Baza wiedzy

Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystuje podatność CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity. Działania SVR trwają od przynajmniej końca września 2023 roku.

Oprogramowanie JetBrains TeamCity jest używane do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania. Dostęp do serwera TeamCity może umożliwić dostęp do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania. Choć SVR w 2020 roku przeprowadziła podobne działania przeciwko firmie SolarWinds i jej klientom, agencje stojące za publikacją nie zaobserwowały dotychczas prób wykorzystania dostępu zdobytego poprzez CVE TeamCity w podobny sposób. Zaobserwowano natomiast eskalację uprawnień, poszerzanie dostępu wewnątrz sieci, umieszczanie w systemach informatycznych dodatkowych narzędzi oraz inne działania mające na celu zagwarantowanie długotrwałego, trudnego do wykrycia dostępu do skompromitowanych systemów.

Kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń, choć wymaga zaangażowania znacznych zasobów po stronie wrogiej służby - nawet nie dni, ale tygodni gromadzenia cennego dostępu, prac R&D czy planowania. Zaufane, popularne, powszechnie używane oprogramowanie może otrzymać aktualizację która, w najprostszym scenariuszu, uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia czy całego systemu. W bardziej skomplikowanym scenariuszu, dostęp do systemów kompilacji może zostać wykorzystany do wprowadzenia niezauważalnych modyfikacji do kodu źródłowego (jak na przykład wprowadzenie niezauważalnych z zewnątrz modyfikacji do kryptografii pozwalających na odczytanie ruchu sieciowego). Jednocześnie tego typu działania, jak pokazuje historia, mogą łatwo wymknąć się spod kontroli i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki czy też bezpieczeństwa publicznego.

SKW, działając wspólnie z CERT.PL oraz partnerskimi służbami specjalnymi Wielkiej Brytanii i Stanów Zjednoczonych współpracując z licznymi podmiotami prywatnymi przeciwdziałały rosyjskiej próbie uzyskania dostępu do oraz potencjalnie kompromitacji łańcucha dostaw wytwarzania oprogramowania dziesiątek podmiotów. Wspólne działania pozwoliły na identyfikację kampanii, ofiar i technik wykorzystywanych przez SVR w trakcie działań, na skuteczne zablokowanie infrastruktury wykorzystywanej do prowadzenia operacji oraz na unieszkodliwienie narzędzi wykorzystywanych przez SVR. Nie są to pierwsze ani ostatnie działania sojuszniczych służb, mające na celu ochronę bezpieczeństwa pańswta, publicznego oraz prywatnego przed nierozsądnymi, nieproporcjonalnymi działaniami Rosji.

Aby zwrócić publiczną uwagę na szkodliwe i niebezpieczne działania Federacji Rosyjskiej, w dniu dzisiejszym Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) przekazują informacje dotyczące najnowszych działań SVR, aby umożliwić i pomóc organizacjom w wykrywaniu zagrożeń oraz zabezpieczeniu własnych sieci, aby dostarczyć skompromitowanym podmiotom użytecznych wskaźników kompromitacji, a także umożliwić podmiotom z sektora cyberbezpieczeństwa ulepszenie detekcji i skuteczniejsze przeciwdziałanie aktywności SVR.

Agencje stojące za publikacją rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji, założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o zawarte w tym raporcie IoC. W przypadku podejrzenia kompromitacji systemu informatycznego, administratorzy systemów powinni rozpocząć proces reagowania na incydent oraz zgłosić ten fakt do właściwego zespołu CSIRT szczebla krajowego.

SKW oraz CERT.PL pragną wyrazić podziękowania za współpracę podmiotom prywatnym, które udzieliły wymiernego wsparcia i podjęły skoordynowane z sektorem publicznym działania. Partnerstwo publiczno-prywatne jest jednym z najważniejszych oraz najskuteczniejszych mechanizmów przeciwdziałania zagrożeniom w cyberprzestrzeni. W szczególności SKW i CERT.PL pragną podziękować zespołowi bezpieczeństwa firmy Microsoft – po poinformowaniu, Microsoft wyłączył wszystkie zidentyfikowane konta usług wykorzystywane przez SVR jako kanały komunikacji i zarządzania. 
Szczegółowe opracowanie techniczne przygotowane przez Federalne Biuro Śledcze (FBI), Amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodową Agencję Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polską Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) można znaleźć pod adresem: https://www.gov.pl/attachment/f111510e-f9b6-40e7-b3f0-7cae28c8ff38.

Do ustawowych zadań SKW należy uzyskiwanie, gromadzenie, analizowanie, przetwarzanie informacji mogących mieć znaczenie dla bezpieczeństwa państwa oraz SZ RP, a także podejmowanie działań w celu eliminowania ustalonych zagrożeń. Obejmuje to również zagrożenia w cyberprzestrzeni, szczególnie ze strony służb obcych państw - rywalizacja w cyberprzestrzeni pomiędzy służbami wywiadowczymi oraz tymi o zadaniach kontrwywiadowczych trwa nieustannie. W momencie kiedy zespół bezpieczeństwa wykryje zagrożenie w systemach informatycznych, najczęściej jest już za późno aby skutecznie przeciwdziałać - można co najwyżej ograniczać skutki. SKW, jako służba specjalna, podejmuje szereg działań mających na celu wykrywanie aktywności i zagrożeń w cyberprzestrzeni jeszcze zanim dojdzie do kompromitacji wojskowych i krajowych systemów. Pozwala na to podjęcie efektywnych działań ukierunkowanych na przygotowanie odpowiednich zabezpieczeń, lub też neutralizację bądź zakłócenie działań przeciwnika. Dzięki temu wrogie służby tracą cenne zasoby - czas, środki finansowe, godziny pracy, wypracowane narzędzia bądź techniki bez uzyskania z nich satysfakcjonującego zwrotu, ogranicza to ich możliwości działania jeszcze zanim zostaną użyte.
CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty. Dzięki prężnej działalności od 1996 roku w środowisku zespołów reagujących, stał się rozpoznawalnym i doświadczonym podmiotem w dziedzinie bezpieczeństwa komputerowego. Od początku istnienia rdzeniem działalności jest obsługa incydentów bezpieczeństwa i współpraca z podobnymi jednostkami na całym świecie, zarówno w działalności operacyjnej, jak i badawczo-wdrożeniowej. Zespół CERT Polska działa w strukturach NASK – Państwowego Instytutu Badawczego i od wejścia w życie ustawy z dn. 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa zespół realizuje część zadań CSIRT NASK. Jako CSIRT NASK, zgodnie z art. 26 przywołanej ustawy, odpowiada m.in. za monitorowanie i reagowanie na zagrożenia i incydenty na poziomie krajowym, prowadzenie analiz złośliwego oprogramowania, rozwijanie narzędzi i metod wykrywania i zwalczania zagrożeń oraz prowadzenie działań z zakresu budowania świadomości w obszarze cyberbezpieczeństwa.