Győzelem és zéró bizalom: az amerikai kormányzat tervei a SolarWind-akciósorozat utáni világra
Az Egyesült Államok kormányzata „győzelmet” jelentett be a napokban a SolarWind-akciósorozat felszámolására indított, átfogó kormányzati intézkedések lezárásaként. Magunk is többször beszámoltunk Hírlevelünkben a tavaly év végén kirobbant kiberkémkedési botrányról, amelyben külföldi államhoz tartozó hackercsoportok rendkívül kiterjedt mértékben kompromittálták az USA számtalan kormányzati számítógépes rendszerét – a világ több száz, de vélhetően inkább több ezer óriáscégének és más intézményének hálózataihoz hasonlóan. A károkozás mértékének felderítésére, és természetesen lehetőség szerint a kármentésre (vagy legalább a további illetéktelen akciók megelőzésére) az Egyesült Államok kibervédelmi intézményrendszere kiterjedt, átfogó kampányt indított. Most az ellenlépés-sorozat (legalábbis annak nyilvános része) a jelek szerint lezárult, méghozzá egyfajta „győzelmi jelentéssel”. A téma legmagasabb rangú kormányzati felelőse, Anne Neuberger, a Kiberbiztonságér és Fejlett Technológiákért Felelős Helyettes Nemzetbiztonsági Főtanácsadó bejelentette, hogy a rendkívüli helyzet megoldására, a vészhelyzet elhárítására életre hívott két testület (Egyesített Koordinációs Csoport, UCG) sikeresen elvégezte küldetését. A SolarWind hackelés (illetve az ahhoz kapcsolódó Microsoft Exchange szerver feltörés) következményeinek további kezelése immár a szokványos ügymenet szerint, az erre hivatott rendes szervezeti keretek között zajlik majd.
A bejelentés néhány nappal követte azt a hivatalos kormányzati közlést, amely szerint a Biden-kormány formálisan is az orosz Külföldi Hírszerző Szolgálat (SzVR) elit kiberalakulatának tulajdonította a kiberkémkedési akciót (és az ahhoz kapcsolódó Elnöki Rendelet több szankciót léptetett életbe Oroszország ellen, beleértve diplomaták kiutasítását is). A két most megszüntetett UCG-t, azaz Egyesített Koordinációs Csoportot azzal a feladattal hozták létre a válság csúcspontján, hogy a kormányzat egészét átfogó módon hangolja össze a fellépést (kárfelmérést, és kármentést). Neuberger hangsúlyozta, hogy a hackerakció felgöngyölésében az amerikai szövetségi jelfelderítő ügynökség, az NSA példamutatóan működött együtt a kiberbiztonsági hatósággal a CISA-val. Felderítő és elhárító munkájuk keretében olyan innovatív eljárásokat dolgoztak ki (a megelőzésre és a kárelhárításra egyaránt), ami jelentősen hozzájárul majd a kormányzat egészét érintő ellenálló képesség megerősítésére.
Ennél az alapvetően „az ügy sikeresen lezárva” hangulatú bejelentésnél a SolarWind-akciósorozat vélhetően sokkal mélyebb nyomokat hagyott az amerikai kiberbiztonsági szervezetek tisztségviselőiben. Neuberger tájékoztatója után néhány nappal ugyanis, kevésbé feltűnő körülmények között, megszólalt egy másik illetékes is. John Sherman, az USA Hadügyminisztériuma informatikai vezetőjének álláspontja kevésbé hangzik ünnepélyesen – inkább kijózanítóan hat. Állítása szerint alapvetően új védekezési stratégiát és taktikát kell kidolgozni, mert számtalanszor bebizonyosodott mára, hogy az ellenfél hackerei „ott vannak már a legbelső védvonalakon belül”. Az új védelmi filozófia lényege tehát annak a feltételezése, hogy az ellenfél már bent van a rendszereinkben. Sherman szerint ennek megfelelően az ún. „zéró bizalom modell” olyan belső védelmi eszközökre támaszkodik, amelyek folyamatosan ellenőrzik, hogy egy adott eszköz, felhasználó, vagy szoftver az elvárásoknak megfelelően működik-e (azaz, nem került-e illetéktelen befolyás alá). Ez a koncepció élesen szakít az eddigi szokványos kiberbiztonsági filozófiával, ami alapvetően a rendszerekbe való illetéktelen behatolások megakadályozására fókuszált.
A koncepció elemei (illetve bizonyos formái) már a 2000-es évek eleje óta jelen vannak a szakmában. Ezek működését azonban többnyire sok félreértés kísérte. A mostani felfogás például semmiképpen sem irányozza elő a külső védelmi gyűrű (a periméter) felszámolását, ellenkezőleg. Valójában arról van szó, hogy az erős külső védelem mellé (amelyeket finoman szólva nem tart áthatolhatatlannak) újabb védekezési gyűrűket épít ki, immár a védeni kívánt rendszerek belsejében. A zéró bizalom tehát nem egy eszköz, vagy technika, hanem sokkal inkább egy védekezési filozófia.
SolarWinds, Microsoft Hacks Prompt Focus on Zero-Trust Security; The Wall Street Journal; 2021. április 26.
White House Winds Down Solar Winds, Exchange Cyber Teams; Brad D. Williams; Breaking Defense; 2021. április 21.
PÁR MONDATBAN – TOVÁBBI HÍREK, OLVASMÁNYOK, ADATOK
A Kaspersky kiberbiztonsági szakértői új kiberkártevő nyomára bukkantak: a szálak ezúttal a CIA-hoz vezetnek
A Kaspersky biztonságtechnológiai cég bejelentése szerint kutatói egy új kiberkártevő nyomaira bukkantak, és a kártékony kódot az amerikai CIA kiberműveleteihez találták kapcsolódónak. A rendellenes kódrészleteket egy 2019-ben megszerzett „kiberkártevő gyűjteményben” találták. Akkori vizsgálatuknál nem bukkant elő azonosság semmilyen ismert kártevővel; azonban a minták ismételt vizsgálata során olyan programozási mintázatokra, stílusokra és technikákra bukkantak, amelyek egyértelmű egyezést mutatnak a Lambert család által készített rosszindulatú programokkal. Lambert családnak hívják a Kaspersky mérnökei az amerikai Központi Hírszerző Ügynökség, a CIA ismertté vált kiberműveleteit. Ezek egy részét a WikiLeaks szivárogtatás keretében ismerte meg a világ: a Vault 7 csomagban nyilvánosságra került hacker eszközöket akkor a Symantec amerikai kiberbiztonsági cég egyértelműen a CIA-hoz kapcsolta. A Lambert, vagy más néven Longhorn – a Symantec és a Kaspersky egybehangzó véleménye szerint – egyértelműen egy APT, azaz állami hátterű kiberalakulat. A Kaspersky által most Bíbor Lambert (Purple Lambert) névre keresztelt malware a metaadatok szerint 2014-ben készült és legkésőbb 2015-ben vetették be. Alapvetően egy trójairól van szó, amelyet specifikus adatcsomagok aktiváltak, hátsó kaput nyitva a fertőzött rendszerekbe.
Security firm Kaspersky believes it found new CIA malware; Catalin Cimpanu; The Record; 2021. április 28.
Összeállította és szemlézte: dr. Nyáry Gábor