Kínai hekkerek is hozzáférhettek amerikai kormányzati adatbázisokhoz

2021. február 03. – 15:15

Másolás

Vágólapra másolva

A gyanú szerint kínai hekkerek is kihasználhatták a SolarWinds szoftverében található hibát, így hozzáférhettek az USA kormányzati rendszereihez – írja a Reuters. A hírügynökség anonimitást kérő forrása szerint a támadók a mezőgazdasági minisztérium alá tartozó Nemzeti Pénzügyi Központ (National Finance Center – NFC) rendszerébe hatolhattak be. Az NFC végzi több szövetségi alkalmazott bérszámfejtését, így a hekkerek akár több ezer munkavállaló adataihoz is hozzáférhettek.

Mi is részletesen beszámoltunk róla december közepén, hogy az Egyesült Államokat megrengette az a kibertámadás, amely legalább március óta tartott, és lapértesülések szerint az orosz hírszerzéshez köthető, Cozy Bear vagy APT 29 nevű állami hekkercsoport hajthatta végre. A támadók a SolarWinds Orion nevű szoftverének frissítéseibe épültek be, így jutottak el a cég akár 18 ezer ügyfeléhez, köztük a fél amerikai kormányzathoz, illetve Amerikában és világszerte telekommunikációs, technológiai és energetikai és más cégek egész sorához. A kémakcióra azután derült fény, hogy a FireEye nevű kiberbiztonsági cég felfedezte, hogy őt is megtámadták, majd a támadást visszafejtve eljutott a SolarWindshez.

Bár a támadók 18 ezer Orion-felhasználó rendszereihez szereztek hozzáférést, ennek csak töredékével éltek, mert tudatosan a legértékesebbnek ítélt célpontokra összpontosítottak, részben azért, hogy csökkentsék a lebukás esélyét, részben mert minden konkrét célpont megtámadása alapos előkészületet igényelt, és a hekkerek nagyon vigyáztak arra, hogy észrevétlenek maradjanak – ez legalább kilenc hónapon keresztül sikerült is nekik.

Az – elvileg – kínaiak által végrehajtott támadás ugyan nagyjából egy időben zajlott a feltehetőleg orosz hekkerek által indított akcióval, de nem ugyanazt a hibát használta ki. Szakértők már korábban is beszéltek arról, hogy történt egy második támadás is, de akkor még nem mondták ki, hogy a támadók honnan származtak, ahogy az sem, hogy mi volt a célpontjuk. Azért gyanakszanak kínai támadókra, mert olyan eszközöket használtak, mint korábban a kínai állam által támogatott hekkerek.

A mezőgazdasági minisztérium egyik szóvivője először azt mondta, hogy minden érintettet tájékoztatnak a SolarWindshez köthető támadásról, de nem sokkal később egy másik szóvivő már azt mondta, hogy az NFC-t nem érte támadás, és nem történt a SolarWindshez köthető szivárgás.

A kínai külügy tagadja, hogy közük lenne bármilyen hekkertámadáshoz.

A SolarWinds közleménye szerint egy áldozatról tudnak, akit a második csapat támadott meg, de még nem találtak bizonyítékot arra, ki állhat a támadás mögött. Állításuk szerint a cég belső rendszereihez senki nem fért hozzá, és a hibát decemberben kijavították. Tudomásuk szerint a hekkerek már csak akkor nyúltak hozzá a szoftverükhöz, amikor már bent voltak az ügyfelük hálózatában.

Szakértők szerint a két támadás egészen máshogy zajlott: az állítólagos orosz hekkerek az Orion frissítéseibe épültek be, míg a kínainak vélt támadók egy másik Orion-bugot használtak ki.

Az NFC kezeli több szövetségi ügynökség bérszámfejtését. Ezek közül több nemzetbiztonsággal foglalkozik, mint például az FBI vagy a külügyminisztérium. Több mint 160 ügynökség legalább 600 ezer alkalmazottjának tárolják a magán telefonszámát és email címét, valamint banki adatait.