Neseniai publikuotoje Australijos kibernetinio saugumo centro (ACSC) 2017 m. Grėsmių ataskaitoje nurodoma, kad nedidelė Australijos gynybos pramonėje dirbanti įmonė, „verslo ryšiais susijusi su nacionalinio saugumo projektais“, tapo kibernetinio šnipinėjimo auka – tai buvo išsiaiškinta praėjusių metų lapkritį, rašo „Arsa Technica“.
„ACSC analizė patvirtino, kad priešininkas turėjo ilgalaikę prieigą prie tinklo ir pavogė reikšmingą kiekį duomenų“, – skelbiama kibernetinio saugumo centro analizėje. Daugiau informacijos apie įsilaužimą buvo pateikta praėjusią savaitę Sidnėjuje vykusioje kibernetinio saugumo konferencijoje.
Australijos signalų direktorato (lietuviškos Ryšių reguliavimo tarnybos analogo) Reagavimo į incidentus tarnybos vadovas Mitchelas Clarke'as sakė: „Pažeidimas buvo platus ir stiprus“. Direktorato viduje „APT Alf“ vadinami kibernetiniai priešininkai iš įmonės pavogė 30 GB duomenų, taip pat – duomenis, susijusius su Australijos dalyvavimu naikintuvo „F-35 Joint Strike Fighter“ programoje, patruliavimo lėktuvo „P-8 Poseidon“ programoje, planuojamus statyti Australijos karinius laivus, krovininį lėktuvą „C-130 Hercules“, „Joint Direct Attack Munition“ (JDAM) bombą. Į įmonės kompiuterius programišiai pirmą kartą pateko 2016 metų liepą.
JAV Gynybos departamento F-35 tarptautinės programos atstovas spaudai patvirtino, kad duomenų nutekėjimo būta, tačiau pabrėžė, kad jokie įslaptinti duomenys nenutekėjo.
Australijos signalų direktoratą apie įsilaužimą praėjusį lapkritį įspėjo „organizacija partnerė“, sakė M. Clarke'as. Kai nacionalinė ACSC reagavimo į kompiuterių krizes komanda ir direktorato IT specialistai atvyko į nukentėjusią įmonę, jos atstovai nepatikėjo, kad tai yra tikri, valstybei atstovaujantys pareigūnai, nes jie su savimi neturėjo jokių oficialių pažymėjimų. Tarp pavogtų duomenų buvo vieno iš Australijos laivyno planuojamų laivų elektros grandinių diagrama, pagal kurią galima nustatyti ir visą laivo vidaus išdėstymą, sakė M. Clarke'as. „Vaizdą galima buvo priartinti iki pat kapitono kėdės ir išsiaiškinti, kad ji yra per metrą nuo navigatoriaus kėdės“, – paaiškino M. Clarke'as.
Australijos gynybos pramonės ministras Christopheris Pyne'as sakė, kad joks pavogtos informacijos fragmentas nebuvo priskirtinas slaptai, tačiau pavogtieji duomenys yra „komerciškai jautrūs“, jų skleidimas ribojamas pagal Tarptautines prekybos ginklais taisykles. Be to, užpuolikai turėjo neapribotą prieigą prie įmonės darbuotojų elektroninio pašto.
Programišiai į įmonės tinklus įsilaužė per prie interneto prijungtą tarnybinę stotį, o vėliau, pasinaudodami administratorių prisijungimo duomenimis, judėjo įmonės tinklu ,kur galėjo įdiegti daug skirtingų „webshell“ programų, suteikiančių nuotolinę prieigą prie serverio administratoriaus teisėmis – taip jie bandė užsitikrinti prieigą ir nesinaudojant administratoriaus slaptažodžiais. Užpuolikai naudojosi „China Chopper“ „webshell“ programa, kuria anksčiau itin aktyviai naudojosi kinų programišiai. M. Clarke'o teigimu, išpuolį galėjo įvykdyti ir kibernetiniai nusikaltėliai, ir valstybėms dirbantys programišiai – kol kas Australijos pareigūnai negali niekam priskirti atsakomybės už kibernetinę vagystę ir pareiškė, kad papildomų duomenų apie šį incidentą platinti neketina.
M. Clarke'as akcentavo, kad programišiams į nukentėjusios įmonės serverį nebuvo labai sunku – joje dirbo tik vienas etatinis IT reikalais užsiimantis darbuotojas, kuris įmonėje iki incidento dirbo tik 9 mėnesius.
M. Clarke'as įmonės IT saugumą pavadino menku, nes programišiai įsilaužė pasinaudodami jau 12 mėnesių žinoma saugumo spraga. Bet, anot M. Clarke'o, programišiams taip labai vargintis net nereikėjo – incidento tyrimo metu išaiškėjo, kad internetu veikiančios įmonės paslaugos galėjo būti valdomos prisijungus pasinaudojus „gamykliniais“ duomenimis – admin::admin ir guest::guest.