Starszy dowódca wojskowy USA wydał wyraźne ostrzeżenie o skoordynowanych wysiłkach zagranicznych przeciwników w celu naruszenia amerykańskiej infrastruktury cyfrowej poprzez słabości oprogramowania typu open source. Gen. Paul M. Nakasone, dowódca amerykańskiego dowództwa cybernetycznego, zeznał przed Senackim Komitetem ds. Usług Zbrojnych, że Chiny i Rosja aktywnie wkładają złośliwy kod do publicznie dostępnego oprogramowania używanego w krytycznych sektorach USA.
Ukierunkowane oprogramowanie typu open source stanowi kręgosłup operacji w wielu istotnych sektorach infrastruktury amerykańskiej. Gen. Nakasone podkreślił, że te zagrożone programy są „powszechnie używane przez amerykański wojsko, rząd i sektor prywatny”, tworząc luki systemowe. NARZYTA TREAPARENCJA SPRAWEZYTU OPEN SOORCE-jest publicznie dostępna i modyfikowalna przez każdego-jest szczególnie podatne na taką infiltrację państwa narodowego, pomimo powszechnego przyjęcia w podstawowych systemach, w tym sieci energetycznych i sieciach telekomunikacyjnych.
„Widzimy to na wiele różnych sposobów”, stwierdził Nakasone podczas przesłuchania. „Widzimy naszych przeciwników, w szczególności Chiny i Rosji, [engaging] w wprowadzeniu złośliwego kodu w oprogramowaniu open source. ” Generał podkreślił wyrafinowany charakter tych tajnych operacji, które mają na celu ustanowienie trwałych punktów dostępu w amerykańskich ekosystemach cyfrowych.
To objawienie opiera się na zwiększonych obaw dotyczących bezpieczeństwa łańcucha dostaw oprogramowania po niszczycielskim cyberataku Solarwinds na 2020 r. Ten incydent, przypisany rosyjskim sponsorowanym przez państwo hakerom, zagrożony sieciami w wielu agencjach rządowych USA i prywatnych korporacjach poprzez wykorzystanie zaufanych mechanizmów aktualizacji oprogramowania. Naruszenie ujawniło fundamentalne słabości w tym, jak organizacje weteryfikują komponenty oprogramowania innej firmy.
Rząd USA zintensyfikował koncentrację na zabezpieczeniu łańcucha dostaw oprogramowania w ostatnich latach. Kulminacją tych obaw prezydenta Biden z maja 2025 r. Zakaz wykonawczy wymaga kompleksowej poprawy bezpieczeństwa cybernetycznego, z konkretnymi przepisami dotyczącymi luk w łańcuchu dostaw. Zamówienie ustanowiło ulepszone standardy bezpieczeństwa oprogramowania sprzedawanego rządowi federalnemu i stworzyło surowsze wymagania dotyczące raportowania dla incydentów cybernetycznych.
Nakasone opisał obecne zagrożenie jako „wyjątkowo poważnie” na najwyższym poziomie rządu. Cyber Command intensywnie współpracuje z partnerami sektora prywatnego w celu zidentyfikowania i zneutralizowania wszczepionego złośliwego kodu. „Bardzo ściśle współpracujemy z naszymi partnerami w sektorze prywatnym, aby móc to zidentyfikować”, potwierdził, podkreślając istotną rolę współpracy branżowej w obronie krajowej.
Generał szczególnie wezwał do wzmocnionych środków ochronnych wokół łańcucha dostaw oprogramowania w Ameryce, oznaczając obecne zabezpieczenia niewystarczające do wyrafinowanych podmiotów państwowych. Zauważył, że przeciwnicy wykorzystują połączony charakter nowoczesnego rozwoju oprogramowania, w którym komponenty typu open source są rutynowo zintegrowane z produktami komercyjnymi i systemami rządowymi bez dokładnego weryfikacji bezpieczeństwa.
Nakasone sformułował wyzwanie jako globalną w skali, podkreślając, że jednostronne działanie byłoby niewystarczające. „Jest to globalne wyzwanie i musimy współpracować, aby się z tym zająć” – stwierdził, opowiadając się za wzmocnionymi sojuszami w celu zbiorowego przeciwdziałania zagrożeniom cyfrowym. Zaangażowanie zarówno Chin, jak i Rosji wskazuje na strategiczną zbieżność wśród cyberprzestępców, która wymaga skoordynowania międzynarodowego polityki bezpieczeństwa cybernetycznego i dzielenia się wywiadem.
Analitycy bezpieczeństwa zauważają, że kompromisy typu open source reprezentują multipliplier sił dla wrogich narodów, umożliwiając im jednocześnie kierowanie tysięcy organizacji poprzez zabezpieczenia pojedynczych punktów. W przeciwieństwie do tradycyjnych cyberataków wymagających indywidualnej penetracji sieci, zatrute komponenty oprogramowania mogą automatycznie rozpowszechniać złośliwe oprogramowanie dla wszystkich użytkowników podczas rutynowych aktualizacji.
Ostrzeżenie podkreśla ewoluujący charakter cybernetycznej wojny, w której ataki coraz częściej występują na długo przed wykryciem poprzez naruszenia narzędzi programistycznych i zależności oprogramowania. Eksperci ds. Bezpieczeństwa cybernetycznego zauważają, że takie taktyki odzwierciedlają strategiczną zmianę w kierunku „pozycjonowania” w ekosystemach oprogramowania, aby umożliwić przyszłe zakłócające operacje.
Podobno agencje federalne opracowują nowe ramy do sprawdzania sprawdzania integralności oprogramowania, w tym ulepszone wymagania dotyczące podpisywania kodu i wdrożenie masy materiałów (SBOM). Administracja rozważa również zachęty dla opiekunów open source do przyjęcia lepszych praktyk bezpieczeństwa, uznając, że wiele krytycznych projektów działa z ograniczonymi zasobami pomimo ich powszechnego wdrażania infrastruktury krytycznej.
W miarę ewolucji zagrożeń dla amerykańskich fundamentów cyfrowych, zeznania podkreśla pilną potrzebę kompleksowych strategii, które wypełniają rządowe, sektor prywatny oraz międzynarodowe wysiłki w celu zapewnienia coraz bardziej złożonego krajobrazu łańcucha dostaw oprogramowania przeciwko wyrafinowanym zagrożeniom państwa narodowego.
Source: Pentagon: Oprogramowanie open source atakowane przez zagranicznych przeciwników
