FBI skelbia apie didelį kibernetinį incidentą: įtariami Kinijos įsilaužėliai galėjo pasiekti slaptus stebėjimo duomenis
JAV federalinis tyrimų biuras (FBI) neseniai Kinija siejamą įsilaužimą į jautrią agentūros stebėjimo sistemą pripažino dideliu kibernetiniu incidentu. Toks statusas reiškia, kad įvykis kelia apčiuopiamą riziką JAV nacionaliniam saugumui, o apie jį privaloma informuoti Kongresą per nustatytą terminą.
Sprendimas rodo, kad įsilaužėliams galėjo pavykti pasiekti ar perimti reikšmingą kiekį jautrių duomenų, laikomų pačiose FBI sistemose. Pagal federalinį informacijos saugos reguliavimą, dideliu incidentu laikomas toks pažeidimas, kuris gali pakenkti nacionaliniam saugumui, užsienio politikai, visuomenės pasitikėjimui ar pilietinėms laisvėms.
Kas buvo paveikta?
Apie įtartiną veiklą vidinėje sistemoje FBI Kongresui pranešė kovo pradžioje, nurodydama, kad joje buvo teisėsaugai jautrios informacijos. Viešai tuo metu nebuvo įvardyta, kas galėjo būti atakos vykdytojas, tačiau, su tyrimu susipažinusių pareigūnų teigimu, įtariamas Kinijos pėdsakas.
Kongresui pateiktame pranešime teigiama, kad įsilaužimas galėjo būti įvykdytas pasinaudojus komercinio interneto paslaugų tiekėjo tiekimo grandinės infrastruktūra. Toks kelias, anot FBI, atspindi pažangias atakuotojų taktikas ir didina riziką, kad pažeidimai gali paveikti ne tik vieną organizaciją, bet ir susijusius tiekėjus.
Paveiktoje sistemoje, kaip nurodyta pranešime, buvo duomenų iš teisinio proceso, įskaitant vadinamųjų pen register bei trap and trace priemonių grąžą, taip pat asmens duomenų apie asmenis, susijusius su FBI tyrimais. Šios priemonės paprastai nefiksuoja pokalbių turinio, tačiau renka metaduomenis, pavyzdžiui, ryšio faktą, kryptį ar techninę informaciją.
Tokie duomenys ypač vertingi užsienio žvalgybos tarnyboms ir organizuotoms grupuotėms, nes gali atskleisti, kas yra teisėsaugos dėmesio centre, kokios bylos vykdomos ir kokie ryšiai tiriami. Net ir be turinio, metaduomenys gali padėti atkurti kontaktų tinklus, nustatyti prioritetinius taikinius ar kompromituoti operacijas.
Kodėl didelio incidento statusas svarbus?
Buvusi FBI kibernetinio padalinio vadovybės atstovė Cynthia Kaiser teigė nežinanti, kad FBI savo sistemų atžvilgiu būtų skelbusi tokį vertinimą bent nuo 2020 metų. Tai pabrėžia ne tik incidento rimtumą, bet ir tai, kad vidinių sistemų pažeidimai JAV institucijose dažnai vertinami itin konservatyviai.
„Pagal FISMA slenksčiai yra gana aukšti, o tik kelios agentūros kasmet paskelbia didelį kibernetinį incidentą“, – sakė Cynthia Kaiser.
FBI atstovas viešai plačiau incidento nekomentavo, pakartodamas ankstesnę poziciją, kad agentūra nustatė ir suvaldė įtartiną veiklą tinkluose, pasitelkdama visas technines priemones. Vis dėlto neatskleidžiama, kas konkrečiai lėmė sprendimą priskirti įvykį didelio incidento kategorijai, taip pat ar pažeidimas jau galutinai suvaldytas.
Pagal JAV praktiką, didelio incidento paskelbimas taip pat turėtų įjungti tarpinstitucinį reagavimo mechanizmą, kuriame dalyvauja kelios nacionalinio saugumo ir kibernetinės gynybos grandys. Žinoma, kad Baltieji rūmai kovo pradžioje buvo sušaukę susitikimą, kuriame dalyvavo ir FBI, NSA bei CISA atstovai, tačiau viešai nepatvirtinama, kokios konkrečios priemonės pritaikytos.
Kontekstas: Kinija ir atakos per tiekėjus
Incidentas vertinamas platesniame kontekste, kuriame Kinija siejamos grupės pastaraisiais metais vis dažniau taikosi į JAV nacionalinio saugumo ir kritinės infrastruktūros sistemas. JAV pareigūnai ne kartą pabrėžė, kad tokios operacijos dažnai remiasi ilgalaikiu nepastebimu buvimu tinkluose, tiekimo grandinės rizikomis ir pažeidžiamumų išnaudojimu.
Kinijos įsilaužėliai anksčiau buvo siejami su bandymais pasinaudoti komercinių ryšių ir IT paslaugų tiekėjais kaip tramplynu į valstybines sistemas. Tokia schema leidžia išnaudoti tiekėjų prieigas, techninio aptarnavimo kanalus ar bendras infrastruktūras, kurios įprastai turi aukštą pasitikėjimo lygį organizacijose.
Senato žvalgybos komiteto vicepirmininkas Markas Warneris viešai pareiškė, kad šis atvejis yra dar vienas priminimas apie augantį pažangių kibernetinių priešininkų aktyvumą. Tuo pat metu pareigūnai pripažįsta ir reputacinę žalą, kai įsilaužimas paliečia pačią instituciją, atsakingą už tokių grėsmių tyrimą.
Kol kas neatsakytas esminis klausimas, kiek duomenų galėjo būti pasiekta ar išvesta ir ar buvo pažeistos operatyvinės veiklos detalės. Atsakymai į juos lems ir politines diskusijas Kongrese, ir praktinius sprendimus dėl tiekėjų kontrolės, tinklų segmentavimo bei jautrių duomenų apsaugos griežtinimo.
