Історія з проникненням в системи американських установ почалася ще навесні може досі продовжуватись. Як і чому це сталося – у матеріалі 24 каналу.

Контекст Байден розкритикував Трампа через слабку реакцію на хакерську атаку

Як і коли це сталося?

Адміністрація Трампа дізналася про "віртуальне вторгнення" 13 грудня. Але у Міністерство фінансів та торгівельний департамент могли проникнути ще у березні місяці. Спосіб нагадує тактику СЗР РФ – Служби зовнішньої розвідки.

Читайте ще США звинуватили Росію у масштабній кібератаці

Список постраждалих:

  • Держдеп
  • Агенція ядерної зброї
  • Департамент внутрішньої безпеки (включаючи власне відділ кібербезпеки)
  • Пентагон
  • Мінюст
  • Центр профілактики та контролю захворювань
  • Пошта США
  • Міністерство сільского господарства
  • Microsoft
  • FireEye (елітна фірма кіберзахисту)

Окрім них, зачепило як мінімум три штати. Хакери мали повний доступ як мінімум до систем електронної пошти установ, повідомляє NYT. Але інші ЗМІ кажуть, що злам міг "розкрити найглибші секрети Сполучених Штатів, збитки поки незрозумілі". Щодо цілей, поки що це виглядає на "широкомасштабну шпигунську кампанію, націлену на компроментацію якомога більшої кількості ключових мереж державного і приватного сектору".

Вона була дисциплінованою та продовжувалась кілька місяців, цілі обиралися дуже вибірково. Хакери, за словами експертів з галузі, з якими спілкувалося AP, "дуже професійні у справі замітання слідів". Тож деякі крадіжки може ніколи не будуть знайдені.

Мова йде про порушення роботи несекретних систем, які були підключені до Інтернету. Немає інформації, що кібератака дійшла до секретних даних.

З чого ж це почалося? Багато хто вказує на вразливість у продукті Orion від Solar Winds. Як пише FT, донедавна вони були маловідомою компанією з Техасу. Але ситуація пролила світло не лише на них, а на більшість вразливих підрядників на службі уряду США.

Solar Winds – один з найбільш популярних та широко відомих інструментів для мережевого моніторингу, в тому числі у федеральних мережах та великих корпораціях, – пояснив CNN Business Джеймі Барретт, колишній контр-адмірал у відставці і старший віце-президент фірми кіберзахисту RigNet.

Щоб отримати доступ до їхніх оновлень та виправлень, додав він, потрібна атака на рівні держави. З іншого боку, їхні проблеми почалися ще восени 2019 року. Як не дивно, але сервери компанії були захищені дуже слабким паролем "solarwinds123". Про це їм повідомив незалежний дослідник Вінот Кумар. З тих пір ситуацію виправили, але тривожний дзвіночок вже пролунав. До того ж, у компанії банально не було головного офіцера з інформаційної безпеки. Паролі працівників можна було знайти на GitHub.

З 300 тисяч клієнтів, вразливе ПО могли використовувати щонайменше 18 тисяч. Всі федеральні органи тепер мають переглянути свої мережі. З 2015 року це лише п'ятий подібний заклик.

Microsoft – найбільша компанія, яка постраждала від кібернападу / Фото Bleeping Computer

Зловмисники "замаскували свою кібератаку під законне оновлення", пише CNN і видавали себе за довірених користувачів. Але це був не єдиний шлях "зараження". Джерела видання підтвердили, що за винятком останніх днів, уряд США нічого не знав про злам майже рік.

Це як двері бога – ситуація безмежного доступу до системи. Створюється власний контроль з боку адміністратора, паролі та облікові дані. Ви можете вести документи, ви можете щось змінити. Все виглядає, ніби зайшли звичайні працівники, – пояснила для FT Тереза Пейтон, колишня директора з інформаційних технологій Білого Дому.

Опинившись всередині, хакери терпляче збирали дані авторизованих користувачів. Це, у свою чергу, дозволило непомітно пересуватись мережами впродовж кількох місяців. Як кажуть у FireEye, в код була "зашита" система його відключення. Але навіть після цього, скомпрометована система може залишитися доступною.

Скоріш за все, у росіян було від шести до дев'яти місяців постійного доступу до деяких вузлів Міністерства внутрішньої безпеки, – сказав CNN Тоні Лоуренс, засновник фірми з кібербезпеки Light Rider.

Тому багато хто став жертвою, зробивши все правильно.

Складні наслідки

Ця масована атака може посіяти сумніви і підірвати довіру до компаній, які користуються масовою підтримкою. Навіть якщо були викрадені лише адреси електронної пошти, це може призвести до масованої розсилки спаму та організації фішингу. Не кажучи вже про те, що поштові скриньки державних працівників можуть бути зламані.

CISA (Агенція кібербезпеки та інфраструктурної безпеки США – 24) могла зупинити цю атаку. Але як сказав CNN колишній співробітник Агенції нацбезпеки Гленн Герстелл, " їй всього кілька років; не вистачає ресурсів, є недоліки в управлінні".

Вожді та шпигуни Шпигуни у Відні: як заробляє гроші та бавить диктаторів розвідка КНДР

А її голова Кріс Кребс був звільнений президентом Трампом, бо сказав, що вибори пройшли чесно та прозоро. Без затвердженого лідерства, привернути увагу до себе з боку Білого Дому неможливо.

Що відомо про російських хакерів, які могли хакнути Америку

Головні російські хакерські групи / Колаж World in War

Фірма FireEye вважають, передає CNN, що за нападами може стояти група хакерів APT29 або ж "Cozy Bear". Вони переважно займаються "добуванням інформації, необхідної для прийняття рішень з питань зовнішньої політики та оборони". Діють з 2008 року з території РФ, вважається, що під егідою спецслужб. Дехто у США вважає що у Мережі йде "тиха холодна війна".

Жертвами в основному стають західні уряди та пов'язані з ними організації. Зазвичай їхня тактика – груба сила та швидшке збирання даних. Але, якщо ціль представляє особливий або чутливий інтерес, вони можуть переходити до менш помітних засобів. Як це власне і сталося в США.

За часів Обами вони ж стояли за зламом серверів Держдепу та Білого Дому, а також за атакою на Національний комітет Демпартії у 2016 року. Цього ж року, США стали лише пунктом у списку жертв, які включали "державні, технологічні, консалтингові, телекомунікаційні і нафтогазові компанії у Північній Америці, Європі, Азії та Близькому Сході".

Щодо коронавірусу, то саме APT29 закидають спроби вкрасти дані щодо вакцини від COVID-19 в Канаді, Великій Британії та США. Офіційний Лондон заявив, що група "майже напевно є частиною російських спецслужб". Голова Держдепу Майк Помпео теж сказав, що Росія стоїть за нападом "з великою ймовірністю".

Кількість кібератак зменшується, але зростає число цілеспрямованих та витончених нападів. За даними страхової компанії Hiscox, число атакованих компаній впало з 61 до 39% за останній рік. Але втрати від успішніх спроб зростають.

"Cozy Bear" до останніх днів були не так відомі, як їх колеги-конкуренти APT28 або "Fancy Bear". Ці стояли за вірусом NotPetya у 2018 році, який завдав шкоди українським банкам, аеропортам та лікарням і призвів до відключення світла.

А також намагалися зламати гіганта контейнерних перевезень Maersk, фармгіганта США Merck та виробника печива Oreo Mondelez. Цікаво, що тоді страхові компанії заявили: оскільки західні уряди скинули вину на Росію, це був акт війни, звільнений від страхових виплат (а збитки склали 1 млрд доларів США!).

Напад на вибори Пекло виборів США: що ФБР розказали про зухвале втручання РФ та Ірану

Кібератаки стають все більш серйозними, пише видання Foreign Policyвони можуть поставити країну на коліна і при цьому жоден солдат не перетне кордон. Насправді, як сталося із США, цього можна не помічати місяцями. "Зараз компаніям може знадобитися 100 днів, щоб зрозуміти – вони під атакою", – сказав FP Саму Конттінен, голова фінського кластеру інформаційної безпеки.

Мільярди на вітер: що не так з кіберзахистом Америки

Система захисту від кібершпигунів не працювала як треба / Фото Lawfare

Експерти кажуть, що захист більшості західних організацій недостатньо сильний. Зокрема, організації не приділяли достатньої уваги безпеці постачальників програмного забезпечення та ланцюжку поставок. Але загальновизнаного стандарту програмного забезпечення все ще немає як і форми примусу, якщо воно не виконується.

Гроші на вітер та загроза безпеці

Проблема в тому, що Америка витратила сотні мільйонів доларів, навіть мільярди, на системи, які не дуже добре працюють. Ситуація також виявила слабкі місця у програмі "Ейнштейн", яку Департамент внутрішньої безпеки використовував для захисту федеральних органів влади. Керували нею у Кіберкомандування США з Форт-Мід, штат Мериленд.

І тепер Конгрес хоче дізнатись, чому вона працює не так, як рекламується після виділення мільярдів доларів США. Система може виявити "відомі шкідливі дії", але треба знати, що шукати. "Ейнштейн" пропустив проникнення, тому що хакери блискуче розробили свою тактику нападу, багато хто був зайнятий захистом виборів.

Американська ж система "передового захисту", яка мала попередити про атаку, що наближається та забезпечити платформу для контратак –практично не стримувала ворогів. Хакери "вставили" у програму фрагменти коду, який зробив їх "невидимими". Вони зрозуміли, що якщо зайти через периферійні системи, буде легче дійти до центральних урядових.

Європейське покарання Знайомі українцям шпигуни та старі гріхи: чим цікаві санкції ЄС проти хакерів РФ

Проблема була і в тому, що американський уряд применшував або й ігнорував проблему. Президент Трамп всіляко уникав звинувачення Росії, натомість скинув провину на Китай. І якщо Китай планує красти технології, то Росія – посилити свою політичну позицію. Експерти наголошують, що Байден має зробити кіберзахист одним зі своїх приоритетів. Втім ще жоден президент це не зробив.