Hoe Russische hackers de federale overheid infiltreerden

Dit is wat we tot nu toe weten.

Russische soldaten marcheren op het Rode Plein, Moskou, Rusland.

Een gezamenlijke taskforce van Amerikaanse veiligheidsdiensten zegt dat Rusland waarschijnlijk de actor is achter de massale malware-aanval op federale agentschappen vorig jaar.

Mladen Antonov/AFP via Getty Images

Dit verhaal maakt deel uit van een groep verhalen genaamd hercoderen

Ontdekken en uitleggen hoe onze digitale wereld verandert - en ons verandert.



Open source-logo

Federale veiligheidsdiensten hebben eindelijk bevestigd dat de massale hack van overheids- en particuliere computersystemen die medio december werd ontdekt, waarschijnlijk van Russische oorsprong was. Een verklaring van een gezamenlijke taskforce die op 5 januari is uitgegeven, was een van de eerste van een regering die tot nu toe terughoudend was om veel details over de hack te delen, mogelijk omdat president Trump weigert te erkennen dat Rusland de meest waarschijnlijke dader was. Het ministerie van Justitie heeft nu onthuld dat ook zijn e-mailaccounts zijn geschonden.

De hackers zijn er naar verluidt in geslaagd om in te breken in meerdere Amerikaanse overheidsinstanties in wat de grootste hack van overheidssystemen zou kunnen zijn sinds de regering-Obama - of misschien ooit. De inbraak bleef onopgemerkt tot december, toen een cyberbeveiligingsbedrijf dat hacktools maakt ontdekt dat zijn eigen systemen zijn geschonden. Dit betekent dat malware die in software van derden is ingevoegd, hackers mogelijk maandenlang toegang heeft gegeven tot verschillende overheidssystemen.

De FBI, de Cybersecurity and Infrastructure Security Agency (CISA), het Office of the Director of National Intelligence (ODNI) en de National Security Agency (NSA) werken samen om de inbreuk te onderzoeken. Op 5 januari heeft de gezamenlijke taskforce een verklaring vrijgegeven bevestigend dat ze denken dat de hackers Russisch waren en dat, ondanks pogingen om de inbraken te stoppen, de aanvallen nog steeds aan de gang zijn.

ik ben een bondgenoot van de lgbtq-gemeenschap

Dit werk geeft aan dat een Advanced Persistent Threat (APT)-acteur, waarschijnlijk van Russische oorsprong, verantwoordelijk is voor de meeste of alle recent ontdekte, voortdurende cyberaanvallen van zowel overheids- als niet-gouvernementele netwerken, aldus de verklaring. Op dit moment denken we dat dit een inspanning was en blijft om inlichtingen te verzamelen. We nemen alle nodige stappen om de volledige reikwijdte van deze campagne te begrijpen en dienovereenkomstig te reageren.

In de verklaring staat dat de taskforce tot nu toe minder dan 10 overheidsinstanties heeft gevonden die zijn gecompromitteerd, maar niet heeft aangegeven welke. De ministeries van Handel, Energie en Justitie hebben bevestigd dat ze zijn gehackt. Het ministerie van Financiën en Buitenlandse Zaken, het ministerie van Binnenlandse Veiligheid, delen van het Pentagon en de National Institutes of Health zouden ook zijn getroffen.

Maar de regering-Trump, die weinig over de aanval heeft gezegd, was terughoudend om Rusland de schuld te geven. De president twitterde zelfs dat het mogelijk uit China kwam en dat het onder controle was. Volgens deze nieuwe verklaring kwam het echter niet uit China en is het zeker niet onder controle.

Wat we weten over de betrokkenheid van Rusland – ondanks dat de tweets van president Trump anders suggereren

Volgens anonieme functionarissen , zijn de hackers een Russische groep genaamd Cosy Bear , ook bekend als APT29, die ook achter de hack van het Democratic National Committee en Hillary Clinton-campagnestafleden zat tijdens haar campagne van 2016, evenals de 2014 hacken van de niet-geclassificeerde netwerken van het Witte Huis en het ministerie van Buitenlandse Zaken. Er wordt ook aangenomen dat Cosy Bear achter zit recente aanvallen over verschillende organisaties die Covid-19-vaccins ontwikkelen. De groep is gelieerd aan de Russische inlichtingendienst, hoewel Rusland elke betrokkenheid heeft ontkend – een standpunt dat het nu handhaaft.

hebben adventskalenders 25 dagen

Kwaadaardige activiteiten in de informatieruimte zijn in strijd met de principes van het Russische buitenlands beleid, nationale belangen en ons begrip van interstatelijke betrekkingen, de Russische ambassade zei in een verklaring in december. Rusland voert geen offensieve operaties in het cyberdomein.

De regering-Trump aarzelde aanvankelijk om officieel veel over de hack te zeggen of een specifiek land de schuld te geven. Een dag nadat CISA de hack publiekelijk had erkend, zei minister van Buitenlandse Zaken Mike Pompeo vertelde Breitbart Radio News dat Rusland er misschien achter zat, maar dat het ook China of Noord-Korea kan zijn geweest.

Senatoren van beide partijen hadden destijds meer te zeggen. Sen. Dick Durbin (D-IL) noemde het vrijwel een oorlogsverklaring van Rusland aan de Verenigde Staten, terwijl senator Richard Blumenthal (D-CT) zei de geheime informatie die hij ontving over de Russische cyberaanval zorgde ervoor dat hij zich diep gealarmeerd, in feite ronduit bang voelde. Sen. Mitt Romney (R-UT) vergeleek de aanval aan Russische bommenwerpers ... die herhaaldelijk onopgemerkt over ons hele land vlogen. Hij bekritiseerde Amerika's flagrant ontoereikende cyberbeveiligingsverdediging, evenals het onvergeeflijke stilzwijgen en inactiviteit van de president als reactie daarop.

wat is er mis met de laatste jedi

Naar aanleiding van die verklaringen vertelde Pompeo aan: weer een conservatieve talkshow op de radio dat de Russen vrij duidelijk achter de hack zaten.

President Donald Trump leek echter andere informatie te hebben gekregen dan alle anderen. In zijn eerste opmerkingen over de hack, bijna een week nadat deze voor het eerst werd gemeld, zei Trump getweet dat het in de pers was overdreven en onder controle was, eraan toevoegend China zit er misschien achter, en de hack heeft mogelijk invloed gehad op de stemmachines bij de verkiezingen, waarvan hij nog steeds ten onrechte volhoudt dat hij heeft gewonnen. (Er is geen bewijs dat stemmachines door de hack zijn getroffen of op een andere manier zijn gecompromitteerd.)

Maar Trumps eigen voormalige adviseur van het ministerie van Binnenlandse Veiligheid, Thomas Bossert, zei in een: New York Times opiniestuk in december dat de omvang van deze voortdurende aanval moeilijk te overschatten is en dat het jaren zou duren om te begrijpen hoe alomtegenwoordig en schadelijk het was.

Hoe een zwakke schakel in een toeleveringsketen hackers toegang gaf tot de meest veilige systemen

Aangenomen wordt dat de hacks afgelopen maart zijn begonnen via netwerkbewakingssoftware genaamd Orion Platform, die is gemaakt door een bedrijf uit Texas genaamd SolarWinds. De hackers waren op de een of andere manier in staat om malware in de software-updates van Orion Platform in te voegen die, eenmaal geïnstalleerd, hackers toegang tot die systemen gaven. Dit wordt een supply chain-aanval genoemd.

SolarWinds zegt van wel meer dan 300.000 klanten over de hele wereld, waaronder het Amerikaanse leger, het Pentagon, het ministerie van Justitie, het ministerie van Buitenlandse Zaken, het ministerie van Handel, het ministerie van Financiën en meer dan 400 Fortune 500-bedrijven. Maar niet al die klanten maakten gebruik van het Orion Platform. SolarWinds denkt dat minder dan 18.000 klanten mogelijk getroffen zijn, volgens de Washington Post , met de New York Times zegt: dat er toegang was tot maar liefst 250 overheids- en bedrijfsnetwerken. De Wall Street Journal geïdentificeerd twee dozijn bedrijven, waaronder Cisco, Intel en Deloitte, die het slachtoffer werden van de hack.

Zonnewind is nu uitgebracht software-updates die de kwetsbaarheid verhelpen en verontschuldigden zich voor het veroorzaakte ongemak.

SolarWinds lijkt niet de enige aanvalsvector te zijn. Na eerdere weigeringen heeft Microsoft bevestigd op oudejaarsavond dat zijn Office 365-software ook het doelwit was van een zeer geavanceerde natiestaat, via zijn softwarewederverkopers, maar het bedrijf geloofde niet dat hackers veel meer konden doen dan de broncode bekijken.

FireEye, een cyberbeveiligingsbedrijf dat ook een slachtoffer van de SolarWinds-hack, heeft genoemd deze malware SUNBURST. (Microsoft heeft noemde het Solorigate.) FireEye was naar verluidt de eerste die de hack ontdekte - blijkbaar niet de overheidsinstanties die belast zijn met het beschermen van de cyberbeveiligingsinfrastructuur van het land.

Het ministerie van Handel was een van de eersten om te bevestigen een inbreuk op een van zijn agentschappen, maar heeft niet gespecificeerd welke werd getroffen. Onder verwijzing naar anonieme bronnen, Reuters gemeld dat de National Telecommunications and Information Administration de getroffen instantie was en dat hackers al maanden toegang hebben tot e-mails van medewerkers. Het ministerie van Energie heeft ook: zei het vond malware in zijn bedrijfsnetwerken, maar had geen invloed op de missie-essentiële nationale veiligheidsfuncties. Bijna een maand na de eerste berichten over de hack, heeft het ministerie van Justitie bevestigd dat ongeveer 3 procent van zijn Microsoft Office 365-e-mailaccounts mogelijk werd geopend, maar niet geloofde dat een van zijn geclassificeerde systemen was geschonden.

grote kleine leugens seizoen 2 première

De ministeries van Financiën, Staat, Landbouw en Binnenlandse Veiligheid, evenals de National Institutes of Health, zijn ook geloofde getroffen zijn, maar ze hebben niet officieel bevestigd of dit het geval is. Hoe omvangrijk de hacks waren of welke systemen op die afdelingen zijn getroffen, is ook niet openbaar gemaakt.

In tegenstelling tot de huidige president reageerde verkozen president Joe Biden snel op het nieuws van de hack en krachtig in zijn opmerkingen.

Mijn regering zal van cyberbeveiliging een topprioriteit maken op elk overheidsniveau - en we zullen van het aanpakken van deze inbreuk een topprioriteit maken vanaf het moment dat we aantreden, Biden zei in een verklaring . We moeten onze tegenstanders in de eerste plaats verstoren en afschrikken om significante cyberaanvallen uit te voeren. Dat doen we onder meer door substantiële kosten op te leggen aan degenen die verantwoordelijk zijn voor dergelijke kwaadaardige aanvallen, ook in afstemming met onze bondgenoten en partners. Onze tegenstanders moeten weten dat ik als president niet werkeloos toekijk bij cyberaanvallen op ons land.

Open source wordt mogelijk gemaakt door Omidyar Network. Alle open source content is redactioneel onafhankelijk en geproduceerd door onze journalisten.