Hekeri pracujúci pre ruskú rozviedku "globálne" využívajú slabé miesto v softvéri českej firmy JetBrains na útoky na servery, uvádzajú v spoločnom vyhlásení americké úrady. Podľa oznámenia Národnej agentúry pre bezpečnosť (NSA), Federálneho úradu pre vyšetrovanie (FBI) a amerického úradu pre kybernetickú bezpečnosť CISA trvajú tieto snahy od septembra.
Útočili aj na americký softvér
Rusi podľa Američanov využívajú získaný prístup ku krokom, ktorými by si zaistili trvalý prístup do narušených systémov. Firma vo vyjadrení poskytnutom ČTK uviedla, že o zásahoch bola informovaná na začiatku tohto roka, a dodala, že všetko opravila v aktualizácii programu vydanej 18. septembra.
Americké úrady vo svojom vyhlásení pripomínajú skoršiu ruskú operáciu zameranú na softvér americkej spoločnosti SolarWinds, ktorá podľa nich niesla podobné rysy.
Hekeri vtedy do hojne využívaného programu implantovali vlastný škodlivý kód, ktorý si následne nič netušiaci zákazníci nainštalovali do svojich systémov v rámci pravidelných aktualizácií. Medzi mnohými obeťami boli v roku 2021 aj zložky americkej vlády.
Nové americké varovanie sa týka programu s názvom TeamCity, ktorý pri svojej práci používajú vývojári softvéru. "Prístup k serveru TeamCity by škodlivým aktérom poskytol prístup k zdrojovému kódu daného vývojára... čo by škodlivý aktér mohol následne využívať na operácie v dodávateľskom reťazci," píše sa v úvode správy.
"Od vydania záplaty našich zákazníkov kontaktujeme priamo alebo ich prostredníctvom verejných príspevkov motivujeme k aktualizácii softvéru. Vydali sme aj špeciálnu opravu zabezpečenia pre organizácie používajúce staršie verzie TeamCity, ktoré nemohli upgradovať včas. Okrem toho so zákazníkmi zdieľame najlepšie bezpečnostné postupy," povedal ČTK vedúci bezpečnosti. JetBrains Yaroslav Russkih.
Ruskí hekeri si vytvorili zadné vrátka
Podľa štatistík, ktoré má JetBrains k dispozícii, v súčasnosti prevádzkujú neopravený softvér menej ako dve percentá používateľov. Firma dodala, že chyba zabezpečenia sa týka iba miestnych prípadov, zatiaľ čo cloudová verzia ovplyvnená nebola.
Zasiahnutým organizáciám, ktoré spomínanú aktualizáciu okamžite nepoužili a neprijali ani iné opatrenia, odporúčajú americkí vyšetrovatelia, aby počítali s narušením systémov a začali "pátranie po hrozbách".
NSA, FBI a CISA na hodnotení problému spolupracovali s poľskou vojenskou rozviedkou a britským Národným strediskom kybernetickej bezpečnosti (NCSC).
Agentúry zatiaľ identifikovali "obmedzený počet" obetí a súdia, že ruskí hekeri sú stále v "prípravnej fáze svojej operácie". Po narušení systémov podľa nich posilňovali svoje oprávnenia, vytvárali "zadné vrátka" a vykonávali ďalšie kroky na vytvorenie dlhodobého prístupu do daných sietí.
Program TeamCity vývojárom slúži na kontrolu toho, či ich zásahy do zdrojového kódu nebudú vyvolávať problémy v skôr vytvorenom softvéri.
Podľa amerických úradov a ich partnerov v Poľsku a Británii cez neho môžu hackeri preniknúť do sietí desiatok vývojárskych spoločností a následne pripraviť "ťažko odhaliteľné" nástroje.
TeamCity bol v médiách skloňovaný už v roku 2021 v súvislosti s narušením systémov SolarWinds. Hekeri pri ňom mohli podľa niektorých zdrojov využiť práve softvér od JetBrains, spoločnosť však akékoľvek napojenie na rozsiahle útoky odmietla a nové americké vyhlásenie jej úlohu v tomto incidente nepripisuje.
JetBrains v roku 2000 založili v Prahe traja ruskí programátori, za nasledujúcich dvadsať rokov potom firma získala viac ako 1000 zamestnancov. Jej softvér v minulosti využívali aj spoločnosti Google, Hewlett Packard, Samsung, Volkswagen alebo aj americká vesmírna agentúra NASA.