Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystuje podatność CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity.
Działania SVR trwają co najmniej od końca września 2023 roku. Oprogramowanie JetBrains TeamCity jest używane do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania. Dostęp do serwera TeamCity może umożliwić dostęp do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania - co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania. Choć SVR w 2020 roku przeprowadziła podobne działania przeciwko firmie SolarWinds i jej klientom, agencje stojące za publikacją nie zaobserwowały dotychczas prób wykorzystania dostępu zdobytego poprzez CVE TeamCity w podobny sposób. Zaobserwowano natomiast eskalację uprawnień, poszerzanie dostępu wewnątrz sieci, umieszczanie w systemach informatycznych dodatkowych narzędzi oraz inne działania mające na celu zagwarantowanie długotrwałego, trudnego do wykrycia dostępu do skompromitowanych systemów.
Kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń, choć wymaga zaangażowania znacznych zasobów po stronie wrogiej służby - nawet nie dni, ale tygodni gromadzenia cennego dostępu, prac R&D czy planowania. Zaufane, popularne, powszechnie używane oprogramowanie może otrzymać aktualizację która, w najprostszym scenariuszu, uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia czy całego systemu. W bardziej skomplikowanym scenariuszu, dostęp do systemów kompilacji może zostać wykorzystany do wprowadzenia niezauważalnych modyfikacji do kodu źródłowego (jak na przykład wprowadzenie niezauważalnych z zewnątrz modyfikacji do kryptografii pozwalających na odczytanie ruchu sieciowego). Jednocześnie tego typu działania, jak pokazuje historia, mogą łatwo wymknąć się spod kontroli i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki czy też bezpieczeństwa publicznego.
SKW, działając wspólnie z CERT.PL oraz partnerskimi służbami specjalnymi Wielkiej Brytanii i Stanów Zjednoczonych współpracując z licznymi podmiotami prywatnymi przeciwdziałały rosyjskiej próbie uzyskania dostępu do oraz potencjalnie kompromitacji łańcucha dostaw wytwarzania oprogramowania dziesiątek podmiotów. Wspólne działania pozwoliły na identyfikację kampanii, ofiar i technik wykorzystywanych przez SVR w trakcie działań, na skuteczne zablokowanie infrastruktury wykorzystywanej do prowadzenia operacji oraz na unieszkodliwienie narzędzi wykorzystywanych przez SVR. Nie są to pierwsze ani ostatnie działania sojuszniczych służb, mające na celu ochronę bezpieczeństwa pańswta, publicznego oraz prywatnego przed nierozsądnymi, nieproporcjonalnymi działaniami Rosji.
Aby zwrócić publiczną uwagę na szkodliwe i niebezpieczne działania Federacji Rosyjskiej, w dniu dzisiejszym Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) przekazują informacje dotyczące najnowszych działań SVR, aby umożliwić i pomóc organizacjom w wykrywaniu zagrożeń oraz zabezpieczeniu własnych sieci, aby dostarczyć skompromitowanym podmiotom użytecznych wskaźników kompromitacji, a także umożliwić podmiotom z sektora cyberbezpieczeństwa ulepszenie detekcji i skuteczniejsze przeciwdziałanie aktywności SVR.
Agencje stojące za publikacją rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających eksploitacji, założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o zawarte w tym raporcie IoC. W przypadku podejrzenia kompromitacji systemu informatycznego, administratorzy systemów powinni rozpocząć proces reagowania na incydent oraz zgłosić ten fakt do właściwego zespołu CSIRT szczebla krajowego.
SKW oraz CERT.PL pragną wyrazić podziękowania za współpracę podmiotom prywatnym, które udzieliły wymiernego wsparcia i podjęły skoordynowane z sektorem publicznym działania. Partnerstwo publiczno-prywatne jest jednym z najważniejszych oraz najskuteczniejszych mechanizmów przeciwdziałania zagrożeniom w cyberprzestrzeni. W szczególności SKW i CERT.PL pragną podziękować zespołowi bezpieczeństwa firmy Microsoft – po poinformowaniu, Microsoft wyłączył wszystkie zidentyfikowane konta usług wykorzystywane przez SVR jako kanały komunikacji i zarządzania.
Szczegółowe opracowanie techniczne przygotowane przez Federalne Biuro Śledcze (FBI), Amerykańską Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodową Agencję Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polską Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska (CERT.PL) można znaleźć pod adresem: https://www.gov.pl/attachment/f111510e-f9b6-40e7-b3f0-7cae28c8ff38