Polski kontrwywiad wspólnie z CERT Polska oraz służbami z USA i Wielkiej Brytanii przerwali groźną aktywność rosyjskich służb, które próbowały wprowadzić zmiany w oprogramowaniu, jakie trafia do tysięcy podmiotów na całym świecie. Mogło to doprowadzić do uzyskania dostępu do urządzeń i systemów, a nawet do kompromitacji łańcucha dostaw wytwarzania software’u. Akcję, za którą – jak się okazało – stał rosyjski wywiad zagraniczny (SVR), w porę zablokowano. Współpraca CERT, SKW oraz FBI, CISA, NSA, NCSC pozwoliła na identyfikację kampanii, ofiar i wykorzystywanych technik. Unieszkodliwiono narzędzia używane przez SVR.

W działaniach uczestniczyły także podmioty prywatne, w tym Microsoft, który wyłączył wszystkie zidentyfikowane konta wykorzystywane przez SVR jako kanały komunikacji i zarządzania.

Co chciał zrobić rosyjski wywiad

Jak ustalono, rosyjskie służby wykorzystują podatność CVE-2023-42793 do działań przeciwko serwerom JetBrains TeamCity, używanym do zarządzania i automatyzacji, m.in. procesu testowania i wydawania oprogramowania. Dostęp do serwera TeamCity może otworzyć furtkę do kodów źródłowych, certyfikatów kryptograficznych i zostać wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei pozwoli na manipulowanie łańcuchem dostaw oprogramowania. SVR w 2020 roku przeprowadziła podobne działania w głośnej sprawie SolarWinds.

Zaufane oprogramowanie może stać się narzędziem szpiegów

W efekcie zaufane, powszechnie używane oprogramowanie może otrzymać aktualizację, która uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia lub całego systemu. W bardziej skomplikowanym scenariuszu grozi wprowadzenie niezauważalnych zmian do kodu źródłowego (np. modyfikacji do kryptografii). Jednocześnie tego typu działania mogą łatwo wymknąć się spod kontroli i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki i bezpieczeństwa publicznego.

Według specjalistów kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia i przeciwdziałania zagrożeń, choć wymaga od napastników zaangażowania znacznych zasobów – tygodni gromadzenia dostępu, prac wdrożeniowych, planowania.

Rekomendacje dla firm

Eksperci rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains TeamCity, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających wrogiemu wykorzystaniu założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych i rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o opublikowane wskazówki.

Szczegółowe opracowanie techniczne znajduje się tutaj. Analiza ma pomóc firmom z sektora cyberbezpieczeństwa skuteczniejsze przeciwdziałanie aktywności rosyjskich służb.