Ce au dezvăluit documentele FOIA recent obținute despre atacul SolarWinds la Departamentul Trezoreriei?

Au dezvăluit că atacatorii au obținut vizibilitate la nivel administrativ asupra infrastructurii de e-mail a Trezoreriei, expunând potențial fiecare adresă de e-mail treasury.gov.

Cine a fost responsabil pentru breșa SolarWinds?

Atacul este atribuit pe scară largă Serviciului de Informații Externe al Rusiei (SVR).

Cum au reușit hackerii să obțină un acces atât de profund la e-mailurile Trezoreriei?

Au obținut acces la nivel administrativ la mediul de e-mail, ceea ce le-a permis să identifice fiecare cont și, probabil, să vadă conținutul tuturor adreselor treasury.gov.

Ce a făcut intruziunea SolarWinds diferită de o exploatare software standard sau de un atac de phishing?

A fost un atac asupra lanțului de aprovizionare în care codul malițios a fost ascuns într-o actualizare software de încredere, semnată, pentru instrumentul Orion al SolarWinds, astfel că instrumentele de securitate nu au semnalat activitatea.

De ce este expunerea tuturor adreselor de e-mail treasury.gov o preocupare serioasă dincolo de simpla citire a mesajelor?

Directoarele de e-mail pot dezvălui structuri organizaționale, pot identifica personal-cheie și pot oferi o hartă pentru campanii de phishing ulterioare sau pentru colectarea țintită de informații.

Documente FOIA dezvăluie că atacul SolarWinds a expus toate e-mailurile Treasury.gov

Documente obținute printr-un proces în baza Legii privind libertatea de informare au adăugat un nou capitol îngrijorător la povestea atacului SolarWinds din 2020. Conform înregistrărilor recent apărute, atacatorii nu s-au infiltrat doar în câteva conturi de la Departamentul Trezoreriei SUA. Aceștia au obținut un acces suficient de profund încât să expună potențial fiecare adresă de e-mail cu terminația treasury.gov. Sfera completă a expunerii datelor guvernamentale din atacul SolarWinds, după cum se dovedește, a fost chiar mai amplă decât au recunoscut oficialitățile publice.

Ce au dezvăluit de fapt documentele FOIA despre accesul la Trezorerie

Când breșa SolarWinds a ieșit la iveală la sfârșitul anului 2020, declarațiile guvernamentale au recunoscut intruziunea în termeni generali, fără a detalia cât de adânc pătrunseseră atacatorii în sistemele federale. Noile documente FOIA modifică semnificativ această imagine.

Înregistrările indică faptul că hackerii, atribuiți pe scară largă Serviciului de Informații Externe al Rusiei (SVR), au obținut un nivel de acces la infrastructura de e-mail a Departamentului Trezoreriei care le-ar fi permis să vizualizeze sau să colecteze toate adresele care operează sub domeniul treasury.gov. Aceasta depășește compromiterea unui subset de cutii poștale. Sugerează că atacatorii aveau vizibilitate la nivel administrativ asupra mediului de e-mail al departamentului, ceea ce înseamnă că puteau identifica fiecare cont și, probabil, conținutul acestuia, într-una dintre cele mai sensibile agenții din guvernul SUA.

Acest tip de acces are implicații care merg dincolo de corespondența furată. Directoarele de e-mail pot dezvălui structuri organizaționale, pot identifica personal-cheie și pot servi drept hartă pentru campanii ulterioare de phishing sau pentru colectarea țintită de informații.

De ce un atac asupra lanțului de aprovizionare este diferit de o breșă standard

Pentru a înțelege de ce această breșă a fost atât de greu de detectat și atât de extinsă ca impact, este util să înțelegem metoda de atac. Nu a fost un caz în care hackerii să ghicească parole slabe sau să exploateze un server neactualizat. Atacul SolarWinds a fost un exemplu clasic de atac asupra lanțului de aprovizionare, ceea ce înseamnă că adversarii au compromis un furnizor de software de încredere și au folosit mecanismul legitim de actualizare al acestuia pentru a trimite cod malițios direct clienților.

SolarWinds producea un software de gestionare a rețelei numit Orion, utilizat pe scară largă atât în agențiile federale, cât și în companiile din sectorul privat. Când atacatorii și-au inserat malware-ul într-o actualizare de rutină a software-ului Orion, fiecare organizație care a instalat acea actualizare a invitat practic intruziunea pe ușa din față. Instrumentele de securitate care în mod normal ar fi semnalat activitate suspectă nu au avut niciun motiv să tragă un semnal de alarmă, deoarece codul malițios a sosit învelit într-un pachet software de încredere, semnat digital.

Tocmai acest lucru face ca atacurile asupra lanțului de aprovizionare să fie atât de periculoase în comparație cu breșele convenționale. Punctul de sprijin al atacatorului nu se stabilește printr-o fisură în apărarea proprie a țintei, ci printr-o terță parte de încredere pe care ținta nu are niciun motiv practic să o considere nesigură.

Cum pun sistemele guvernamentale compromise în pericol datele cetățenilor

Reacția instinctivă la o breșă la Departamentul Trezoreriei ar putea fi să o tratezi ca pe o problemă guvernamentală, separată de intimitatea personală cotidiană. Această încadrare subestimează expunerea.

Agențiile federale dețin cantități uriașe de date ale cetățenilor: dosare fiscale, declarații financiare, informații despre angajare, cereri de beneficii și multe altele. Când atacatorii obțin acces la nivel administrativ la mediul de e-mail al unei agenții precum Trezoreria, ei sunt în poziția de a intercepta comunicări interne despre audituri, investigații și decizii de politică. Ei pot identifica ce oficiali supraveghează ce programe, informații care pot fi folosite pentru a crea e-mailuri de spear-phishing extrem de convingătoare, vizând alte agenții sau chiar cetățeni privați conectați la chestiuni guvernamentale în desfășurare.

Dincolo de atacurile ulterioare țintite, există și valoarea de intelligence. A ști cine lucrează la Trezorerie, ce programe supraveghează și cine comunică cu cine este cu adevărat util pentru un serviciu de informații străin, iar această valoare nu necesită ca atacatorii să spargă vreodată un singur fișier criptat.

Ce pot și ce nu pot face utilizatorii preocupați de confidențialitate pentru a se proteja

Aici expunerea datelor guvernamentale din atacul SolarWinds confruntă utilizatorii individuali cu o realitate inconfortabilă. Nu există practic nimic ce poate face un cetățean privat pentru a împiedica un serviciu de informații străin să compromită infrastructura internă de e-mail a unei agenții federale.

Folosirea unui VPN îți protejează propriul trafic. Parolele puternice și autentificarea în doi factori îți protejează conturile personale. Mesageria criptată end-to-end îți protejează conversațiile private. Niciuna dintre aceste măsuri nu are vreo influență asupra faptului că un furnizor de software în care guvernul federal are încredere a fost compromis sau dacă o agenție guvernamentală care deține înregistrări despre tine a fost infiltrată prin canalul de actualizare al acelui furnizor.

Acesta nu este un argument pentru fatalism. Este un argument pentru claritate cu privire la ceea ce sunt concepute să facă diferitele instrumente. Instrumentele de confidențialitate personală abordează suprafețele de atac personale. Vulnerabilitățile sistemice din infrastructura guvernamentală sau a întreprinderilor necesită răspunsuri sistemice: audituri riguroase ale furnizorilor de software, arhitecturi de rețea cu încredere zero, termene obligatorii de dezvăluire a breșelor și supraveghere legislativă cu adevărat eficientă.

Pentru indivizi, cel mai util răspuns este să rămână informați cu privire la ce date dețin agențiile guvernamentale, să acorde atenție notificărilor de breșe atunci când apar și să fie deosebit de sceptici față de comunicările nesolicitate care par să provină din surse guvernamentale în urma oricărei breșe raportate.

Ce înseamnă asta pentru tine

Amploarea nou dezvăluită a breșei de la Trezorerie este un memento că protecția datelor personale există într-un ecosistem mai larg pe care indivizii nu îl controlează. Practicile tale de securitate contează. Dar la fel contează și postura de securitate a fiecărei instituții care deține date despre tine.

Atacul SolarWinds nu a fost o anomalie izolată. A expus o slăbiciune structurală în modul în care sunt considerate de încredere lanțurile de aprovizionare software și cum sunt dezvăluite breșele. Înțelegerea acestui context este esențială pentru oricine urmărește modul în care amenințările la nivel de stat se traduc în riscuri reale la adresa vieții private. Începe prin a-ți construi o înțelegere solidă a modului în care funcționează atacurile asupra lanțului de aprovizionare și de ce sunt atât de greu de contracarat la nivel individual. Acest fundal îți va ascuți lectura fiecărei povești similare care va urma.