ONZ celowo ukryła ogromny atak hakerski, który mógł narazić wiele osób na niebezpieczeństwo
Wiadomości o cyberatakach skierowanych do organizacji o różnych kształtach i rozmiarach pojawiają się codziennie i często towarzyszy temu wiele krytyki ze strony ofiary. Zwykle problem polega na sposobie obsługi incydentu, ale zdarzają się również przypadki, gdy ofiary cyberataku są skazane za nieprzestrzeganie wystarczających środków ostrożności, aby zapobiec wystąpieniu naruszenia. Wczoraj Organizacja Narodów Zjednoczonych, organizacja odpowiedzialna między innymi za utrzymanie kruchego pokoju na naszej cennej planecie, przyznała, że była celem ataków hakerów. Można śmiało powiedzieć, że ludzie mogą go krytykować nie tylko za to, że nie udało się zapobiec naruszeniu, ale także za sposób, w jaki to zgłosił.
Table of Contents
ONZ doświadczyło „dobrze wyposażonego” cyberataku latem 2019 r
Zanim dojdziemy do błędów ONZ, musimy najpierw zobaczyć, co się stało. W końcu mówimy o ogromnej organizacji odpowiedzialnej za ogromną ilość danych. Niektóre z nich są tak wrażliwe, że wpadnięcie w niepowołane ręce może doprowadzić do utraty życia. Na szczęście, jeśli wierzyć ONZ, hakerzy nie uzyskali dostępu do najbardziej wrażliwych fragmentów informacji.
Według oficjalnego ogłoszenia atak uderzył w „podstawowe elementy infrastruktury” w biurach ONZ w Wiedniu i Genewie. Jednym z uzbrojenia ONZ w Genewie jest Biuro Wysokiego Komisarza ds. Praw Człowieka (OHCHR) i potwierdzono, że jego serwery były celem. Na szczęście atakującym udało się dostać do środowiska programistycznego, co jest równie dobre, ponieważ OHCHR prawdopodobnie obsługuje poufne dane, które mogą prowadzić do prześladowania aktywistów przez niektóre reżimy. Chociaż nie widzieli tych informacji, hakerzy zdołali złamać niektóre identyfikatory użytkowników Active Directory, chociaż ONZ szybko zauważyło, że żadne hasła nie zostały skradzione.
Urzędnicy ONZ woleli nie podawać zbyt wielu szczegółów na temat tego, co jeszcze zostało zagrożone. Wskazali jednak, że incydent był „poważny”, i sugerowali, że ONZ została zaatakowana przez wyrafinowaną grupę hakerów, którzy mają mnóstwo zasobów. Chociaż może się tak zdarzyć, sukcesu ataku nie można całkowicie przypisać umiejętnościom hakerów. Kluczową rolę odegrało również niedopuszczalne zarządzanie poprawkami ONZ.
Atak zakończył się powodzeniem z powodu opóźnionej aktualizacji
Wiele osób jest zaniepokojonych, ponieważ wczorajsze oświadczenie po raz kolejny dowodzi, że nawet duże organizacje o globalnym znaczeniu mogą zostać zhakowane z powodzeniem. Jednak naprawdę przerażające jest to, że organizacje te narażają się na cyberataki.
Aby zrozumieć, co się naprawdę wydarzyło, musimy cofnąć czas do lutego 2019 r., Kiedy to analitycy bezpieczeństwa odkryli lukę w zdalnym wykonywaniu kodu w Microsoft SharePoint, wspólnym systemie zarządzania dokumentami i plikami używanego przez setki tysięcy organizacji na całym świecie. Błąd może pozwolić hakerom na ominięcie uwierzytelnienia SharePoint i wykonanie kodu na serwerze docelowym. Potencjalne konsekwencje takiego ataku były ogromne, dlatego luka została sklasyfikowana jako krytyczna, nadano jej numer CVE (CVE-2019-0604) i natychmiast rozpoczęto pracę nad łatką. W marcu Microsoft wydał aktualizację dotyczącą CVE-2019-0604 dla większości wersji SharePoint, których dotyczy problem, a 25 kwietnia 2019 r. Wydał kolejną łatkę dla pozostałych podatnych na atak platform.
Polityka IT ONZ najwyraźniej nakazuje, że aktualizacje bezpieczeństwa muszą zostać zainstalowane w ciągu miesiąca od ich wydania, ale niestety zasady nie są ściśle przestrzegane. W lipcu 2019 r. Hakerzy wykorzystali CVE-2019-0604 na platformie SharePoint ONZ i uzyskali dostęp do serwerów organizacji.
Specjaliści od cyberbezpieczeństwa inwestują sporo czasu i wysiłku w przekonanie użytkowników i firm, że aktualizowanie aplikacji i systemów operacyjnych jest niezwykle ważne. Wszyscy zwykle zakładamy, że ekspertom IT pracującym dla organizacji o znaczeniu globalnym nie trzeba o tym przypominać, ale najwyraźniej tak nie jest.
Najwyższy czas, abyśmy wszyscy zrozumieli, że absolutnie nie ma usprawiedliwienia dla ignorowania aktualizacji bezpieczeństwa. Musimy także zobaczyć, jak ONZ poradziła sobie z tym incydentem i wyciągnąć wnioski z jego błędów.
ONZ celowo utrzymywała atak w tajemnicy
Trudno spekulować, czy ONZ miała zamiar ujawnić wczoraj naruszenie, ale faktem jest, że na kilka godzin przed urzędnikami organizacji stanęli przed kamerami agencja o nazwie The New Humanitarian (TNH) złamał wiadomość. Raport był wynikiem dość długiego dochodzenia, które rozpoczęło się w listopadzie 2019 r., Kiedy Ben Parker, starszy redaktor TNH, natknął się na wewnętrzny raport ONZ z końca sierpnia ubiegłego roku.
Okazało się, że wtedy zespół IT ONZ był w trakcie podłączania wszystkich dziur i badania tego, co się stało. W tym czasie eksperci komunikowali się między sobą i próbowali ocenić szkody. Anonimowy informatyk powiedział TNH, że cała sprawa była „poważnym krachem”, a dochodzenie Bena Parkera ujawnia, że podczas ataku doszło do naruszenia nie mniej niż 40 serwerów. Serwery prawdopodobnie były powiązane z zasobami ludzkimi i systemami ubezpieczeń zdrowotnych, co oznacza, że chociaż nie widzieli list obrońców praw człowieka, hakerom udało się uzyskać dostęp do danych osobowych personelu ONZ w Genewie i Wiedniu.
Dochodzenie TNH pokazuje również, że ONZ wezwała swoich pracowników do zmiany haseł, ale absolutnie nie zamierzała mówić im, że ich dane były celem cyberataku. Jedynymi osobami, które wiedziały o tym incydencie, byli specjaliści IT odpowiedzialni za sprzątanie bałaganu i ludzie z dalszej hierarchii.
Gdyby to była normalna organizacja, miałaby wiele kłopotów. Grzywna na mocy RODO w UE byłaby ogromna, a fakt, że pracownicy, których to dotyczy, nie zostało poinformowanych na czas, stanowiłby solidną podstawę do wniesienia pozwu. ONZ nie jest jednak normalną organizacją. Ma immunitet dyplomatyczny, co oznacza, że organy regulacyjne nie mają prawnych uprawnień do pociągnięcia go do odpowiedzialności, a opcje dla dotkniętych osób również nie są zbyt liczne.
Jedyne, co możemy zrobić w tym momencie, to mieć nadzieję, że inne organizacje, zarówno duże, jak i małe, nauczą się pewnych lekcji.
