Ważna agencja ONZ zignorowała cyberatak
Międzynarodowa Organizacja Lotnictwa Cywilnego (ICAO), agencja ONZ z siedzibą w Montrealu, padła w 2016 roku ofiarą ataku hakerów, ale jej pracownicy utrudniali śledztwo specjalistów. Sprawę ujawnił kanadyjski publiczny nadawca CBC.
Według dokumentów, do których dotarła stacja CBC, hakerzy instalowali szpiegujące oprogramowanie na zainfekowanych serwerach ICAO. 22 listopada 2016 roku serwery organizacji zostały zaatakowane przez hakerów mających najprawdopodobniej związki z Emissary Panda, grupą mającą związki z chińskim rządem. Inne nazwy przypisywane tej grupie to APT Lucky Mouse, APT27 i Bronze Union. Był to największy w historii atak na systemy ICAO.
Hakerzy w ciągu 30 minut poznali informacje umożliwiające im włamanie się na serwery tureckiej Dyrekcji Generalnej Lotnictwa Cywilnego.
Atak odkrył analityk zajmujący się cyberbezpieczeństwem w Lockheed Martin, który zauważył, że hakerzy przejęli kontrolę nad dwoma serwerami ICAO. Ekspert zaalarmował ICAO, że hakerzy zainstalowali na tych serwerach szkodliwe oprogramowanie, które inni uprawnieni do korzystania - rządy i organizacje lotnictwa cywilnego - mogli nieświadomie instalować, logując się np. na swoje konta.
Jak poinformowali reporterzy CBC, hakerzy posłużyli się metodą „watering hole” (wodopój), nazywaną tak od sposobu używanego przez drapieżne zwierzęta, które czają się na ofiary w pobliżu wodopojów. Hakerzy szukają możliwości włamania się na serwer odwiedzany przez ich potencjalne cele, instalują tam malware (ang. malicious software - szkodliwe oprogramowanie zawierające wirusy), który jest pobierany przez logujących się na serwer.
Osoba odpowiedzialna za bezpieczeństwo informatyczne ICAO zdecydowała odłączyć zainfekowane serwery i skontaktowała się z zewnętrzną firmą z Nowego Jorku afiliowaną przy ONZ. Jednak przez następne dwa tygodnie pracownicy ICAO nie odpowiadali na pytania nowojorskich analityków lub przekazywali im bezużyteczne dane. Dopiero po tym czasie zespół ICAO zgodził się na współpracę ze wskazaną firmą.
Specjaliści odkryli, że ICAO ma luki w zabezpieczeniach, o których osoby odpowiedzialne za bezpieczeństwo IT powinny były wiedzieć od lat. Hakerzy uzyskali dostęp do haseł ponad 2 tys. użytkowników, mogli czytać, wysyłać maile i je usuwać. Mieli dostęp do danych osobowych pracowników obecnych i byłych, danych wszystkich osób, które zarejestrowały się na stronie ICAO lub odwiedzały budynek. Lista potencjalnie zagrożonych „w tajemniczy sposób zniknęła” - twierdzi CBC.
Kiedy zewnętrzni specjaliści odszyfrowali informacje zawarte na jednym z serwerów, okazało się, iż atak był przeprowadzony z użyciem konta jednego z pracowników ekipy ICAO, co mogło oznaczać, że albo ktoś przejął kontrolę nad tym kontem lub ta osoba ułatwiła hakerom włamanie. I to właśnie ta osoba nadzorowała pracę nowojorskich specjalistów, zaprzeczyła ich ustaleniom i stwierdziła, że na serwerach nie było zainstalowane żadne złośliwe oprogramowanie.
Według źródeł CBC sekretarz generalna ICAO Fang Liu odrzuciła zalecenia, by przeprowadzić wewnętrzne dochodzenie w sprawie zaniedbań, których dopuścili się czterej pracownicy zespołu odpowiedzialnego za sprawy technologiczne oraz ich szef James Wan. Wan napisał do Fang, że atak „był nieistotny”. Natomiast przełożony Wana złożył oficjalną skargę na jego ekipę. Następnego dnia czterech pracowników wyprowadzono z budynku, ale nie zwolniono ich z pracy. Zarówno Fang jak i Wan urodzili się i studiowali w Chinach.
Na początku 2017 roku do analizy wydarzeń i zabezpieczeń została zatrudniona inna zewnętrzna firma, SecureWorks. Jej pracownicy skarżyli się na brak współpracy ze strony Wana, ale ustalili, że problem trwał przynajmniej od trzech lat, a złośliwe oprogramowanie zostało wykryte przez program antywirusowy używany w ICAO, ale nigdy nie zostało usunięte.
CBC kontaktowała się z szefem biura komunikacji ICAO, jednak Anthony Philbin zbagatelizował problem, zapewniając, że na serwerach ICAO nie są przechowywane żadne informacje finansowe czy prywatne, a następnie zarzucił dziennikarzom „przesadę” i „błędną interpretację”.
Portal Welivesecurity.com podawał, że grupa LuckyMouse specjalizuje się w wyszukiwaniu serwerów podatnych na ataki. Jak pisali dziennikarze portalu Secureworld należy spodziewać się, że sprawa cyberataku na ICAO będzie jednym z tematów omawianych podczas konferencji SecureWorld w Toronto w kwietniu, poświęconej cyberbezpieczeństwu.
PAP/ as/