Zranitelnost, před níž podle serveru Recorded Future varovaly tajné služby řady západních zemí, se týká produktu TeamCity, který společnost JetBrains vyvinula pro testování vyvíjeného softwaru. Jde o příklad takzvaného „supply chain attack“, tedy útoku, který necílí přímo na oběť, ale na nějakého jejího partnera nebo dodavatele.
Podle oznámení Národní agentury pro bezpečnost (NSA), Federálního úřadu pro vyšetřování (FBI) a amerického úřadu pro kybernetickou bezpečnost CISA trvají snahy ruských hackerů od září. Rusové podle Američanů využívají získaný přístup ke krokům, kterými by si zajistili trvalý přístup do narušených systémů.
Opravená zranitelnost
Společnost JetBrains již zmíněnou zranitelnost opravila. „Od vydání záplaty naše zákazníky kontaktujeme přímo nebo je prostřednictvím veřejných příspěvků motivujeme k aktualizaci softwaru. Vydali jsme také speciální opravu zabezpečení pro organizace používající starší verze TeamCity, které nemohly upgradovat včas. Kromě toho se zákazníky sdílíme nejlepší bezpečnostní postupy,“ uvedl podle ČTK vedoucí bezpečnosti Yaroslav Russkih.
Podle statistik, které má JetBrains k dispozici, v současnosti provozují neopravený software méně než dvě procenta uživatelů. Firma dodala, že chyba zabezpečení se týká pouze lokálně provozovaného software, zatímco cloudová verze ovlivněna nebyla.
Zasaženým organizacím, které zmíněnou aktualizaci okamžitě nepoužily a nepřijaly ani jiná opatření, doporučují američtí vyšetřovatelé, aby počítaly s narušením systémů a zahájily „pátrání po hrozbách“.
NSA, FBI a CISA na hodnocení problému spolupracovaly s polskou vojenskou rozvědkou a britským Národním střediskem kybernetické bezpečnosti (NCSC). Agentury zatím identifikovaly „omezený počet“ obětí a soudí, že ruští hackeři jsou stále v „přípravné fázi své operace“. Po narušení systémů podle nich posilovali svá oprávnění, vytvářeli „zadní vrátka“ a prováděli další kroky pro vytvoření dlouhodobého přístupu do daných sítí.
Nejničivější IT útok v dějinách
Největším známým případem útoku typu „supply chain attack“ byl ničivý software NotPetya, který ruské tajné služby šířily z aktualizačního serveru ukrajinského developera účetního softwaru. Klienti této firmy – desítky tisíc firem na Ukrajině i ve světě – si s aktualizací stáhly škodlivý kód. Ten se následně rozlezl po IT sítích obchodních partnerů těchto primárně napadených firem a v určený čas přemazal všechna data, k nimž se dostal. Způsobené škody přesáhly deset miliard dolarů.
