Podejrzewa się, że nieujawniony podmiot zajmujący się zaawansowanym trwałym zagrożeniem (APT), prawdopodobnie wspierany przez chiński rząd, jest podejrzany o udział w poważnym naruszeniu danych w łańcuchu dostaw w Ministerstwie Obrony Wielkiej Brytanii (MON), ale Wielka Brytania odmówiła formalnego przypisania cyberataku, powołując się na obawy związane z bezpieczeństwem narodowym
Cyberatak, o którym po raz pierwszy szeroko poinformowano wieczorem w poniedziałek 6 maja, po przedwczesnym wycieku szczegółów zdarzenia, wymierzony był w pracowników MON, w tym członków sił zbrojnych i weteranów, poprzez atak na nienazwany jeszcze system płacowy dostawca.
Dane ujawnione w wyniku ataku obejmują szacunkowo 270 000 punktów danych, głównie nazwiska i dane bankowe, ale nie wpłynęły one na żadne inne systemy Ministerstwa Obrony ani na wypłatę wynagrodzeń.
„W ostatnich dniach Ministerstwo Obrony zidentyfikowało przesłanki wskazujące, że złośliwy podmiot uzyskał dostęp do części sieci płatniczej sił zbrojnych” – powiedział Izbie Gmin sekretarz obrony Grant Shapps w oświadczeniu wydanym 7 maja po południu.
„To system zewnętrzny całkowicie wydzielony z sieci MON i nie podłączony do głównego wojskowego systemu kadrowego…. Obsługiwany jest przez wykonawcę i istnieją dowody na jego potencjalne awarie, co mogło ułatwić złośliwego aktora, aby uzyskać dostęp. Trwa specjalistyczna kontrola bezpieczeństwa wykonawcy i jego działalności oraz zostaną podjęte odpowiednie kroki.
„Ze względu na bezpieczeństwo narodowe nie możemy ujawnić dalszych szczegółów dotyczących podejrzeń o aktywność cybernetyczną stojącą za tym incydentem. Mogę jednak potwierdzić Izbie, że mamy przesłanki wskazujące, że było to podejrzane działanie złośliwego aktora i nie możemy wykluczyć zaangażowania państwa” – powiedział.
Następnie Shapps nakreślił ośmiopunktowy plan działania, który jest już w przygotowaniu, obejmujący na wszelki wypadek wyłączenie systemów, których to dotyczy, w trybie offline, dochodzenie obejmujące zewnętrznych ekspertów w toku, a dotknięty personel powinien być odpowiednio informowany i wspierany poprzez swoją strukturę dowodzenia. Będzie to obejmować świadczenie usług ochrony danych osobowych.
Shapps podkreślił, że liczba dotkniętych osób jest niska i że nie ma dowodów sugerujących kradzież danych.
Związek z Chinami niejasny
Chociaż nie dokonano formalnego przypisania żadnego chińskiego APT, chiński rząd podjął już decyzję, aby ze złością odrzucić wszelkie oskarżenia, że za ostatnim incydentem stoją jego agencje wywiadowcze, które mają miejsce w następstwie innych naruszeń na dużą skalę wobec podmiotów i urzędników brytyjskiego rządu – jak Komisja Wyborcza – powiązany z Chinami, nad którymi wiele osób zostało ukaranychoba w Wielkiej Brytanii i USA.
W dzisiejszej rozmowie z Computer Weekly były szef NCSC Ciaran Martin powiedział, że chociaż atak na Ministerstwo Obrony nosił znamiona szpiegostwa państwa narodowego, możliwość zaangażowania państwa narodowego w cyberszpiegostwo nie była nieoczekiwana i reakcja rządu Wielkiej Brytanii czasami groziła jego trudno dostrzec drewno spomiędzy drzew.
„Siedzę w kraju, który po raz drugi w ciągu miesiąca bardzo się przejmuje chińskim szpiegostwem przeciwko rządowi, raz w parlamencie, a drugi teraz w obronie, co jest poważne, niepożądane i szkodliwe. Ale jednocześnie nie ma nigdzie poważnej propozycji, że szpiegowanie rządów, zwłaszcza ministerstw obrony i spraw zagranicznych, jest nie do przyjęcia. To szeroko zakrojona działalność” – stwierdził.
Martin wyjaśnił, że w ogólnym dyskursie publicznym dominuje narracja o trwającym chińskim cyberszpiegostwie przeciwko parlamentowi i rządowi, wskazał jednak, że szpiegostwo na długo poprzedza świat cyfrowy i należy się tego spodziewać, chociaż istnieją inne aspekty szkodliwa chińska aktywność cybernetyczna bardziej zasługuje na pilną uwagę.
„Absolutnie pomijamy fakt, że Stany Zjednoczone ostrzegały, że istnieje odpowiednik cyfrowych materiałów wybuchowych pod dość dużą infrastrukturą krytyczną to nie może zabić ludzi, ale może sparaliżować administrację lotnictwa, administrację opieki zdrowotnej i administrację wszelkiego rodzaju krytycznych usług” – powiedział Martin. „Dla mnie jest to o wiele, wiele ważniejsza rzecz, na której należy skoncentrować wysiłki krajowe”.
Niezależnie od pochodzenia incydent ten jest jednak wyraźnie poważnym naruszeniem łańcucha dostaw, co może wyciągnąć wnioski dla wszystkich organizacji.
„Cyberataki na zewnętrznych dostawców w dalszym ciągu uwypuklają zagrożenie, jakie dla brytyjskich organizacji stanowią luki w zabezpieczeniach łańcucha dostaw” – powiedział Philip Tansley, prawnik ds. bezpieczeństwa w firmie Osborne’a Clarke’a.
„Każda duża organizacja – w tym departamenty rządowe – zleci niektóre operacje zewnętrznym dostawcom. Nie jest to samo w sobie złe, ale w miarę jak proces outsourcingu staje się coraz bardziej złożony i cyfrowy, a dostawcy sami zlecają wykonywanie zadań na zewnątrz, monitorowanie ryzyka i zarządzanie nim stwarzane przez słabe ogniwo w łańcuchu dostaw staje się coraz trudniejsze.
„Właściwy nadzór i zrozumienie przez organizacje słabych punktów jest niezbędne, aby umożliwić im zarządzanie ryzykiem i odpowiednią alokację ryzyka oraz przestrzeganie obowiązków umownych i regulacyjnych” – stwierdził.