FOIA-dokumentumok szerint a SolarWinds hack az összes Treasury.gov e-mailt kompromittálta

FOIA-dokumentumok szerint a SolarWinds hack az összes Treasury.gov e-mailt kompromittálta

Az információszabadságról szóló törvény alapján indított perben megszerzett dokumentumok nyugtalanító új fejezettel egészítették ki a 2020-as SolarWinds hack történetét. A frissen napvilágra került iratok szerint a támadók nem csupán néhány fiókba hatoltak be az amerikai pénzügyminisztériumnál. Olyan mély hozzáférést szereztek, amely potenciálisan minden egyes treasury.gov végződésű e-mail címet felfedhetett. A SolarWinds hack kormányzati adatainak teljes körű kiszivárgása, mint kiderült, még szélesebb körű volt, mint ahogy azt a tisztviselők nyilvánosan elismerték.

Amit a FOIA-dokumentumok valójában feltártak a pénzügyminisztériumi hozzáférésről

Amikor a SolarWinds betörés 2020 végén először napvilágra került, a kormányzati nyilatkozatok általános jelleggel elismerték a behatolást, de nem részletezték, milyen mélyre férkőztek a támadók a szövetségi rendszerekbe. Az új FOIA-dokumentumok jelentősen módosítják ezt a képet.

Az iratok arra utalnak, hogy a hackerek – akiket széles körben Oroszország Külföldi Hírszerző Szolgálatának (SVR) tulajdonítanak – olyan szintű hozzáférést értek el a pénzügyminisztérium e-mail infrastruktúrájához, amely lehetővé tette volna számukra a treasury.gov domain alatt működő összes cím megtekintését vagy begyűjtését. Ez túlmutat a postaládák egy részének kompromittálásán. Azt sugallja, hogy a támadók adminisztratív szintű rálátással rendelkeztek a tárca e-mail környezetére, ami azt jelenti, hogy azonosítani tudták az összes fiókot, és nagy valószínűséggel annak tartalmát is, az Egyesült Államok egyik legérzékenyebb ügynökségénél.

Ez a fajta hozzáférés jóval túlmutat az ellopott levelezésen. Az e-mail címtárak felfedhetik a szervezeti felépítést, azonosíthatják a kulcsfontosságú személyeket, és térképként szolgálhatnak későbbi adathalász kampányokhoz vagy célzott hírszerzési adatgyűjtéshez.

Miért más egy ellátási lánc támadás, mint egy hagyományos adatvédelmi incidens

Ahhoz, hogy megértsük, miért volt ezt a behatolást olyan nehéz észlelni és miért volt ilyen súlyos a hatóköre, érdemes megismerni a támadási módszert. Itt nem arról volt szó, hogy a hackerek gyenge jelszavakat találtak ki, vagy egy javítatlan szervert használtak ki. A SolarWinds támadás tankönyvi példája volt egy ellátási lánc támadásnak, ami azt jelenti, hogy a támadók egy megbízható szoftverszállítót kompromittáltak, és annak legitim frissítési mechanizmusát használták arra, hogy rosszindulatú kódot juttassanak el közvetlenül az ügyfelekhez.

A SolarWinds Orion nevű hálózatfelügyeleti szoftvert készített, amelyet széles körben használtak szövetségi ügynökségek és a magánszektor vállalatai egyaránt. Amikor a támadók beillesztették a kártékony kódjukat egy rutinszerű Orion szoftverfrissítésbe, minden szervezet, amely telepítette ezt a frissítést, lényegében beengedte a behatolást a főbejáraton. A biztonsági eszközök, amelyek általában jeleznék a gyanús tevékenységet, nem okot nem láttak riasztásra, mert a rosszindulatú kód egy megbízható, aláírt szoftvercsomagba csomagolva érkezett.

Pontosan ez teszi az ellátási lánc támadásokat olyan veszélyessé a hagyományos adatvédelmi incidensekhez képest. A támadó nem a célpont saját védelmén található repedésen keresztül épít ki hídfőállást, hanem egy olyan megbízható harmadik félen keresztül, amelyben a célpontnak nincs gyakorlati oka kételkedni.

Hogyan veszélyeztetik a kompromittált kormányzati rendszerek az állampolgárok adatait

Ösztönös reakció lehet a pénzügyminisztérium elleni behatolást kormányzati problémaként kezelni, amely elkülönül a mindennapi személyes magánélettől. Ez a keretezés alábecsüli a kiszivárgás mértékét.

A szövetségi ügynökségek hatalmas mennyiségű állampolgári adatot tárolnak: adóbevallásokat, pénzügyi nyilatkozatokat, foglalkoztatási információkat, segélykérelmeket és még sok mást. Amikor a támadók adminisztratív szintű hozzáférést szereznek egy olyan ügynökség e-mail környezetéhez, mint a pénzügyminisztérium, lehetőségük nyílik a belső kommunikáció elfogására ellenőrzésekről, nyomozásokról és szakpolitikai döntésekről. Azonosítani tudják, hogy mely tisztviselők mely programokat felügyelik – ezek az információk rendkívül meggyőző, célzott adathalász e-mailek készítésére használhatók más ügynökségek, vagy akár olyan magánszemélyek ellen, akik folyamatban lévő kormányzati ügyekhez kapcsolódnak.

A célzott utólagos támadásokon túl itt van a hírszerzési érték kérdése is. Annak ismerete, hogy ki dolgozik a pénzügyminisztériumban, milyen programokat felügyel, és ki kivel kommunikál, valóban hasznos egy külföldi hírszerző szolgálat számára, és ez az érték anélkül is fennáll, hogy a támadóknak egyetlen titkosított fájlt is fel kellene törniük.

Mit tehetnek és mit nem tehetnek a magánélet-tudatos felhasználók saját védelmük érdekében

Itt szembesül az egyéni felhasználó a SolarWinds hack kormányzati adatkiszivárgásának kellemetlen valóságával. Egy magánszemély gyakorlatilag semmit sem tehet annak megakadályozására, hogy egy külföldi hírszerző szolgálat kompromittáljon egy szövetségi ügynökség belső e-mail infrastruktúráját.

A VPN használata védi a saját forgalmát. Az erős jelszavak és a kétfaktoros hitelesítés védik a személyes fiókjait. A végpontok közötti titkosított üzenetküldés védi a privát beszélgetéseit. Ezen intézkedések egyike sincs hatással arra, hogy a szövetségi kormány által megbízott szoftverszállítót kompromittálták-e, vagy hogy egy önről nyilvántartást vezető kormányzati ügynökségbe ezen a szállító frissítési csatornáján keresztül behatoltak-e.

Ez nem a fatalizmus melletti érv. Ez egy érv a tisztánlátás mellett azzal kapcsolatban, hogy a különböző eszközök valójában mire lettek tervezve. A személyes adatvédelmi eszközök a személyes támadási felületeket kezelik. A kormányzati vagy vállalati infrastruktúra rendszerszintű sebezhetőségei rendszerszintű válaszokat igényelnek: szigorú szállítói biztonsági auditokat, zéró bizalom hálózati architektúrákat, kötelező adatvédelmi incidens bejelentési határidőket, és valódi fogakkal rendelkező jogalkotási felügyeletet.

Az egyének számára a leghasznosabb válasz az, hogy tájékozottak maradnak arról, hogy a kormányzati ügynökségek milyen adatokat tárolnak, figyelnek az adatvédelmi incidens értesítésekre, amikor azok megérkeznek, és különösen szkeptikusak azokkal a kéretlen kommunikációkkal szemben, amelyek úgy tűnnek, mintha kormányzati forrásból származnának, bármilyen bejelentett incidens nyomán.

Mit jelent ez Önnek

A pénzügyminisztériumi behatolás újonnan feltárt hatóköre emlékeztet arra, hogy a személyes adatok védelme egy olyan nagyobb ökoszisztémában létezik, amelyet az egyének nem irányítanak. A saját biztonsági gyakorlata számít. De ugyanilyen fontos minden olyan intézmény biztonsági helyzete, amely adatokat tárol Önről.

A SolarWinds hack nem egyszeri rendellenesség volt. Feltárt egy strukturális gyengeséget a szoftverellátási láncokba vetett bizalom és az adatvédelmi incidensek nyilvánosságra hozatalának módja terén. Ennek az összefüggésnek a megértése elengedhetetlen mindazok számára, akik követik, hogyan alakulnak át az állami szintű fenyegetések valós adatvédelmi kockázatokká. Kezdje azzal, hogy szilárd alapokat épít arról, hogyan működnek az ellátási lánc támadások, és miért olyan nehéz védekezni ellenük egyéni szinten. Ez a háttér élesíteni fogja minden hasonló, ezután következő történet olvasatát.