История с проникновением в системы американских учреждений началась еще весной. Как и почему это произошло – в материале 24 канала.

Контекст Байден раскритиковал Трампа из-за слабой реакции на хакерскую атаку

Как и когда это произошло?

Администрация Трампа узнала о "виртуальном вторжении" 13 декабря. Но в Министерство финансов и торговый департамент могли проникнуть еще в марте месяце. Способ напоминает тактику СВР РФ – Службы внешней разведки.

Читайте еще США обвинили Россию в масштабной кибератаке

Список пострадавших:

  • Госдеп
  • Агентство ядерного оружия
  • Департамент внутренней безопасности (включая собственно отдел кибербезопасности)
  • Пентагон
  • Минюст
  • Центр профилактики и контроля заболеваний
  • Почта США
  • Министерство сельского хозяйства
  • Microsoft
  • FireEye (элитная фирма киберзащиты)

Кроме них, задело как минимум три штата. Хакеры имели полный доступ как минимум к системам электронной почты учреждений, сообщает NYT. Но другие СМИ говорят, что взлом мог "раскрыть глубочайшие секреты Соединенных Штатов, убытки пока непонятны". Относительно целей, пока это похоже на "широкомасштабную шпионскую кампанию, нацеленную на компроментацию, как можно большего количества ключевых сетей государственного и частного сектора".

Она была дисциплинированной и продолжалась несколько месяцев, цели избирались очень выборочно. Хакеры, по словам экспертов из отрасли, с которыми общалось AP, "очень профессиональны в деле заметание следов". Поэтому некоторые кражи может никогда не будут найдены.

Речь идет о нарушении работы несекретных систем, которые были подключены к Интернету. Нет информации, что кибератака дошла до секретных данных.

С чего же это началось? Многие указывают на уязвимость в продукте Orion от Solar Winds. Как пишет FT, до недавнего времени они были малоизвестной компанией из Техаса. Но ситуация пролила свет не только на них, а на большинство уязвимых подрядчиков на службе правительства США.

Это программное обеспечение, которое используют тысячи компаний и организаций по всему миру. Оно сложное и занимается работой в сетях. Проблему сначала заметили в энергетических компаниях, а также в консалтинге и телекоммуникационных бизнесах.

"Solar Winds – один из наиболее популярных и широко известных инструментов для сетевого мониторинга, в том числе в федеральных сетях и крупных корпорациях",
– пояснил CNN Business Джейми Барретт, бывший контр-адмирал в отставке и старший вице-президент фирмы киберзащиты RigNet.

Чтобы получить доступ к их обновлениям и исправлениям, добавил он, требуется атака на уровне государства. С другой стороны, их проблемы начались еще осенью 2019 года. Как не странно, но серверы компании были защищены очень слабым паролем "solarwinds123". Об этом им сообщил независимый исследователь Винот Кумар. С тех пор ситуацию исправили, но тревожный звоночек уже прозвучал. К тому же, в компании банально не было главного офицера по информационной безопасности. Пароли сотрудников можно было найти на GitHub.

Из 300 тысяч клиентов, уязвимое ПО могли использовать по меньшей мере 18 тысяч. Все федеральные органы теперь должны пересмотреть свои сети. С 2015 года это лишь пятый подобный призыв.


Microsoft крупнейшая компания, пострадавшая от кибернападения / Фото Bleeping Computer

Злоумышленники "замаскировали свою кибератаку под законное обновление", пишет CNN и выдавали себя за доверенных пользователей. Но это был не единственный путь "заражения". Источники издания подтвердили, что за исключением последних дней, правительство США ничего не знало о взломе почти год.

Это как дверь бога – ситуация безграничного доступа к системе. Создается собственный контроль со стороны администратора, пароли и учетные данные. Вы можете вести документы, вы можете что-то изменить. Все выглядит, будто зашли обычные работники,
– пояснила для FT Тереза Пейтон, бывшая директора по информационным технологиям Белого дома.

К тому же, пока непонятно, учитывая сложную структуру американского правительства, кто будет нести основную ответственность и юрисдикцию по ситуации.

Актуально Страх и паника: какие теракты всколыхнули мир в 2020 году

Оказавшись внутри, хакеры терпеливо собирали данные авторизованных пользователей. Это, в свою очередь, позволило незаметно передвигаться по сетям в течение нескольких месяцев. Как говорят в FireEye, в код была "зашита" система его отключения. Но даже после этого скомпрометированная система может оставаться доступной.

Скорее всего, у русских было от шести до девяти месяцев постоянного доступа к некоторым узлам Министерства внутренней безопасности,
– сказал CNN Тони Лоуренс, основатель фирмы по кибербезопасности Light Rider.

Поэтому многие стали жертвой, сделав все правильно.

Сложные последствия

Эта массированная атака может посеять сомнения и подорвать доверие к компаниям, которые пользуются массовой поддержкой. Даже если были украдены только адреса электронной почты, это может привести к массированной рассылке спама и организации фишинга. Не говоря уже о том, что почтовые ящики государственных работников могут быть взломаны.

CISA (Агентство кибербезопасности и инфраструктурной безопасности США – 24) могла остановить эту атаку. Но как сказал CNN бывший сотрудник Агентства нацбезопасности Гленн Герстелл, "ей всего несколько лет; не хватает ресурсов, есть недостатки в управлении".

Вожди и шпионы Шпионы в Вене: как зарабатывает деньги и забавляет диктаторов разведка КНДР

А ее глава Крис Кребс был уволен президентом Трампом, потому что сказал, что выборы прошли честно и прозрачно. Без утвержденного лидерства, привлечь внимание к себе со стороны Белого дома невозможно.

Что известно о российских хакерах, которые могли хакнуть Америку


Главные российские хакерские группы / коллаж World in War

Фирма FireEye считает, передает CNN, что за нападениями может стоять группа хакеров APT29 или же "Cozy Bear". Они преимущественно занимаются "добыванием информации, необходимой для принятия решений по вопросам внешней политики и обороны". Действуют с 2008 года с территории РФ, считается, что под эгидой спецслужб. Некоторые в США считают, что в сети идет "тихая холодная война".

Жертвами в основном становятся западные правительства и связанные с ними организации. Обычно их тактика – грубая сила и быстрый сбор данных. Но, если цель представляет особый или чувствительный интерес, они могут переходить к менее заметных средств. Как это собственно и произошло в США.

Во времена Обамы они же стояли за взломом серверов Госдепа и Белого Дома, а также за атакой на Национальный комитет Демпартии в 2016 году. В этом же году, США стали лишь пунктом в списке жертв, которые включали "государственные, технологические, консалтинговые, телекоммуникационные и нефтегазовые компании в Северной Америке, Европе, Азии и Ближнем Востоке".

Что касается коронавируса, то именно APT29 обвиняют в попытке украсть данные по вакцине от COVID-19 в Канаде, Великобритании и США. Официальный Лондон заявил, что группа "почти наверняка является частью российских спецслужб". Глава Госдепа Майк Помпео тоже сказал, что Россия стоит за нападением "с большой вероятностью".

Количество кибератак уменьшается, но растет число целенаправленных и изощренных нападений. По данным страховой компании Hiscox, число атакованных компаний упало с 61 до 39% за последний год. Но потери от успешных попыток растут.

"Cozy Bear" до последних дней были не так известны, как их коллеги-конкуренты APT28 или "Fancy Bear". Эти стояли за вирусом NotPetya в 2018 году, который нанес ущерб украинским банкам, аэропортам и больницам и привел к отключению света.

А также пытались взломать гиганта контейнерных перевозок Maersk, фармгиганта США Merck и производителя печенья Oreo Mondelez. Интересно, что тогда страховые компании заявили: поскольку западные правительства сбросили вину на Россию, это был акт войны, освобожденный от страховых выплат (а убытки составили 1 млрд долларов США!).

Нападение на выборы в США: Что ФБР рассказало о дерзком вмешательстве РФ и Ирана

Кибератаки становятся все более серьезными, пишет издание Foreign Policyони могут поставить страну на колени и при этом ни один солдат не пересечет границу. На самом деле, как случилось с США, этого можно не замечать месяцами. "Сейчас компаниям может потребоваться 100 дней, чтобы понять – они под атакой", – сказал FP Саму Конттинен, глава финского кластера информационной безопасности.

Миллиарды на ветер: что не так с киберзащитой Америки


Система защиты от кибершпионов не работала как надо / Фото Lawfare

Эксперты говорят, что защита большинства западных организаций недостаточно сильна. В частности, организации не уделяли достаточного внимания безопасности поставщиков программного обеспечения и цепочке поставок. Но общепризнанного стандарта программного обеспечения все еще нет как и формы принуждения, если оно не выполняется.

Деньги на ветер и угроза безопасности


Проблема в том, что Америка потратила сотни миллионов долларов, даже миллиарды, на системы, которые не очень хорошо работают. Ситуация выявила слабые места в программе "Эйнштейн", которую Департамент внутренней безопасности использовал для защиты федеральных органов власти. Руководили ею в Киберкомандовании США из Форт-Мид, штат Мэриленд.

И теперь Конгресс хочет узнать, почему он работает не так, как рекламируется после выделения миллиардов долларов США. Система может обнаружить "известные вредные действия", но надо знать, что искать. "Эйнштейн" пропустил проникновения, потому что хакеры блестяще разработали свою тактику нападения, много кто был занят защитой выборов.

Американская же система "передовой защиты", которая должна была предупредить о приближающейся атаке и обеспечить платформу для контратак – практически не сдерживала врагов. Хакеры "вставили" в программу фрагменты кода, который сделал их "невидимыми". Они поняли, что если зайти через периферийные системы, будет легче дойти до центральных правительственных.

Европейское наказание Знакомые украинцам шпионы и старые грехи: чем интересны санкции ЕС против хакеров РФ

Проблема была и в том, что американское правительство умаляло или игнорировало проблему. Президент Трамп всячески избегал обвинения России, зато сбросил вину на Китай. И если Китай планирует воровать технологии, то Россия – усилить свою политическую позицию. Эксперты отмечают, что Байден должен сделать киберзащита одним из своих приоритетов. Впрочем еще ни один президент это не сделал.