FBI i polski kontrwywiad wykryły rosyjską operację. Mogła wpłynąć na łańcuchy dostaw
Udostępnijdodaj Skomentuj

FBI i polski kontrwywiad wykryły rosyjską operację. Mogła wpłynąć na łańcuchy dostaw

Dodano: 
Klawiatura w nocy, zdjęcie ilustracyjne
Klawiatura w nocy, zdjęcie ilustracyjne Źródło: Shutterstock / Lazy_Bear
Polskie SKW i CERT razem z Amerykanami i Brytyjczykami oraz firmą Microsoft wykryły i unieszkodliwiły operację prowadzoną przez Rosjan w cyberprzestrzeni.

Rosyjska Służba Wywiadu Zagranicznego (SVR) wykorzystuje podatność CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity- poinformowano na rządowym portalu.

Takie działania wykryły wspólnie Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (UK NCSC), Polska Służba Kontrwywiadu Wojskowego (SKW) oraz CERT Polska. Okazało się, że rosyjski wywiad (SVR) wykorzystuje podatność CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom oprogramowania JetBrains TeamCity. Rosjanie atakowali w ten sposób różne instytucje od końca września 2023 r.

Ataki rosyjskiego wywiadu w cyberprzestrzeni

Oprogramowanie JetBrains TeamCity jest używane do zarządzania i automatyzacji procesu kompilacji, budowania, testowania i wydawania oprogramowania.

Dostęp do serwera TeamCity może umożliwić dostęp do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania.

„Choć SVR w 2020 roku przeprowadziła podobne działania przeciwko firmie SolarWinds i jej klientom, agencje stojące za publikacją nie zaobserwowały dotychczas prób wykorzystania dostępu zdobytego poprzez CVE TeamCity w podobny sposób. Zaobserwowano natomiast eskalację uprawnień, poszerzanie dostępu wewnątrz sieci, umieszczanie w systemach informatycznych dodatkowych narzędzi oraz inne działania mające na celu zagwarantowanie długotrwałego, trudnego do wykrycia dostępu do skompromitowanych systemów” – czytamy w komunikacie.

SKW i CERT.PL podziękowały podmiotom prywatnym, w szczególności firmie Microsoft – po poinformowaniu o wykrytych działaniach wyłączyła wszystkie zidentyfikowane konta usług wykorzystywane przez SVR jako kanały komunikacji i zarządzania.

Czytaj też:
Szokujące wyniki dziennikarskiego śledztwa. Rosjanie od lat otrzymują nagrania z ukraińskich kamer?Czytaj też:
Kolejny udany sabotaż. Służba Bezpieczeństwa Ukrainy wysadziła pociąg

Źródło: WPROST.pl, Niebezpiecznik