CERT Polska, Służba Kontrwywiadu Wojskowego (SKW) oraz Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), a także Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) od września prowadzi działania mające na celu wprowadzenie niebezpiecznych zmian w oprogramowaniu, które następnie trafia do tysięcy podmiotów na całym świecie. Wrogą aktywność udało się przerwać w odpowiednim momencie.
– To dowód na to jak ważna jest współpraca w obszarze cyberbezpieczeństwa i jak istotne ogniowo stanowi w niej Polska. Analizę publikujemy by pomóc organizacjom w wykrywaniu zagrożeń oraz zabezpieczeniu własnych sieci, chcemy także umożliwić podmiotom z sektora cyberbezpieczeństwa skuteczniejsze przeciwdziałanie aktywności rosyjskich służb – powiedział kierownik CERT Polska Sebastian Kondraszuk.
Rosyjskie służby wykorzystują podatność CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom JetBrains TeamCity, używanym do zarządzania i automatyzacji m.in. procesu testowania i wydawania oprogramowania. Dostęp do serwera TeamCity może otworzyć furtkę do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania. SVR w 2020 roku przeprowadziła podobne działania w głośnej sprawie SolarWinds.
Kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń, choć wymaga zaangażowania znacznych zasobów po stronie wrogiej służby – nawet nie dni, ale tygodni gromadzenia cennego dostępu, prac wdrożeniowych czy planowania. Jak zauważają eksperci – zaufane, popularne, powszechnie używane oprogramowanie może otrzymać aktualizację która, w najprostszym scenariuszu, uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia czy całego systemu. W bardziej skomplikowanym scenariuszu, dostęp do środowiska kompilacji może zostać wykorzystany do wprowadzenia niezauważalnych zmian do kodu źródłowego (jak na przykład wprowadzenie niezauważalnych z zewnątrz modyfikacji do kryptografii). Jednocześnie tego typu działania, jak pokazuje historia, mogą łatwo wymknąć się spod kontroli i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki czy też bezpieczeństwa publicznego.
SKW, działając wspólnie z CERT Polska oraz partnerskimi służbami specjalnymi Wielkiej Brytanii i Stanów Zjednoczonych, współpracując z licznymi podmiotami prywatnymi przeciwdziałały rosyjskiej próbie uzyskania dostępu do oraz potencjalnie kompromitacji łańcucha dostaw wytwarzania oprogramowania dziesiątek podmiotów. Współpraca pozwoliła na identyfikację kampanii, ofiar i technik wykorzystywanych przez SVR w trakcie działań. Udało się także unieszkodliwienie narzędzi wykorzystywanych przez SVR.
Nie są to pierwsze ani ostatnie działania sojuszniczych służb, mające na celu ochronę bezpieczeństwa państwa przed wrogimi działaniami w cyberprzestrzeni. Warto podkreślić, że w działania aktywnie włączyły się także podmioty prywatne – w tym Microsoft, który wyłączył wszystkie zidentyfikowane konta usług wykorzystywane przez SVR jako kanały komunikacji i zarządzania. To dowód na to, że cyberbezpieczeństwo to nasza wspólna odpowiedzialność.
Agencje stojące za publikacją raportu rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains TeamCity, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających wrogiemu wykorzystaniu założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o opublikowane wskazówki.