Έγγραφα FOIA Αποκαλύπτουν ότι η Επίθεση SolarWinds Εξέθεσε Όλα τα Emails του Treasury.gov

Έγγραφα FOIA Αποκαλύπτουν ότι η Επίθεση SolarWinds Εξέθεσε Όλα τα Emails του Treasury.gov

Έγγραφα που αποκτήθηκαν μέσω αγωγής βάσει του Νόμου για την Ελευθερία της Πληροφόρησης προσθέτουν ένα ανησυχητικό νέο κεφάλαιο στην ιστορία της επίθεσης SolarWinds του 2020. Σύμφωνα με τα νέα αρχεία που ήρθαν στο φως, οι δράστες δεν διείσδυσαν απλώς σε μια χούφτα λογαριασμών στο Υπουργείο Οικονομικών των ΗΠΑ. Απέκτησαν πρόσβαση τόσο βαθιά που θα μπορούσαν να εκθέσουν κάθε διεύθυνση email που τελειώνει σε treasury.gov. Το πλήρες εύρος της έκθεσης κυβερνητικών δεδομένων από την επίθεση SolarWinds, όπως αποδεικνύεται, ήταν ακόμη ευρύτερο από ό,τι είχαν παραδεχτεί δημόσια οι αρμόδιοι.

Τι Αποκάλυψαν Πραγματικά τα Έγγραφα FOIA για την Πρόσβαση στο Υπουργείο Οικονομικών

Όταν η παραβίαση SolarWinds ήρθε για πρώτη φορά στο φως στα τέλη του 2020, οι κυβερνητικές δηλώσεις αναγνώρισαν την εισβολή με γενικούς όρους, χωρίς όμως να διευκρινίσουν πόσο βαθιά είχαν εισχωρήσει οι δράστες στα ομοσπονδιακά συστήματα. Τα νέα έγγραφα FOIA αλλάζουν αυτή την εικόνα σημαντικά.

Τα αρχεία δείχνουν ότι οι χάκερ, που αποδίδονται ευρέως στη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR), πέτυχαν τέτοιο επίπεδο πρόσβασης στην υποδομή email του Υπουργείου Οικονομικών που θα τους επέτρεπε να δουν ή να συλλέξουν όλες τις διευθύνσεις που λειτουργούν υπό τον τομέα treasury.gov. Αυτό ξεπερνά την παραβίαση ενός υποσυνόλου γραμματοκιβωτίων. Υποδηλώνει ότι οι δράστες είχαν ορατότητα σε επίπεδο διαχειριστή στο περιβάλλον email του υπουργείου, πράγμα που σημαίνει ότι μπορούσαν να αναγνωρίσουν κάθε λογαριασμό, και πιθανότατα το περιεχόμενό του, σε έναν από τους πιο ευαίσθητους οργανισμούς της αμερικανικής κυβέρνησης.

Αυτό το είδος πρόσβασης έχει επιπτώσεις πολύ πέρα από την κλεμμένη αλληλογραφία. Οι κατάλογοι email μπορούν να αποκαλύψουν οργανωτικές δομές, να αναγνωρίσουν βασικό προσωπικό και να χρησιμεύσουν ως χάρτης για επακόλουθες εκστρατείες phishing ή στοχευμένη συλλογή πληροφοριών.

Γιατί μια Επίθεση στην Εφοδιαστική Αλυσίδα Είναι Διαφορετική από μια Συνηθισμένη Παραβίαση

Για να καταλάβουμε γιατί αυτή η παραβίαση ήταν τόσο δύσκολο να εντοπιστεί και τόσο εκτεταμένη σε εύρος, βοηθά να κατανοήσουμε τη μέθοδο επίθεσης. Δεν επρόκειτο για περίπτωση όπου χάκερ μάντευαν αδύναμους κωδικούς πρόσβασης ή εκμεταλλεύονταν έναν μη ενημερωμένο διακομιστή. Η επίθεση SolarWinds ήταν μια σχολική επίθεση στην εφοδιαστική αλυσίδα, που σημαίνει ότι οι αντίπαλοι παραβίασαν έναν αξιόπιστο προμηθευτή λογισμικού και χρησιμοποίησαν τον νόμιμο μηχανισμό ενημερώσεων αυτού του προμηθευτή για να διοχετεύσουν κακόβουλο κώδικα απευθείας στους πελάτες.

Η SolarWinds κατασκεύαζε λογισμικό διαχείρισης δικτύου με την ονομασία Orion, που χρησιμοποιούνταν ευρέως τόσο σε ομοσπονδιακές υπηρεσίες όσο και σε εταιρείες του ιδιωτικού τομέα. Όταν οι δράστες εισήγαγαν το κακόβουλο λογισμικό τους σε μια συνηθισμένη ενημέρωση λογισμικού του Orion, κάθε οργανισμός που εγκατέστησε αυτή την ενημέρωση ουσιαστικά κάλεσε την εισβολή από την κύρια είσοδο. Τα εργαλεία ασφαλείας που κανονικά θα επισήμαιναν ύποπτη δραστηριότητα δεν είχαν λόγο να σημάνουν συναγερμό, επειδή ο κακόβουλος κώδικας έφτασε τυλιγμένος σε ένα αξιόπιστο, ψηφιακά υπογεγραμμένο πακέτο λογισμικού.

Αυτός είναι ακριβώς ο λόγος που οι επιθέσεις στην εφοδιαστική αλυσίδα είναι τόσο επικίνδυνες σε σύγκριση με τις συμβατικές παραβιάσεις. Το πάτημα του εισβολέα δεν εδραιώνεται μέσω μιας ρωγμής στην άμυνα του ίδιου του στόχου, αλλά μέσω ενός αξιόπιστου τρίτου μέρους που ο στόχος δεν έχει κανέναν πρακτικό λόγο να δυσπιστεί.

Πώς τα Παραβιασμένα Κυβερνητικά Συστήματα Θέτουν σε Κίνδυνο τα Δεδομένα των Πολιτών

Η ενστικτώδης αντίδραση σε μια παραβίαση του Υπουργείου Οικονομικών μπορεί να είναι να την αντιμετωπίσουμε ως κυβερνητικό πρόβλημα, ξεχωριστό από την καθημερινή προσωπική ιδιωτικότητα. Αυτή η θεώρηση υποτιμά την έκθεση.

Οι ομοσπονδιακές υπηρεσίες διατηρούν τεράστιες ποσότητες δεδομένων πολιτών: φορολογικά αρχεία, οικονομικές δηλώσεις, πληροφορίες απασχόλησης, αιτήσεις παροχών και άλλα. Όταν οι δράστες αποκτούν πρόσβαση σε επίπεδο διαχειριστή στο περιβάλλον email μιας υπηρεσίας όπως το Υπουργείο Οικονομικών, βρίσκονται σε θέση να υποκλέπτουν εσωτερικές επικοινωνίες σχετικά με ελέγχους, έρευνες και αποφάσεις πολιτικής. Μπορούν να εντοπίσουν ποιοι αξιωματούχοι εποπτεύουν ποια προγράμματα, πληροφορίες που μπορούν να χρησιμοποιηθούν για τη δημιουργία εξαιρετικά πειστικών μηνυμάτων spear-phishing που στοχεύουν άλλες υπηρεσίες ή ακόμη και ιδιώτες που συνδέονται με εν εξελίξει κυβερνητικά θέματα.

Πέρα από τις στοχευμένες επακόλουθες επιθέσεις, υπάρχει και το ζήτημα της αξίας πληροφοριών. Το να γνωρίζεις ποιος εργάζεται στο Υπουργείο Οικονομικών, ποια προγράμματα εποπτεύουν και ποιος επικοινωνεί με ποιον είναι πραγματικά χρήσιμο για μια ξένη υπηρεσία πληροφοριών, και αυτή η αξία δεν απαιτεί από τους δράστες να σπάσουν ούτε ένα κρυπτογραφημένο αρχείο.

Τι Μπορούν και τι Δεν Μπορούν να Κάνουν οι Χρήστες που Νοιάζονται για την Ιδιωτικότητά τους για να Προστατευτούν

Εδώ είναι που η έκθεση κυβερνητικών δεδομένων από την επίθεση SolarWinds φέρνει τους μεμονωμένους χρήστες αντιμέτωπους με μια άβολη πραγματικότητα. Ουσιαστικά, δεν υπάρχει τίποτα που μπορεί να κάνει ένας ιδιώτης για να αποτρέψει μια ξένη υπηρεσία πληροφοριών από το να παραβιάσει την εσωτερική υποδομή email μιας ομοσπονδιακής υπηρεσίας.

Η χρήση VPN προστατεύει τη δική σας κίνηση. Οι ισχυροί κωδικοί πρόσβασης και ο έλεγχος ταυτότητας δύο παραγόντων προστατεύουν τους προσωπικούς σας λογαριασμούς. Η κρυπτογραφημένη ανταλλαγή μηνυμάτων από άκρο σε άκρο προστατεύει τις ιδιωτικές σας συνομιλίες. Κανένα από αυτά τα μέτρα δεν επηρεάζει το αν ένας προμηθευτής λογισμικού που εμπιστεύεται η ομοσπονδιακή κυβέρνηση έχει παραβιαστεί, ή αν μια κρατική υπηρεσία που διατηρεί αρχεία για εσάς έχει διεισδύσει μέσω του καναλιού ενημερώσεων αυτού του προμηθευτή.

Αυτό δεν είναι επιχείρημα υπέρ της μοιρολατρίας. Είναι επιχείρημα υπέρ της σαφήνειας σχετικά με το τι έχουν σχεδιαστεί να κάνουν πραγματικά τα διάφορα εργαλεία. Τα εργαλεία προσωπικής ιδιωτικότητας αντιμετωπίζουν προσωπικές επιφάνειες επίθεσης. Οι συστημικές ευπάθειες στην κυβερνητική ή επιχειρηματική υποδομή απαιτούν συστημικές απαντήσεις: αυστηρούς ελέγχους ασφαλείας προμηθευτών, αρχιτεκτονικές δικτύου μηδενικής εμπιστοσύνης, υποχρεωτικά χρονοδιαγράμματα γνωστοποίησης παραβίασης και νομοθετική εποπτεία με ουσιαστική ισχύ.

Για τα άτομα, η πιο χρήσιμη απάντηση είναι να παραμένουν ενημερωμένα για το ποια δεδομένα διατηρούν οι κρατικές υπηρεσίες, να δίνουν προσοχή στις ειδοποιήσεις παραβίασης όταν έρχονται και να είναι ιδιαίτερα δύσπιστα απέναντι σε ανεπιθύμητες επικοινωνίες που φαίνονται να προέρχονται από κυβερνητικές πηγές μετά από οποιαδήποτε αναφερόμενη παραβίαση.

Τι Σημαίνει Αυτό για Εσάς

Το νέο εύρος της παραβίασης του Υπουργείου Οικονομικών που αποκαλύφθηκε είναι μια υπενθύμιση ότι η προστασία των προσωπικών δεδομένων υπάρχει μέσα σε ένα ευρύτερο οικοσύστημα που τα άτομα δεν ελέγχουν. Οι δικές σας πρακτικές ασφαλείας έχουν σημασία. Αλλά το ίδιο έχει και η στάση ασφαλείας κάθε θεσμού που διατηρεί δεδομένα για εσάς.

Η επίθεση SolarWinds δεν ήταν μια μεμονωμένη ανωμαλία. Εξέθεσε μια δομική αδυναμία στον τρόπο με τον οποίο εμπιστευόμαστε τις εφοδιαστικές αλυσίδες λογισμικού και στον τρόπο με τον οποίο γνωστοποιούνται οι παραβιάσεις. Η κατανόηση αυτού του πλαισίου είναι απαραίτητη για οποιονδήποτε παρακολουθεί πώς οι απειλές σε κρατικό επίπεδο μεταφράζονται σε πραγματικούς κινδύνους για την ιδιωτικότητα. Ξεκινήστε χτίζοντας μια στέρεη κατανόηση του πώς λειτουργούν οι επιθέσεις στην εφοδιαστική αλυσίδα και γιατί είναι τόσο δύσκολο να αμυνθεί κανείς εναντίον τους σε ατομικό επίπεδο. Αυτό το υπόβαθρο θα οξύνει την ανάγνωση κάθε παρόμοιας ιστορίας που θα ακολουθήσει.