MOSKVA/PRAHA – Rusi sa mali prostredníctvo viacerých hackerských skupín dostať k citlivým informáciám a riadeniu softvérov spoločností po celom svete. Hackeri majú byť napojení na zahraničnú službu, ktorá je spájaná priamo s vládnymi štruktúrami. Kremeľ sa tak mohol dostať k citlivým informáciám iných krajín.
archívne video
V Prahe bola v roku 2001 vybudovaná firma JetBrains, ktorú založili traja Rusi. Podstata celého chodu spoločnosti bola založená na vyvíjaní softwaru pre programátorov. V dnešnej dobe má svoje dcérske spoločnosti v USA či Ázii. Ako informuje The Record, v priebehu tohto týždňa označili agentúry Veľkej Británie, USA a Poľska software tejto českej spoločnosti za chybný a dokonca varovali pred jeho používaním.
Cozy Bear
Chyby sa mali objaviť v programe TeamCity pod označením CVE-2023-42793, ktorý používajú vývojári na testovanie a výmenu softvérového kódu pred jeho vydaním. Zneužiť to mali ruskí hackeri skupiny Cozy Bear (APT29) napojení na ruskú rozviedku (SVR). Prvé útoky v Európe, USA, Ázii a Austrálii boli odhalené už začiatkom tohto roka. Podľa dostupných údajov sa mala naplno rozbehnúť až v septembri.
Len nedávno sa podarilo odhaliť, že SVR používa prístup do TeamCity pre svoje ciele. Zraniteľnosť softvéru využíva na exfiltráciu súborov, ktoré poskytujú prehľad o operačnom systéme. Okrem toho používa niekoľko techník na zakázanie alebo úplné zastavenie detekcie a odozvy koncových bodov (EDR) a antivírusového (AV) softvéru.
Nepomohlo to
Tieto vniknutia sa odohrali aj napriek tomu, že spoločnosť JetBrains vydala koncom septembra opravnú aktualizáciu, ktorá mala zamedziť prístup hackerom do softvéru. SVR tak naďalej využíva zadné dvierka v systémoch a nie je možné ju vyradiť ani touto aktualizáciou. "Akékoľvek zadné dvierka pravdepodobne pretrvajú a zostanú neodhalené aj po upgrade TeamCity či inštalácii záplaty zabezpečenia, takže prostredie bude vystavené riziku ďalšieho zneužitia," varoval Daniel Gallo z JetBrains.
"Typy obetí vo všeobecnosti nezapadajú do žiadneho druhu alebo trendu, okrem toho, že nemajú aktualizovaný, internetom dostupný server JetBrains TeamCity, čo vedie k záveru, že využívanie sietí týchto obetí SVR nemalo charakter cieleného útoku," dodal.
Poškodení
Medzi napadnuté organizácie patrí združenie obchodu s energiou, spoločnosti, ktoré poskytujú softvér pre fakturáciu, lekárske zariadenia, starostlivosť o zákazníkov, monitorovanie zamestnancov jednotlivých spoločností, finančný manažment, marketing, ako aj webhostingové spoločnosti či malé a veľké IT firmy. JetBrains informovalo o oprave problému (aktualizácia) 20. septembra, ale následné zverejnenie technických detailov viedlo k okamžitému zneužitiu. Objavilo sa viac ako 1 200 neopravených vstupov do systému.
FBI, NSA, Americká agentúra pre kybernetickú bezpečnosť (CISA), Poľská vojenská kontrarozviedka (SKW), a Národné centrum kybernetickej bezpečnosti Spojeného kráľovstva (NCSC) varovali, že preniknutie do serveru TeamCity "poskytne škodlivým aktérom prístup k zdrojovému kódu vývojára softvéru, k podpisu certifikátov a schopnosti podvrátiť procesy kompilácie a nasadenie tohto softvéru," teda jeho ďalšieho neoprávneného použitia.
Trump aj koronavírus
Svetové agentúry poznamenali, že SVR sa od roku 2013 zameriava na zhromažďovanie zahraničných spravodajských informácií, ktoré posúva ruskému vedeniu. Patria medzi ne informácie o politike, ekonomike, armáde či vede a technike.
CIA koncom roku 2016 oznámila, že SVR mala mať na svedomí hackerské útoky v snahe pomôcť Donaldovi Trumpovi získať prezidentský úrad. Hackeri sa v roku 2020 pomocou vlastného malvéru zamerali aj na organizácie zapojené do vývoja vakcín proti COVID-19. V súčasnej dobe má byť zapojená do kampane "Diplomatic Orbiter" (dohody a diskusie an úrovni diplomatických misií po celom svete).
