Rosjanie z SVR chcieli wsadzić swój kod do tysięcy programów komputerowych

CERT Polska, polska Służba Kontrwywiadu Wojskowego (SKW), Federalne Biuro Śledcze (FBI), Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), Narodowa Agencja Bezpieczeństwa (NSA), a także Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) wykryły, że Rosyjska Służba Wywiadu Zagranicznego (SVR) od września prowadzi działania mające na celu wprowadzenie niebezpiecznych zmian w oprogramowaniu, które następnie trafia do tysięcy podmiotów na całym świecie.

Rosyjskie służby wykorzystują lukę CVE-2023-42793 do szeroko zakrojonych działań, skierowanych przeciwko serwerom JetBrains TeamCity, używanym do zarządzania i automatyzacji m.in. procesu testowania i wydawania oprogramowania.

Dostęp do serwera TeamCity może otworzyć furtkę do kodów źródłowych, certyfikatów kryptograficznych oraz może być wykorzystany do wpłynięcia na wytwarzanie oprogramowania – co z kolei może pozwolić na manipulowanie łańcuchem dostaw oprogramowania.

Rosyjska Służba Wywiadu Zagranicznego w 2020 roku przeprowadziła podobne działania w głośnej sprawie SolarWinds.

Kompromitacja łańcucha dostaw oprogramowania jest jednym z najtrudniejszych do wykrycia oraz przeciwdziałania zagrożeń, choć wymaga zaangażowania znacznych zasobów po stronie wrogiej służby - nawet nie dni, ale tygodni gromadzenia cennego dostępu, prac wdrożeniowych czy planowania.

Zaufane, popularne, powszechnie używane oprogramowanie może otrzymać aktualizację która, w najprostszym scenariuszu, uruchomi u ofiar narzędzia obcej służby dające dostęp do urządzenia czy całego systemu. W bardziej skomplikowanym scenariuszu, dostęp do środowiska kompilacji może zostać wykorzystany do wprowadzenia niezauważalnych zmian do kodu źródłowego (jak na przykład wprowadzenie niezauważalnych z zewnątrz modyfikacji do kryptografii). Jednocześnie tego typu działania, jak pokazuje historia, mogą łatwo wymknąć się spod kontroli i spowodować ogromne szkody dla podmiotów cywilnych, gospodarki czy też bezpieczeństwa publicznego.

Agencje stojące za publikacją raportu rekomendują, aby wszystkie podmioty wykorzystujące oprogramowanie JetBrains TeamCity, które nie wdrożyły na czas aktualizacji lub innych mechanizmów zapobiegających wrogiemu wykorzystaniu założyły, że SVR mogła uzyskać dostęp do ich systemów informatycznych, oraz rozpoczęły proaktywny proces wykrywania zagrożenia w oparciu o opublikowane wskazówki.