Współpraca polskich, amerykańskich i brytyjskich służb udaremniła cybernetyczne ataki Federacji Rosyjskiej
20.12.2023
„Dzięki współpracy międzynarodowej doszło do udaremnienia rosyjskich ataków cyber, które mogły stanowić duże zagrożenie dla dziesiątek firm i instytucji publicznych. Podjęto próbę zainfekowania ok. 60 serwerów, a potencjalnych ofiar mogło być nawet około 800. Warto podkreślić, że odpowiednie działania zostały podjęte po tym, jak polscy specjaliści wykryli zagrożenie. To duży sukces w skali międzynarodowej, który pozwolił na identyfikację kampanii, ofiar i technik wykorzystywanych tę grupę cyberprzestępców” – poinformował minister cyfryzacji Krzysztof Gawkowski.
Międzynarodowa tarcza cyber
Podczas briefingu prasowego z udziałem Adama Marczyńskiego, Zastępcy Dyrektora NASK, szef resortu cyfryzacji podziękował za sprawne działanie służb, które zablokowały ataki Rosjan. Rosyjska Służba Wywiadu Zagranicznego (SVR) od września prowadzi działania mające na celu wprowadzenie niebezpiecznych zmian w oprogramowaniu, które następnie trafia do tysięcy podmiotów na całym świecie. We wspólnej akcji brały udział m.in. CERT, Służby Kontrwywiadu Wojskowego, Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), FBI, Narodowa Agencja Bezpieczeństwa (NSA) i Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC).
Wrogą aktywność udało się przerwać w odpowiednim momencie. „To potwierdza, że polskie służby potrafią wykrywać takie ataki, potrafią taką cybernetyczną tarczę stworzyć, która daje też gwarancję bezpieczeństwa światowego. Reagujemy we właściwych momentach i stajemy na wysokości zadania” – podkreślił wicepremier.
„Niezwykle sprawne wykrycie i usunięcie zagrożenia, o którym mówimy, było możliwe właśnie dzięki międzynarodowej współpracy, której CERT Polska był istotnym elementem” – dodał Adam Marczyński, Zastępca Dyrektora NASK PIB.
Atak na serwery JetBrains TeamCity
W obecnej sytuacji geopolitycznej Polska jest szczególnie narażona na możliwość ataku hybrydowego ze strony Rosjan. Minister Gawkowski wyraził nadzieję, że docenienie pracy SKW i CERT Polska stanie się przyczynkiem do szybszego wdrożenia prac nad nowelizacją Krajowego Systemu Cyberbezpieczeństwa oraz wzmocnienia Funduszu Cyberbezpieczeństwa.
Dyrektor Marczyński zaznaczył, że zagrożeń w sferze cyber nie da zlikwidować z pozycji jednego kraju, dlatego kluczowa jest współpraca międzynarodowa. „Apeluję do wszystkich osób zajmujących się tematami IT, aby szybko i sprawnie aktualizowali systemy. Pozwoli to minimalizować niebezpieczeństwa związane z podatnościami” – dodał.
Szczególnie trudna do wykrycia jest kompromitacja łańcucha dostaw oprogramowania. Powszechnie używane oprogramowanie, zwłaszcza takie, które cieszy się zaufaniem użytkowników, może otrzymać aktualizację, która uruchomi narzędzia dające dostęp hakerom do urządzenia lub całego systemu. Może także zmienić kod źródłowy i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki czy bezpieczeństwa publicznego.
Kilkumiesięczne działania operacyjne SKW, CERT Polska oraz partnerów z Wielkiej Brytanii i Stanów Zjednoczonych pozwoliły na zablokowanie rosyjskiej próby uzyskania dostępu do serwerów JetBrains TeamCity, używanych do zarządzania i automatyzacji m.in. procesu testowania i wydawania oprogramowania. Zapobiegło to również potencjalnej kompromitacji łańcucha dostaw wytwarzania oprogramowania dziesiątek podmiotów.
SVR w 2020 roku przeprowadziła podobne działania w głośnej sprawie SolarWinds. Tym razem, dzięki współpracy i sprawnemu działaniu udało się przerwać atak i nie dopuścić do takiej skali następstw.
Agencje rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains TeamCity, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających wrogiemu wykorzystaniu założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych wdrożyły proces wykrywania zagrożenia w oparciu o opublikowane wskazówki.