Az amerikai Szövetségi Nyomozó Iroda (FBI), a Nemzetbiztonsági Ügynökség (NSA), a kiberbiztonságért és az infrastruktúra védelméért felelős ügynökség (CISA) és a jelenleg már másfél tucat hírszerzési szervezetet koordináló állami hivatal (Office of the Director of National Intelligence, ODNI) közösen adott ki közleményt azzal a decemberben felfedezett kibertámadással kapcsolatban, amelynek pontos méretét és hatásait azóta is szinte napról napra komolyabbnak ítélik.

A december közepén napvilágra került ügy súlyát már az is jelezte, hogy szinte azonnal soron kívüli nemzetbiztonsági tanácskozást hívtak össze a Fehér Házban a helyzet értékelésére. Az akkori hírek szerint a támadók a "supply chain attack" módszerrel, vagyis a célpontok által megbízhatónak minősített külső partner szoftverfrissítésébe csempészve juttatták be saját kódjukat a megtámadott rendszerekbe, amit így a védelmi mechanizmusok is sokkal nehezebben tudtak (volna) kiszűrni.

A megbízható partner ebben az esetben a SolarWinds nevű szállító volt, amely informatikai megoldásokat biztosít különböző amerikai kormányzati ügynökségeknek, a hadseregnek és nemzetbiztonsági szolgáltatoknak is. A cég hivatalos közleménye szerint valamikor idén március és június között manipulálhatták az állományaikat, a sikeres támadás jelentőségét pedig jól érzékelteti, hogy a SolarWinds ügyfelei között ott van a kormányzati szervezetek mellett az Államok tíz legnagyobb telekommunikációs szolgáltatója, sőt a Fortune 500-as lista legtöbb szereplője.

Nem mondom, hogy ők voltak, de ők voltak

Azóta kiderült, hogy a támadók mások mellett hozzáférhettek a Microsoft bizonyos termékeinek forráskódjához is. Bár a társaság szerint nincs bizonyítva, hogy ennek révén szolgáltatások vagy ügyféladatok komprommittálódtak, az akció a decemberi felfedezéssel korántsem ért véget. A SolarWinds Orion nevű programjának frissítésén, illetve az azon keresztül összesen 18 ezer kormányzati és vállalati rendszerbe elhelyezett kiskapukon keresztül a hekkerek folyamatosan aktívak lehetnek.

Az ennyire szofisztikált, jelentős szakértelmet és anyagi forrásokat is feltételező akciókat hagyományosan állami hátterű hekkercsoportokhoz szokták kapcsolni, amire a hosszú ideig tartó, drága és kifinomult előkészítés mellett az is utalhat, hogy a támadók célja láthatóan nem a közvetlen károkozás, hanem a csendes információgyűjtés volt. A hekkereket azonban mostanáig nem hozták hivatalosan kapcsolatba sem Oroszországgal, sem más államokkal.

Az amerikai kormányügynökségek kedden kiadott közleménye viszont már úgy fogalmaz, hogy az úgynevezett Advanced Persistent Threat (APT) támadás minden valószínűség szerint Oroszországból eredt, célja pedig hírszerző tevékenység volt. A támadássorozat a közlemény szerint is folyamatosan zajlik, bár egyértelművé teszi, hogy a 18 ezer érintett ügyfélhez képest minden bizonnyal sokkal kisebb azoknak az áldozatoknak a száma, amelyek rendszerein tényleges aktivitás követte a telepítéseket.

Ahogy még decemberben írtuk, az orosz külügy még azon melegében reagált a sajtóban megjelent vádakra. Hivatalos álláspontja szerint a 2016-os amerikai választások megkavarásához hasonlóan most is csak egy megalapozatlan rágalomhadjáratról van szó, amelynek célja, hogy Oroszországra kenjék az APT akciót. Mint ismeretes, Vlagyimir Putyin még szeptemberben arra hívta fel az Egyesült Államokat, hogy közösen dolgozzanak ki egy gyakorlati intézkedésekből álló programot, ami tisztába tehetné a két ország zaklatott viszonyát az informatikai területen is. A beszámolók ezzel kapcsolatban megjegyzik, hogy a mostani hekkerkampány sikeréhez minden bizonnyal az idei amerikai elnökválasztás is hozzájárult, mivel annak biztosítása a még mindig szűkös erőforrások aránytalanul nagy részét emésztette fel.