Les impacts des attaques du Capitol sur la cybersécurité: ordinateurs portables volés, perte de données et possible espionnage
L'attaque du 6 janvier contre les procédures de certification du jour du scrutin contre le bâtiment du Capitole américain a eu de profondes conséquences sur la cybersécurité.
Lorsque les acteurs ennemis sont entrés dans le Capitole le 6 janvier, ils ont eu accès à des caméras et des bureaux séparés et ont séjourné dans l'enceinte du Capitole pendant plus de deux heures.
Nous avons des rapports d'articles volés. Un rapport est venu de l'actuel avocat américain Michael Sherwin qui a déclaré que "des biens, des appareils électroniques ont été volés dans les bureaux du Sénat, des documents et ... nous devons découvrir ce qui a été fait pour atténuer cela". Mon sénateur local, Jeff Merkley (D-Ore.), Rapporte qu'au moins un ordinateur portable a été volé.
Avec les ordinateurs portables volés, la perte de données et l'espionnage potentiel, il peut s'écouler des mois avant que l'impact de ces attaques sur la cybersécurité ne soit abordé. Voici un aperçu des problèmes de cybersécurité.
QUESTIONS DE SÉCURITÉ NATIONALE
Alors que les observations ont sans aucun doute suivi les centaines de personnes qui le font à l'intérieur du bâtiment, nous ne pouvons pas supposer que nous connaissons le mouvement exact d'une seconde à l'autre de chaque personne qui entre. Cela signifie que les mesures prises contre les appareils numériques du bâtiment sont complètement inconnues.
Des mots de passe, des documents, des codes d'accès et des informations confidentielles ou confidentielles peuvent avoir été volés. Nous devons également supposer que certains ordinateurs peuvent avoir été compromis et contenir des logiciels malveillants. Étant donné que les logiciels malveillants sont la clé de toute intrusion dans le système, nous devons supposer que les criminels ont obtenu un accès permanent, caché et permanent au système Capitol Building.
Très probablement, seul un petit nombre de machines a été infiltré. Compte tenu de la sensibilité des informations stockées dans les installations numériques du Capitole et du fait qu'il est impossible de déterminer rapidement quels appareils ont été compromis, le personnel informatique fédéral devrait supposer que TOUS les appareils numériques du Capitole ont été compromis.
La situation était en fait pire qu'elle ne l'avait été. Selon la chronologie de USA Today, la convention se tiendra le 6 janvier à 20 h. L'utilisation de l'ordinateur personnel peut commencer quelques minutes seulement après une nouvelle réunion du Congrès. De toute évidence, il n'y a aucun moyen de soulever et d'échanger des milliers de machines purement et simplement. En conséquence, les membres et leur personnel utiliseront désormais des appareils numériques qui pourraient avoir été compromis. Cela signifie que toutes les communications, fichiers et connexions réseau vers et depuis cet appareil peuvent également être affectés.
L'ACCÈS PHYSIQUE FAIT MONTER LES ENJEUX
Si les ordinateurs Capitol sont infiltrés par des hacks traditionnels par des logiciels malveillants, suivis de percées sur Internet, l'atténuation peut être assez facile, si peu pratique et douloureuse. Les systèmes peuvent être analysés à la recherche de logiciels malveillants et, dans les cas les plus sensibles, les disques durs sont réinitialisés ou remplacés.
Mais il y avait des centaines d'intrus à l'intérieur du bâtiment, des personnes photographiées et ayant accès aux bureaux des membres et aux bureaux privés. Ces personnes peuvent aller n'importe où dans le bâtiment.
Nous devons également supposer qu'un acteur étranger est entré dans le bâtiment et s'est mêlé à la foule. Oui, je sais que cela semble paranoïaque, mais écoutez-moi. Nous savons que la Russie et d'autres pays mènent des cyberattaques contre l'Amérique depuis un certain temps.
Nous savons également que la confirmation finale du vote du Congrès pour l'élection présidentielle de 2020 est constitutionnellement fixée au 6 janvier - et compte tenu de la rhétorique enflammée, il est presque certain qu'il y aura des foules et des émeutes.
Il est donc fort possible que l'acteur hostile (ou libre) soit également conscient des troubles possibles autour du Capitole. Bien que les détails exacts de ce qui sera révélé exactement et dans quel ordre le 6 janvier ne puissent être prédits à l'avance, il y a de bonnes raisons de croire que les dirigeants internationaux trouveraient raisonnable d'avoir une petite équipe d'agents prête. De cette façon, lorsque l'occasion se présente, ils peuvent impliquer secrètement ces agents dans la situation.
Cela dit, nous devons supposer que certaines des personnes qui ont infiltré Capitol Hill sont très probablement des acteurs étrangers. Et à partir de ces observations, il faut s'attendre à ce qu'un ou plusieurs des acteurs étrangers qui le font effectuent en interne des actions physiques contre des machines normalement inaccessibles.
L'ACCÈS PHYSIQUE EST PLUS QUE LE VOL D'ORDINATEURS
Une fois que les agents ennemis ont un accès physique, de nombreuses choses peuvent arriver. Dans de nombreux cas, je veux dire une attaque furtive qui oblige l'équipe informatique de Capitol à faire un effort pour guérir la terre brûlée. Tout d'abord, notez que les logiciels malveillants mettent souvent un certain temps ou une activation à apparaître. Ainsi, une machine qui semble parfaite pourrait être un cheval de Troie.
Il est possible d'ouvrir la machine et de placer votre pouce ou même un appareil supplémentaire dans la machine, qui est ensuite refermée. Avec un tournevis puissant, vous pouvez ouvrir la peau de votre ordinateur tour, insérer une clé USB dans le port interne ouvert et la refermer en une minute ou deux. Vous ne serez jamais trouvé.
Lorsque Stuxnet a stabilisé la centrifugeuse Natanz à IRan, des vers ont été envoyés via des périphériques USB introduits en contrebande dans l'installation. Dans le cas de Capitol Security, il y a des centaines de personnes dans le bâtiment du Capitole. Une attaque efficace consiste à laisser des périphériques USB partagés au hasard dans différents tiroirs et sur différents bureaux. Il ne fait aucun doute que quelqu'un examinera ces appareils, le considérera comme l'un d'entre eux et l'allumera. Un logiciel malveillant a été envoyé.
D'autres attaques physiques sont possibles. Nous parlions auparavant de chargeurs USB avec enregistreurs de frappe sans fil. Nous écrivons sur Power Pwn, un appareil qui ressemble à une multiprise mais cache un outil de piratage des réseaux sans fil. Nous avons discuté de la manière de lancer des attaques "intermédiaires" contre des fonctionnaires de l'UE qui transmettent le trafic Wi-Fi à des auditeurs illégaux.
Avec des centaines de personnes au Capitole, un appareil comme celui-ci peut tenir sa place. Le retrait peut prendre des semaines ou des mois, surtout s'il est si complet qu'il est trop plein pour que les pigistes puissent l'utiliser lorsqu'ils ont besoin de matériel de remplacement.
QUE FAIRE
Il existe plusieurs bonnes pratiques informatiques qui peuvent réduire ce risque. Par exemple, la micro-segmentation du réseau peut empêcher l'envoi de logiciels malveillants entre les zones. Mais aucune pratique de sécurité réseau ne peut complètement atténuer les attaques physiques.
Le Capitole doit être nettoyé complètement. Toutes les machines doivent être scannées. Tout ordinateur de bureau non étanche doit être ouvert et soigneusement inspecté. Les emplacements pour périphériques USB doivent être verrouillés pour empêcher les employés de Capitol Hill de brancher des périphériques USB. Le bâtiment doit être scanné à plusieurs reprises pour chaque pièce du sol pour transmettre des signaux de rayonnement.
Le personnel du Congrès doit être formé sur ce qu'il faut rechercher, les meilleures pratiques et une attention particulière, même si cela prend plus de temps.
Tout appareil numérique dans la région du Capitole doit être classé comme suspect. Il est important de maintenir une solide réputation en matière de sécurité même après avoir testé et analysé des machines actives, car nous devons être conscients des menaces en attente et de leurs attaques sous-jacentes afin qu'elles puissent déclencher l'accès.
VIOLATIONS DE LA LOI SUR L'ESPIONNAGE
En fin de compte, toutes les personnes impliquées dans l'attaque, en particulier celles par effraction dans le bâtiment, devraient être pleinement poursuivies et peut-être même accusées d'avoir violé la loi sur l'espionnage. Alors que certains candidats ont été qualifiés de «patriotes» ou de «bons» en colère, le fait est que leurs actions ont peut-être dissimulé l'espionnage des ennemis de notre nation.
J'entends ce que vous dites "Mais David, n'est-ce pas un peu paranoïaque de penser que d'autres pays bénéficieront de nos conflits internes?" Très agréable. Personne ne dira cela. Au lieu de cela, beaucoup de gens agitent leurs mains et me crient dessus. Mais pour nos besoins, nous passons à la version civile.
Et non, ce n'est pas un euphémisme pour autre chose. La Russie est intervenue aux élections de 2016. Celles-ci font partie d'un grand navire marchand utilisé pour susciter l'indignation et les conflits parmi certaines populations cibles. Nous savons que l'intervention russe a contribué à la colère et à l'indignation que nous ressentons tous - bien que nos propres politiciens soient tenus de l'exploiter pour leurs propres intérêts égoïstes.
L'attaque du Capitole était entièrement basée sur la colère et l'indignation. Étant donné que les émeutes des semailles font partie intégrante du livre de jeu russe, ils sont probablement bien conscients de l'importance du 6 janvier et sont prêts à en tirer le meilleur parti. Et tout cela nous conduit à l'espionnage - mené par des acteurs étrangers, mais très probablement soutenu et facilité par des complices trompés ou en colère.
Ceux qui ont pris d'assaut Capitol Hill ont peut-être enfreint la section 792 du code américain 18 - Cacher ou cacher des personnes. Le code est simple et se lit comme suit: "Quiconque cache ou cache quelqu'un qui connaît ou a des raisons raisonnables de croire ou est soupçonné d'avoir commis ou va commettre un crime." Si l'un des assaillants soupçonnait seulement qu'un agent extérieur avait violé leur bâtiment commun, il violait cette loi.
Vous pouvez également avoir enfreint la partie 18 du code 793 - Collecte, soumission ou perte d'informations de défense. C'est un excellent moyen, en commençant par «N'importe qui», de fournir des informations impuissantes avec l'intention ou la raison de croire qu'elles devraient être utilisées pour nuire ou profiter à quiconque aux États-Unis. est une nation étrangère ... "Le report ou l'annulation des élections peut certainement être considéré comme" nuisant aux États-Unis. «Si l'une de ces informations est divulguée à des puissances étrangères, même via une photo sur Twitter, c'est une infraction grave.
Une grande variété de ressources gouvernementales enregistrées enfreindrait la loi en cas de violation, y compris "... des bâtiments, des bureaux, des laboratoires de recherche ou des stations, ou d'autres installations de défense nationale qui appartiennent ou sont en construction ou sont en cours de construction États-Unis ou en construction. Contrôle des États-Unis ou de leurs fonctionnaires, départements ou agences ... "De toute évidence, le Capitole vient en dessous, principalement parce que les comités du Congrès traitent des informations hautement classifiées.
Les personnes qui commettent des crimes en vertu de ces codes "seront punies sous ce titre ou à une peine d'emprisonnement ne dépassant pas dix ans ou les deux".
Les choses deviennent sérieuses avec 18 US Code Section 794 - Collecter ou fournir des informations de défense au profit d'un gouvernement étranger. Les lois commencent par «Toute personne utilisée avec l'intention ou la raison de croire que cela nuira aux États-Unis ou dans l'intérêt d'un pays étranger», et le blocage de la certification constitutionnelle des élections, à son tour, nuit aux États-Unis.
La loi est très large et stipule essentiellement que la livraison sera effectuée à une personne qui n'est pas officiellement reconnue comme un étranger, ou même indirectement (par exemple via des amis, des enchères eBay, des photos Instagram, etc.)). n.), c'est une infraction. Alors, les photos que nous voyons sur le bureau avec des documents, des écrans de courrier électronique, etc.? Si un élément de l'une de ces photos est gardé privé ou classé et peut être vu par des agents étrangers, cette clause s'appliquera.
Châtiment? Que la loi parle d'elle-même: "Il sera condamné à mort ou emprisonné pendant plusieurs années ou à perpétuité". Oh!
Soyons clairs ici. La plupart des assaillants étaient américains. Et aussi dégoûtants que leurs actions - et dérangeant et perturbant la pratique constitutionnelle sont dégoûtants, quel que soit votre camp - la plupart d'entre eux pensent probablement qu'ils agissent au nom des États-Unis, pas dans leur intention. blesser.
La loi tient souvent compte de la planification préalable. Mais quand il s'agit d'espionnage, la loi a un très gros marteau. Les États-Unis sont hostiles à l'espionnage. Avec des milliers de foules devant le bâtiment et des centaines qui ont fait irruption, il était impossible pour les auteurs de savoir qui était leur partenaire mafieux à l'époque. Fournir une protection aux agents ennemis, même si l'on peut prétendre que cela se fait par naïveté ou ignorance, fournit toujours une protection aux agents ennemis.
Cela durera des mois ou des années dans nos tribunaux et dans la communauté du renseignement américain. Lorsque les informations exclusives obtenues à la suite de cette infraction tombent entre de mauvaises mains, les enjeux augmentent au-delà de toute mesure et les garçons d'Amérique centrale portent des jeans et des casquettes de baseball ou des cornes de chèvre, peignent les visages et les bikinis avec de la fourrure, qui sont plus faibles. plutôt que la pleine puissance et la colère du gouvernement des États-Unis - le gouvernement qu'ils essaient de renverser.
TU PEUX AIDER
InfraGard a récemment publié un avertissement que je partage maintenant avec vous. Le bureau extérieur de Washington, DC recherche l'aide publique pour identifier les personnes qui sont entrées illégalement dans le Capitole américain le 6 janvier 2021 à Washington, DC.
De plus, le FBI offre une récompense allant jusqu'à 50000 dollars pour les informations menant à la localisation, à l'arrestation et à la condamnation des personnes responsables de la pose des bombes de peinture présumées à Washington, DC le 6 janvier 2021.
Vers 13 heures EST le 6 janvier 2021, un certain nombre d'organismes chargés de l'application de la loi ont reçu des informations faisant état de bombes à tube métallique présumées au siège du Comité national de la République (RNC) au 310 First Street Southeast à Washington, DC.
Vers 13 h 15 EST, une deuxième bombe artisanale présumée avec un descripteur similaire a été signalée au siège du Democratic National Committee (DNC) au 430 South Capitol Street Southeast # 3 à Washington, DC.
Toute personne ayant des informations sur cette personne ou qui a été témoin de violence illégale dans ou à proximité du Capitole est encouragée à appeler le numéro sans frais du FBI au 1-800-CALL-FBI (1-) 800-225-5324) pour obtenir des conseils verbaux. Vous pouvez également soumettre toute information, photo ou vidéo qui pourrait être pertinente en ligne sur fbi.gov/USCapitol. Vous pouvez également contacter votre bureau local du FBI ou l'ambassade ou le consulat américain le plus proche.
Divulgation: David Gewirz est membre d'InfraGard, un partenariat entre le Federal Bureau of Investigation (FBI) et des membres du secteur privé pour protéger les infrastructures critiques aux États-Unis.