Гакерська атака на США. Підозрюють РФ

Уряд США підтвердив у середу, що масовий злам відбувся щонайменше у двох федеральних департаментах, включаючи Міністерство фінансів США та Міністерство торгівлі, – повідомляє CNN.

“Це ситуація, що розвивається, і хоча ми продовжуємо працювати над розумінням повного масштабу цієї атаки, ми знаємо, що це вплинуло на мережі всередині федерального уряду”, – йдеться у спільній заяві ФБР, Агентства з питань кібербезпеки та інфраструктури (CISA), та Канцелярії директора Національної розвідки (ODNI).

“ФБР проводить розслідування та збирає розвідувальні дані, аби визначити та переслідувати відповідальних суб’єктів”, – йдеться у повідомленні.

Отже, минулого тижня компанія FireEye, що займається кібербезпекою, заявила, що її зламали, і що її клієнти, зокрема, уряд США, опинилися в небезпеці. Цього тижня дізналися, що SolarWinds, публічна компанія, що надає програмне забезпечення десяткам тисяч державних і корпоративних клієнтів, також була зламана.

Розвідтовариство США має підстави бути впевненим, що це справа рук Служби зовнішньої розвідки (СЗР) Московії. Більше того, гакери СЗР змінили програмне забезпечення, яке поставляє SolarWinds своїм клієнтам, ще навесні(!). Тобто, число організацій, які завантажили собі змінене ПО, може досягати 18 тис. (включно з урядовими, а також з понад 425 компаній зі списку Fortune 500).

Масштаби цієї атаки, що триває й зараз, важко переоцінити. Тобто, у московських спецслужб був доступ до значної кількості важливих і конфіденційних мереж протягом шести-дев’яти місяців.

Яка ж реакція Трампа? Буде потужний пакет санкцій? (Питання риторичне).

Нагадаємо, що Обама, коли був вже, як і Трамп, в статусі кульгавої качки, ввів свій останній пакет антимосковських санкцій 20 Грудня 2016 року. А всього Обама ввів близько 10 таких пакетів. Трамп не ввів практично жодного (саме санкції від президента Executive order президента, а не санкції від Конґресу. Адже Конґрес за президентства Трампа вже другий рік поспіль вводить санкції до СП-2 всупереч волі Трампа).

Вважається, що за атакою стоять російські хакери. Хакери змогли контролювати внутрішній електронний трафік у Казначействі та Міністерстві торгівлі, люди, які беруть участь у розслідуванні, були стурбовані, що виявлене може бути лише вершиною айсберга.

Гакери змогли отримати доступ до федеральних агентств через діри в програмному забезпеченні американської компанії SolarWinds. У березні компанія запропонувала оновлення свого програмного забезпечення Orion, яке несвідомо включало прихований зловмисний код, який міг надати хакерам такі ж уявлення, як і внутрішні ІТ-команди. Вважається, що близько 18000 клієнтів SolarWinds завантажили компрометовані оновлення.

Через кілька днів після того, як кілька американських відомств підтвердили, що їх мережі були скомпрометовані внаслідок масового порушення даних, федеральні чиновники досі намагаються зрозуміти масштаби збитку, підкреслюючи витонченість і широту поточної гакерської кампанії, пов’язаної з РФ.

Поки відповідні відомства продовжують розслідувати інцидент, компанія з кіберзахисту FireEye повідомила в середу, що шкідливе програмне забезпечення містить “вбивцю”, яка може бути використана для його вимкнення. Але навіть після деактивації шкідливого програмного забезпечення існує ймовірність того, що уражені системи можуть залишатися доступними для зловмисників, сказав представник FireEye.

У той же час американські чиновники вже стикаються з посиленим тиском вимог помститися Росії, навіть за умови ліквідації вразливих місць та встановлення осіб, які вчинили злочин.

“Почуття страху”

Попри те, що чиновники продовжують боротися з наслідками нападу, його серйозність вже виявляється, як і кричущі недоліки американської кіберзахисту, які були викриті. Новини про вторгнення надходять у надзвичайно чутливий час, в середині президентського переходу. Перехідна команда новообраного президента Джо Байдена зустрічалася з різними відомствами, готуючись взяти на себе владні обов’язки. У понеділок його співробітники були проінформовані про масове вторгнення, заявив чиновник Міністерства національної безпеки з питань кібербезпеки та безпеки інфраструктури.

Команда Байдена також була проінформована про напад цього тижня, повідомив представник кіберпідрозділу Міністерства національної безпеки. Посадовець відмовився надавати додаткові подробиці про що йшлося.

Сам Байден також, мабуть, також отримував би деталі під час щоденного секретного брифінгу. Американські чиновники та експерти з кібербезпеки попереджають, що інцидент повинен послужити сигналом тривоги як для федерального уряду, включаючи адміністрацію Байдена, що надходить, так і для компаній приватного сектору, оскільки іноземні сили, безсумнівно, будуть проводити подібні атаки та вдосконалювати свою тактику в майбутньому. “У громаді національної безпеки існує відчуття широкого страху”, – сказав колишній чиновник.

Президент Дональд Трамп ще не визнав гакерство, незважаючи на стрімко зростаючий перелік агентств в його адміністрації, які постраждали, хоча Рада національної безпеки та прес-секретар Білого дому Кейлі МакЕнані прокоментували порушення.  Державного секретаря Майка Помпео запитали про вторгнення в понеділок і визнав, що послідовні зусилля РФ порушити сервери, що належать американським урядовим установам та бізнесу, але не повідомляє жодних додаткових подробиць.

Агентство з питань кібербезпеки та безпеки інфраструктури “взаємодіє з нашими державними та приватними зацікавленими сторонами у спільноті критичної інфраструктури, щоб переконатися, що вони розуміють їх вплив”, а Управління директора національної розвідки “допомагає розпорядитись усіма відповідними ресурсами розвідувального співтовариства для підтримки цих зусиль та обміну інформацією між урядом США”, – йдеться у заяві.

Раніше повідомляли, що системи, що належать щонайменше трьом відомствам – Департаментам сільського господарства, торгівлі та національної безпеки – були скомпрометовані вразливістю, виявленою в інструменті управління мережею сторонніх постачальників програмного забезпечення. Washington Post повідомляє, що ще постраждало і Міністерство фінансів. 

Інші органи національної безпеки, включаючи Міністерство оборони, наразі розслідують, чи не постраждали їхні мережі.

“Для того, щоб знати всю глибину вторгнень, потрібна значна кількість експертних робіт”, – заявив колишній генеральний радник Агентства національної безпеки Гленн Герстелл. 

“Проблема полягає в тому, що поки ми точно не знаємо, що вони робили і до чого вони мали доступ, ми не можемо зробити щось інше, як відключити систему”, – додав Герстелл. 

Невизначеність

Вважається, що вторгнення почалися навесні, згідно з криміналістичним аналізом FireEye, який також розкрив власне порушення, пов’язане з уразливістю на початку цього місяця.

Раніше повідомлялося, що за зламом FireEye стоїть пов’язана з Росією група, відома як APT29. Багато розслідувань намагатимуться визначити, що хакери робили з інформацією, до якої вони змогли крадькома отримати доступ місяцями. Поки що операція, яка несе всі ознаки актора, якого підтримує Росія, здається широкомасштабною шпигунською кампанією, спрямованою на компрометацію якомога більшої кількості ключових мереж державного та приватного секторів, заявили кілька експертів з кібербезпеки.

За словами Орена Фальковіца, колишнього чиновника АНБ, який є генеральним директором фірми з кібербезпеки Area.

Електронна пошта є найбільшим бізнес-додатком у світі, і значну кількість цінних даних можна отримати з папок урядових та приватних службовців.. Крадені електронні листи можуть легко надати іноземному уряду перевагу в дипломатичних переговорах або інших делікатних відносинах, сказав Кубіч.

Крім того, доступ до серверів електронної пошти може допомогти зловмисникам: “Отримавши доступ до поштових серверів, ви можете маскуватися або прикидатися законним користувачем, і тепер ваші атаки можуть стати ще більш складними”.