydenty, podjęły kroki i nadal współpracują, aby zareagować na incydenty SolarWinds oraz Microsoft Exchange.

Agencje wyciągnęły również wiele wniosków z tych incydentów:

  • koordynacja z sektorem prywatnym doprowadziła do większej wydajności w reagowaniu na incydenty;
  • zapewnienie scentralizowanego forum dla dyskusji międzyagencyjnych i sektora prywatnego doprowadziło do lepszej koordynacji działań między nimi;
  • wymiana informacji między agencjami była często powolna, trudna i czasochłonna;
  • gromadzenie dowodów było ograniczone ze względu na różne poziomy ochrony danych w agencjach.

Zalecenia wydane przez rząd USA i GAO

Od 2010 roku GAO wydało agencjom około 3700 zaleceń mających na celu naprawienie niedociągnięć w zakresie cyberbezpieczeństwa. Do listopada 2021 r. około 900 z tych zaleceń nie zostało jeszcze w pełni wdrożonych.

GAO będzie nadal monitorować postępy agencji federalnych w pełnym wdrażaniu tych zaleceń, w tym dotyczących zarządzania łańcuchem dostaw oprogramowania oraz zarządzania i reagowania na incydenty cybernetyczne.

rzad-usa-gao-reakcja-incydent-solarwinds-microsoft-exchange-raport
Z pełnym raportem GAO można zapoznać się, klikając niniejszy obrazek

Źródło: GAO

0 0 votes
Article Rating
Powiadomienia
Powiadom o
0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x