W zeszłym tygodniu potwierdzono ataki na redakcje New York Timesa, Wall Street Journal i Washington Post. Teraz dowiadujemy się o kolejnym, ujawnionym włamaniu, tym razem do Departamentu Energii Stanów Zjednoczonych, któremu podlega Narodowa Agencja Bezpieczeństwa Nuklearnego (NNSA) zarządzająca amerykańskim arsenałem nuklearnym oraz związaną z tym infrastrukturą.
Nawiązując do raportu opublikowanego w Washington Free Beacon, przedstawiciele agencji potwierdzili złamanie zabezpieczeń 14 serwerów i 20 stacji roboczych.
Na tym etapie, gdy niewiele informacji podano do publicznej wiadomości, trudno jest przedstawić konkretne wnioski. Jednak już poznane szczegóły są bardzo niepokojące. W raporcie opublikowanym w Washington Free Beacon jest mowa o tym, że „ten wyrafinowany atak nie ograniczał się wyłącznie do wykradania informacji osobistych. Prawdopodobnie główny motyw był inny, możliwe, że celem było ułatwienie uzyskania dostępu do wrażliwych i tajnych danych w przyszłości.”. Potwierdzono, że cyberprzestępcy uzyskali dostęp do danych osobowych setek pracowników, jednakże w wyniku ataku nie wyciekły żadne tajne i wrażliwe informacje.
Jeżeli celem przestępców było szpiegostwo, co wydaje się najbardziej prawdopodobne, istnieje mała szansa, że w związku z niepowodzeniem hakerzy na tym poprzestaną. Współcześnie cyberataki prowadzone są raczej w formie długotrwałych kampanii niż pojedynczych uderzeń. Nawet jeśli żadne tajne dane nie wyciekły (choć mam co do tego pewne wątpliwości, dochodzenie nadal jest w toku) to informacje, które uzyskano będą nieocenione w planowaniu kolejnych ataków wymierzonych w konkretne osoby pracujące w Departamencie Energii i Agencji Bezpieczeństwa Nuklearnego.
Państwa zawsze inwestowały ogromne środki w najnowsze technologie pomagające prowadzić akcje wywiadowcze na bardzo szeroką skalę, nadal będą to robić, co nie powinno nikogo dziwić. Jednocześnie rządy i korporacje zachęcają swoich obywateli i pracowników to stosowania podobnej technologii do szyfrowania danych i szczególnego monitorowania podejrzanych zachowań w czasie rzeczywistym. Przełamanie zabezpieczeń w tego typu organizacjach nie powinno być takie proste.
Historie włamań do redakcji znanych gazet przybliżają problem zastosowania w organizacji-ofierze nieodpowiednich zabezpieczeń antywirusowych, które nie zasygnalizowały obecności złośliwego oprogramowania wykorzystywanego do przeprowadzenia ataku. Organizacje stojąc w obliczu ataku ukierunkowanego nadal będą polegały na pojedynczej warstwie ochrony, zazwyczaj dostosowanej do obrony przed zupełnie innym rodzajem zagrożenia.
Efektywność tradycyjnego oprogramowania antywirusowego mierzona poprzez możliwość wykrywania ukierunkowanych ataków jest jak mierzenie efektywności młotka w wykręcaniu śrubki. Jest to po prostu nieodpowiednie narzędzie to tego typu zadań. Jeśli atakujący nie może obejść twojego antywirusa to jego „namierzanie” jest zdecydowanie niewystarczające. Współczesne systemy ochrony powinny bazować na założeniu, że do ataku prędzej czy później dojdzie i w oparciu o praktyczne informacje reagować w czasie rzeczywistym. Pozwoli to potencjalnej ofierze szybko opanować sytuację i wdrożyć środki zaradcze.
Tekst pochodzi z bloga Rika Fergusona, Dyrektora ds. badań nad bezpieczeństwem i komunikacji w regionie EMEA w firmie Trend Micro: http://countermeasures.trendmicro.eu/us-energy-department-next-victim-of-targeted-attack/
Źródło: Trend Micro
