Rosyjski wywiad w natarciu. Wykryto globalną, niebezpieczną kampanię

Dzięki wspólnym wysiłkom kilku agencji rządowych oraz specjalistów z branży IT udało się ustalić, że Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystywała podatność CVE-2023-42793 do szeroko zakrojonych działań skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity. Dlaczego tak ważne było wykrycie i zastopowanie tych działań Rosjan?

Oprogramowanie JetBrains TeamCity jest używane do zarządzania i automatyzacji m.in. procesu testowania i wydawania oprogramowania. Dostęp do serwerów z nim związanych może stać się furtką do pozyskania kodów źródłowych i certyfikatów kryptograficznych, a także wpłynięcia na tworzone oprogramowania.

Wyjaśniając to najprościej - Rosjanie prowadzili działania zmierzające do wprowadzenia niebezpiecznych zmian w oprogramowaniu, które później w formie np. aktualizacji trafia do użytkowników na całym świecie. Z dokonanych ustaleń wynika, że kampania SVR była prowadzona od września br.

Kampania Rosjan związana z JetBrains TeamCity została wykryta dzięki współpracy Federalnego Biura Śledczego (FBI), Amerykańskiej Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowej Agencji Bezpieczeństwa (NSA), a także Brytyjskiego Narodowego Centrum Bezpieczeństwa Cybernetycznego (UK NCSC) oraz Polskiej Służby Kontrwywiadu Wojskowego (SKW) i CERT Polska.

- To dowód na to, jak ważna jest współpraca w obszarze cyberbezpieczeństwa i jak istotne ogniwo stanowi w niej Polska. Analizę publikujemy, by pomóc organizacjom w wykrywaniu zagrożeń oraz zabezpieczeniu własnych sieci, chcemy także umożliwić podmiotom z sektora cyberbezpieczeństwa skuteczniejsze przeciwdziałanie aktywności rosyjskich służb – powiedział kierownik CERT Polska Sebastian Kondraszuk.

Dalsza część artykułu pod materiałem wideo

Jak tłumaczą eksperci z CERT Polska, kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń. Przerwanie kampanii rozpoczętej we wrześniu jest oceniane pozytywnie, ponieważ tego typu działania wymagają zaangażowania znacznych zasobów po stronie wrogiej służby - nie dni, ale tygodni gromadzenia dostępów, prac wdrożeniowych i planowania.

Finalnie, po udanych działaniach hakerów może dość do sytuacji, że zainfekowany patch uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia czy całego systemu. W innym scenariuszu możliwe jest wprowadzenie niezauważalnych modyfikacji do kodu źródłowego pozwalających na np. odczytanie ruchu sieciowego.

Służby i organizacje stojące za publikacją informacji o działaniach Rosjan rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains (jeśli nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji) założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych. Następnie powinny rozpocząć proces wykrywania zagrożenia w oparciu o przekazane im wskazówki.