Кибервзлом с политическими последствиями

Кибератака затронула не только США, но и Канаду, Мексику, Бельгию, Испанию, Великобританию, Израиль и ОАЭ

Запись Кибервзлом с политическими последствиями впервые появилась relevant.

На прошлой неделе получила свое развитие история, касающаяся масштабной кибератаки на американские правительственные учреждения и частные компании в конце прошлого года. Созданная для расследования этого инцидента Кибернетическая единая координационная группа (Cyber ​​Unified Coordination Group – UCG), в которую вошли представители ФБР, Агентства по обеспечению кибербезопасности и защиты инфраструктуры (CISA) и Аппарата директора национальной разведки при поддержке Агентства национальной безопасности, сделала официальное заявление, возложив ответственность за кибератаку на российских хакеров. Причем, как утверждается в заявлении, эта атака была не актом кибервойны, а «попыткой сбора разведданных».

Кибератака, получившая название Sunburst, была обнаружена специалистами компании FireEye в конце декабря, хотя, началась, по их мнению, еще весной и продолжалась, пока Америка была занята предвыборной кампанией и проблемами борьбы с пандемией. То есть в течение почти 8 месяцев хакерам удавалось оставаться незамеченными и хозяйничать в компьютерах десятков госучреждений и коммерческих компаний, как у себя в огороде. Sunburst уже назвали самой длительной и масштабной кибератакой за последние пять лет, однако в полной мере масштабы причиненного национальной безопасности США ущерба заинтересованным ведомствам пока еще лишь предстоит установить.

Спецслужбы США, отвечающие за кибербезопасность в стране, подтвердили, что хакерам удалось получить доступ к данным «менее десяти» американских правительственных агентств. Список пострадавших не был приведен, однако, ранее агентство Reuters сообщало, что хакеры взломали компьютерные системы Министерства внутренней безопасности США (в ведомстве подтвердили факт взлома), министерств торговли и финансов США, а также корпорации Microsoft. Позднее появилась информация о том, что атаке подверглись компьютеры министерства энергетики, Госдепартамента США и даже Пентагона. Министерство торговли также признало факт взлома: пострадало одно из его агентств – Национальная администрация по телекоммуникациям и информации (National Telecommunications and Information Administration – NTIA), которое занимается, в том числе, установлением стандартов и блокированием импорта и экспорта технологий, считающихся угрозой национальной безопасности. Хакеры взломали офисное программное обеспечение NTIA Microsoft Office 365 и в течение нескольких месяцев отслеживали электронную почту сотрудников агентства.

Преступники проникли в компьютерные системы, внедрив вредоносный код в обновления программного обеспечения компании SolarWinds, обслуживающей государственных заказчиков в исполнительной ветви власти, вооруженных силах и спецслужбах. После того, как пользователи, получив уведомления об обновлении ПО, скачали системы сетевого управления SolarWinds Orion, была нарушена безопасность 18 тыс. компьютеров. В число клиентов SolarWinds, как сообщалось ранее на ее сайте (сейчас эта информация уже удалена), входит большинство американских компаний из списка Fortune 500, 10 ведущих американских поставщиков телекоммуникационных услуг, все пять подразделений вооруженных сил США, Госдепартамент, Агентство национальной безопасности и Канцелярия президента США, так что обнаруженные на данный момент взломы могут быть всего лишь верхушкой айсберга. Среди сотрудников SolarWinds есть, в том числе, программисты из Беларуси, Польши и Чехии и, как сообщил CNN один из бывших сотрудников Агентства национальной безопасности, иностранные специалисты, работающие в американских IT-фирмах в этих странах, считаются основными объектами вербовки для российских спецслужб.

В обнаружившей взлом компании FireEye, занимающейся кибербезопасностью, сразу сочли, что это дело рук русских, а конкретно – связанной с российскими спецслужбами хакерской группировки Cosy Bear (также известной как APT29). Как выразился глава FireEye Кевин Мэндиа, «мы являемся свидетелями атаки со стороны государства, обладающего первоклассными орудиями нападения». В прессе по этому поводу приводится формулировка «почти наверняка связаны», хотя, справедливости ради, никаких доказательств по этому поводу пока никто не привел. «Расследование указывает на то, что источник целенаправленной устойчивой угрозы, вероятно, российского происхождения, несет ответственность за большинство или все недавно обнаруженные и продолжающиеся кибератаки как на правительственные, так и на негосударственные сети», — говорится в заявлении UCG. «Это было исключительно хорошо выполнено. Это было настолько хорошо, что это должны были быть русские, потому что они оставили маяки, которые позволили бы им проникнуть в любую систему, которая была затронута. Потребуется время, чтобы откопать их», – поясняет эксперт по кибербезопасности и технологиям из Центра стратегических и международных исследований Джеймс Эндрю Льюис. И это, пожалуй, на данный момент самое аргументированное утверждение о причастности «русских».

О «руке Москвы» ранее заявлял и госсекретарь США Майк Помпео: «Мы можем довольно ясно сказать, что этим занимались русские», – сказал он в интервью Fox News. По его мнению, Россия таким образом «пытается подорвать американский образ жизни». Что же касается Дональда Трампа, он утверждал, что Москва здесь ни при чем, а за нападением стоит Китай: «Все начинают кричать о России, когда что-то происходит, потому что мейнстрим-СМИ, в основном по финансовым причинам, страшно боятся говорить, что это мог быть Китай (а это мог быть он!)», – написал он в Twitter. С чего вдруг это нужно Китаю, который только начал налаживать отношения с США после долгой и выматывающей торговой войны и сегодня как никто заинтересован в хороших отношениях с новой администрацией, Трамп, естественно, не пояснил. Избранный президент США Джо Байден уже объявил, что кибербезопасность станет для него приоритетом, а новый глава администрации Белого дома заявил, что ответ на массовую хакерскую кампанию «выйдет за рамки санкций».

По мере того, как расследование продвигается, обнаруживаются все новые подробности, а число пострадавших увеличивается. В конце декабря Microsoft сообщила, что хакерская группа, стоящая за атакой с помощью ПО SolarWinds, смогла проникнуть в Microsoft Corp и получить доступ к ее исходному коду (исходный код является одним из наиболее тщательно охраняемых секретов технологической компании), но не смогла внести в него изменения. «Мы обнаружили необычную активность некоторых внутренних учетных записей и после проверки выяснили, что одна учетная запись использовалась для просмотра исходного кода в нескольких репозиториях», — заявили в корпорации. Какие продукты были затронуты, и как долго хакеры находились в сети, в корпорации не сказали. А уже 3 января The New York Times написала, что хакерская атака оказалась гораздо серьезнее, чем предполагалось изначально, и затронула более 250 федеральных агентств и предприятий – по последним данным она могла начаться не в марте 2020 года, а еще в октябре 2019-го. О попытках хакеров проникнуть в свою компьютерную систему сообщила и компания CrowdStrike, специализирующаяся на кибербезопасности.

Пока специалисты пытаются оценить масштабы атаки, правительства и частные компании по всему миру от греха подальше удаляют программные продукты SolarWinds со своих компьютеров. По данным FireEye, от нападения хакеров пострадали не только американские ведомства, среди ее жертв также были государственные, консалтинговые, технологические, телекоммуникационные и нефтегазовые компании в Северной Америке, Европе, Азии и на Ближнем Востоке. Компания Microsoft также сообщила, что выявила более 40 правительственных агентств, аналитических центров, неправительственных организаций и IT-компаний, в компьютерные системы которых удалось проникнуть хакерам. Кибератаку уже называют самой серьезной в истории Америки. Помимо США, она затронула Канаду, Мексику, Бельгию, Испанию, Великобританию, Израиль и Объединенные Арабские Эмираты. Как отметили в Microsoft, «это не обычный шпионаж, даже в эпоху цифровых технологий. Это акт безрассудства, который спровоцировал серьезную техническую уязвимость США и всего мира».

Так, например, по данным телеканала Sky News, пострадали несколько организаций в Великобритании. О каких конкретно учреждениях идет речь, каковы масштабы взлома и каким может быть нанесенный ущерб, телеканал не уточнил, однако, директор по оперативным вопросам британского Национального центра кибербезопасности Пол Чичестер, как передает Sky News, назвал произошедшее «комплексным глобальным виртуальным инцидентом» и призвал британские компании принять меры для защиты своих компьютерных сетей. Немецкая газета Handelsblatt сообщила, что МВД Германии также обнаружило несколько затронутых кибератакой компаний и ведомств, в конце декабря подвергся хакерской атаке и один из крупнейших немецких медиаконцернов – Funke-Mediengruppe. В середине декабря беспрецедентная хакерская атака была зафиксирована и в Израиле – ей подверглись десятки компаний, специализирующихся в области импорта и экспорта, хакеры получили несанкционированный доступ к данным о клиентах компаний.

По оценкам специалистов по кибербезопасности, может потребоваться несколько лет на то, чтобы полностью установить масштабы причиненного ущерба и выявить преступников. И не исключено, что все это время в компьютерных системах ряда компаний и ведомств хакеры по-прежнему будут оставаться незамеченными. Киберпреступления всегда расследуются долго. Так, например, на днях в США был приговорен к 12 годам тюрьмы российский хакер Андрей Тюрин, взломавший более десяти компаний, включая JPMorgan Chase и получивший доступ к информации почти о 140 млн клиентов. Это преступление, которое назвали самой крупной в истории США кражей данных клиентов банка, совершалось с 2012 по 2015 год, хакер был задержан в сентябре 2018 года в Грузии и экстрадирован в США, а год спустя признался в кибератаках. Но если в случае с Тюриным речь шла лишь о деньгах и персональных данных клиентов, то хакеры, осуществившие кибератаку Sunburst, нанесли гораздо более серьезный удар, поставив на повестку дня вопрос технологической уязвимости компьютерных сетей во всем мире. А это значит, что, если озвученные обвинения в причастности к Sunburst российских хакеров получат реальное подтверждение, последствия этого взлома будут лежать уже не в юридической, а политической плоскости.

Запись Кибервзлом с политическими последствиями впервые появилась relevant.