Документи, получени по FOIA, разкриват, че хакването на SolarWinds е изложило всички имейли на Treasury.gov

Документи, получени по FOIA, разкриват, че хакването на SolarWinds е изложило всички имейли на Treasury.gov

Документи, получени чрез съдебно дело по Закона за свобода на информацията, добавят тревожна нова глава към историята на хакването на SolarWinds от 2020 г. Според новопоявилите се записи нападателите не просто са проникнали в няколко акаунта в Министерството на финансите на САЩ. Те са получили достъп, достатъчно дълбок, за да изложат потенциално всеки един имейл адрес, завършващ на treasury.gov. Пълният обхват на излагането на правителствени данни при хакването на SolarWinds, оказва се, е бил дори по-широк, отколкото официалните лица бяха признали публично.

Какво всъщност разкриха документите от FOIA относно достъпа до Министерството на финансите

Когато пробивът в SolarWinds излезе наяве в края на 2020 г., правителствените изявления признаха проникването в общи линии, но без да уточняват точно колко дълбоко нападателите са се вкопали във федералните системи. Новите документи от FOIA променят значително тази картина.

Записите показват, че хакерите, за които широко се смята, че са от руската Служба за външно разузнаване (СВР), са постигнали ниво на достъп до имейл инфраструктурата на Министерството на финансите, което би им позволило да преглеждат или събират всички адреси, работещи под домейна treasury.gov. Това надхвърля компрометирането на отделни пощенски кутии. То подсказва, че нападателите са имали видимост на административно ниво в имейл средата на министерството, което означава, че са можели да идентифицират всеки акаунт, а вероятно и съдържанието му, в една от най-чувствителните агенции на правителството на САЩ.

Този вид достъп има последици далеч отвъд откраднатата кореспонденция. Имейл директориите могат да разкрият организационни структури, да идентифицират ключов персонал и да послужат като карта за последващи фишинг кампании или целенасочено разузнавателно събиране на информация.

Защо атаката по веригата на доставки е различна от стандартен пробив

За да разберем защо този пробив беше толкова труден за откриване и толкова мащабен по поражения, е полезно да разберем метода на атака. Това не беше случай, в който хакери отгатват слаби пароли или експлоатират непоправен сървър. Атаката срещу SolarWinds беше класически пример за атака по веригата на доставки, което означава, че противниците компрометираха доверен доставчик на софтуер и използваха легитимния му механизъм за обновяване, за да внедрят зловреден код директно на клиентите.

SolarWinds произвеждаше софтуер за управление на мрежи, наречен Orion, използван широко както от федерални агенции, така и от компании в частния сектор. Когато нападателите вмъкнаха своя зловреден код в рутинна софтуерна актуализация на Orion, всяка организация, която инсталира тази актуализация, на практика покани проникването през входната врата. Инструментите за сигурност, които обикновено биха сигнализирали за подозрителна активност, нямаха причина да вдигнат тревога, защото зловредният код пристигна, опакован в доверен, цифрово подписан софтуерен пакет.

Именно това прави атаките по веригата на доставки толкова опасни в сравнение с конвенционалните пробиви. Точката на опора на нападателя се установява не чрез пукнатина в собствените защити на целта, а чрез доверена трета страна, която целта няма практическа причина да не смята за надеждна.

Как компрометираните правителствени системи излагат на риск данните на гражданите

Инстинктивната реакция към пробив в Министерството на финансите може да бъде да се третира като правителствен проблем, отделен от всекидневната лична неприкосновеност. Тази рамка подценява излагането на риск.

Федералните агенции съхраняват огромни количества данни за гражданите: данъчни записи, финансови декларации, информация за заетост, молби за помощи и много повече. Когато нападателите получат достъп на административно ниво до имейл средата на агенция като Министерството на финансите, те са в позиция да прихващат вътрешни комуникации относно одити, разследвания и политически решения. Те могат да идентифицират кои служители отговарят за кои програми – информация, която може да се използва за изготвяне на изключително убедителни spear-phishing имейли, насочени към други агенции или дори към частни граждани, свързани с текущи правителствени дела.

Освен целенасочените последващи атаки, съществува и въпросът за разузнавателната стойност. Да се знае кой работи в Министерството на финансите, за кои програми отговаря и кой с кого комуникира, е наистина полезно за чужда разузнавателна служба, като тази стойност не изисква нападателите изобщо да разбият нито един криптиран файл.

Какво могат и какво не могат да направят потребителите, грижещи се за поверителността си, за да се защитят

Тук излагането на правителствени данни при хакването на SolarWinds изправя отделните потребители пред неудобната реалност. На практика няма нищо, което един частен гражданин може да направи, за да попречи на чужда разузнавателна служба да компрометира вътрешната имейл инфраструктура на федерална агенция.

Използването на VPN защитава вашия собствен трафик. Силните пароли и двуфакторното удостоверяване защитават личните ви акаунти. Криптираните от край до край съобщения защитават частните ви разговори. Нито една от тези мерки няма отношение към това дали софтуерен доставчик, на когото федералното правителство се доверява, е бил компрометиран, или дали правителствена агенция, която съхранява записи за вас, е била инфилтрирана чрез обновяващия канал на този доставчик.

Това не е аргумент за фатализъм. Това е аргумент за яснота относно това за какво всъщност са проектирани различните инструменти. Инструментите за лична поверителност адресират лични повърхности за атака. Системните уязвимости в правителствената или корпоративната инфраструктура изискват системни отговори: строги одити на сигурността на доставчиците, мрежови архитектури с нулево доверие, задължителни срокове за оповестяване на пробиви и законодателен надзор с истинска сила.

За отделните хора най-полезната реакция е да бъдат информирани какви данни съхраняват правителствените агенции, да обръщат внимание на известията за пробиви, когато пристигнат, и да бъдат особено скептични към непоискани съобщения, които изглежда, че идват от правителствени източници, след всеки докладван пробив.

Какво означава това за вас

Новоразкритият обхват на пробива в Министерството на финансите е напомняне, че защитата на личните данни съществува в по-голяма екосистема, която отделните хора не контролират. Вашите собствени практики за сигурност имат значение. Но също толкова важна е позицията по сигурността на всяка институция, която съхранява данни за вас.

Хакването на SolarWinds не беше еднократна аномалия. То разкри структурна слабост в начина, по който се доверяваме на веригите за доставка на софтуер и как се оповестяват пробивите. Разбирането на този контекст е от съществено значение за всеки, който следи как заплахите на държавно ниво се превръщат в реални рискове за поверителността. Започнете с изграждане на солидно разбиране за това как работят атаките по веригата на доставки и защо те са толкова трудни за защита на индивидуално ниво. Този фон ще изостри вашето възприемане на всяка подобна история, която следва.