За что США обновили санкции против РФ за одну из самых крупных хакерских атак в истории

За что США обновили санкции против РФ за одну из самых крупных хакерских атак в истории

Автоматические обновления компьютерных приложений считаются хорошим тоном в мире компьютерной безопасности. Тем не менее этот способ внедрения вредоносного кода уже неоднократно использовали хакеры. Атака на сервера компании SolarWinds стала самой масштабной: среди жертв тысячи организаций, в том числе Госдеп и Пентагон.


США обвинили в атаке Россию — введенные президентом Джо Байденом новые санкции связаны в том числе и с этим взломом. Издание «Медиазона» рассказывает, как атака через SolarWinds стала возможной, как её обнаружили и почему она считается беспрецедентной.


Фото: Pavlo Gonchar / SOPA Images / Sipa USA / East News Фото: Pavlo Gonchar / SOPA Images / Sipa USA / East News

Фото: Pavlo Gonchar / SOPA Images / Sipa USA / East News



«Взломы время от времени случаются»


«Сегодня США официально объявляют, что за широкомасштабной кибератакой с использованием платформы SolarWinds Orion и прочей IT-инфраструктуры стояла российская Служба внешней разведки (СВР), также известная как APT29, Cozy Bear и The Dukes, — говорится в сообщении на сайте Белого дома. — Доступ к системе распространения обновлений программного обеспечения SolarWinds предоставил СВР возможность взломать свыше 16 тысяч компьютерных систем по всему миру с потенциальной возможностью вмешательства в их работу. Эта кибератака затрагивает вопросы национальной безопасности и общественной безопасности».


В сообщении не утверждается, что все 16 тысяч компаний и ведомств были взломаны — но хакеры могли воспользоваться доступом к этим закрытым системам. Общее число пострадавших от взлома до сих пор выясняется. В опубликованных одновременно с приказом Байдена рекомендациях ФБР, Агентства национальной безопасности и Агентства кибербезопасности и инфраструктурной безопасности (CISA) говорится, что потенциальным жертвам взлома стоит помимо обновления ПО и прочих экстренных мер «исходить из того, что взломы время от времени случаются».


Белый дом подчеркивает, что кибератака на SolarWinds указывает на риски, «связанные с попытками России взламывать компании по всему миру через системы распространения [обновлений]». В связи с этим американские власти предупреждают о рисках сотрудничества с компаниями, которые «работают в России или хранят там пользовательские данные», а также каким-либо образом зависят от разработчиков или специалистов технической поддержки из России.


Британский МИД вслед за США обвинил СВР в причастности к кибератаке — к такому выводу пришли специалисты Центра правительственной связи (GCHQ). Дипломаты подчеркивают, что фактический доступ к внутренним сетям британских организаций удалось подтвердить только «в единичных случаях».


Представительница МИД России Мария Захарова поспешила ответить, что американские власти что-то «наворотили», и теперь «наш ответ неотвратим».


Служба внешней разведки отреагировала на решение Байдена пространным ответом о том, что «читать бред — занятие малоинтересное». «Во всем этом словоблудии самое неприятное вот что: «СВР России, также известная как…». Извините, господа, но СВР России на весь мир известна с 1920 года как Иностранный отдел ВЧК, 5 отдел Первого управления НКВД СССР. С середины прошлого века — Первое главное управление КГБ СССР, а ныне — Служба внешней разведки Российской Федерации. За столетними славными страницами истории отечественной разведки стоит не только высочайший профессионализм, но и умение вести работу честно на благо нашей страны!», — подчеркнуло пресс-бюро СВР.


Жертвы атаки: Госдеп и Пентагон


О крупнейшей хакерской истории последних лет мир узнал с сообщения не самой известной широкой общественности калифорнийской компании FireEye, которая занимается кибербезопасностью: специалисты по взломам обнаружили, что кто-то взломал их самих. Компания остановилась в шаге от прямых обвинений, ограничившись формулировкой «кибершпионаж государственного уровня», однако источники американских газет тут же указали на предполагаемых взломщиков — хакеров, связанных с российской разведкой.


Вскоре выяснилось, что компания FireEye стала лишь последней целью хакеров, месяцами имевших доступ к внутренним системам американских министерств и компаний. Среди потенциальных пострадавших называли министерства торговли и финансов, компании Intel, VMware, Cisco, Nvidia и прочих IT-гигантов.


Источники Washington Post конкретизировали обвинения: «Российским хакерам, известным как APT29 и Cozy Bear и работающим в структуре российской Службы внешней разведки, удалось в некоторых случаях получить доступ к почтовым ящикам».


Аббревиатура с номером в американской официальной номенклатуре присваивается так называемым «перспективным устойчивым угрозам» кибернападений, сокращенно APT: APT28 — группировка Fancy Bear, APT29 — Cozy Bear. Моду на названия, связанные с медведями, ввела компания CrowdStrike, которая занимается предотвращением компьютерных атак и активно участвовала в расследовании взлома серверов Демократической партии США в 2015–2016 годах.

«Животные означают страну происхождения: русские — медведи, китайцы — панды, иранцы — котята, а северокорейцы — “чоллимы”, в честь мифического крылатого коня, — пересказывал Esquire в профайле основателя CrowdStrike, уроженца Москвы с американским гражданством Дмитрия Альперовича. — В компании есть традиция: аналитик, обнаруживший нового хакера, подбирает ему первую часть псевдонима. Группировка Cozy Bear получила своё название, потому что в их коде использовалось словечко coz. Код Fancy Bear в свою очередь содержал слово Sofacy, которое напомнило изучавшему их активность сотруднику песню Игги Азалии Fancy».

В FireEye присвоили нынешним взломщикам SolarWinds собственный идентификатор — UNC2452, а встроенному в обновление Orion коду — SUNBURST.



Тогда же, в декабре прояснился и «вектор атаки» — способ, использованный хакерами для получения доступа к внутренним системам. Аналитики атакованной FireEye изучили следы хакеров и выяснили, что зараженным оказался программный модуль Orion техасского разработчика SolarWinds — крупнейшего поставщика приложений для внутреннего IT-мониторинга, которые используют системные администраторы множества известных компаний и государственных учреждений.


Центр исследований и разработок компании FireEye. Фото: Arno Burgi / DPA / AP

«Продуктами конкурентов смехотворно сложно пользоваться, они не выдерживают сравнения. [SolarWinds] предложила первую по-настоящему удобную систему сетевого управления, и она моментально захватила рынок», — описывал положение компании на рынке бывший хакер Агентства национальной безопасности США Джейк Уильямс.


До взлома дела у SolarWinds шли только в гору — во втором квартале компания заключила крупнейшую в своей истории сделку и ожидала, что её годовая выручка впервые превысит миллиард долларов.


Доминирующее положение SolarWinds в своей нише рынка в итоге и обеспечило масштабность заражения: хакеры ещё весной добавили вредоносный код прямо в обновление к модулю Orion. Клиенты скачали его с официального сервера — в том числе компании FireEye, которая забила тревогу. Всего опасное обновление установили до 18 тысяч клиентов компании.


«Отключение подвергшихся заражению устройств является единственной известной на сегодняшний день мерой противодействия атаке», — напутствовали узнавших о возможном заражении в американском агентстве по кибербезопасности CISA.


Ключевую роль в оперативной реакции на взлом взяла на себя корпорация Microsoft, которая отозвала цифровые сертификаты зараженных файлов, чтобы операционная система Windows не позволяла их запускать, обновила стоп-листы встроенного антивируса Windows Defender и вместе с коллегами перехватила контроль над доменом avsvmcloud[.]com, который использовался хакерами для управления кодом.


Сама Microsoft также оказалась жертвой взлома: через офисное приложение Office 365 хакерам удалось получить доступ к имейлам сотрудников Национального управления информации и связи США (NTIA). Дальнейший список пострадавших американских ведомств только расширялся: Минэнерго, Национальное управление по ядерной безопасности (NNSA), Пентагон, Госдепартамент.


В Microsoft считают, что разработка уязвимости в SolarWinds потребовала участия «по меньшей мере тысячи очень профессиональных и способных» IT-специалистов.


Получившее всемирную известность благодаря разоблачениям Эдварда Сноудена Агентство национальной безопасности, которое само активно занимается кибершпионажем, также было клиентом Solarwinds и не знало о разворачивающейся атаке.


«Самыми постыдными примерами» New York Times называла беспечность Пентагона и министерства внутренней безопасности США, которые за месяц до скандала успели отчитаться о проведении президентских выборов без иностранного вмешательства. Это было в декабре — а в марте Associated Press узнала, что хакеры получили доступ к электронной почте главы трамповского министерства нацбезопасности Чада Вулфа и его сотрудников, занимавшихся отражением киберугроз.


Сбор данных и оценка хакерами информации продолжаются до сих пор. На фоне расследования в программе SolarWinds был обнаружен второй бэкдор: SUPERNOVA вслед за лазейкой SUNBURST позволяла злоумышленникам запускать собственный код на компьютерах жертв, установивших обновление к модулю Orion — и тоже как минимум с марта прошлого года.


Новый вредоносный код оказался столь качественным и незаметным, что его могли пропустить не только автоматические системы проверки, но и человек. «Интересный поворот событий: расследование инцидента с SolarWinds привело к обнаружению дополнительного вредоносного ПО, которое также задействует Orion, но оно, вероятно, не связано с нынешним взломом и было использовано другим злоумышленником», — отметили в Microsoft.


Как хакеры проникли в SolarWind


Взлом SolarWinds произошел давно: в октябре 2019 года клиенты компании впервые получили обновления, отправленные злоумышленниками с официальных серверов, но без вредоносного кода — исследователи пока считают, что это была подготовительная фаза операции.


Solarwinds давно предупреждали, что с безопасностью есть проблемы. В 2017 году руководству тщетно предлагали назначить директора по кибербезопасности, а в 2019-м один из менеджеров хвастался, что «нам везёт, и это замечательно».


Компании действительно везло: в том же 2019 году исследователь Винот Кумар обнаружил, что доступ к сервису с обновлениями можно получить по паролю solarwinds123, после чего предупредил компанию и получил ответ, что это была «ошибка конфигурации». Хотя считается, что для нынешнего взлома Solarwinds не использовался именно этот пароль, общая картина идентична: даже после обнаружения вредоносного кода в апдейте Orion компания несколько дней не закрывала к нему доступ.


Более того, до взлома на сайте Solarwinds в разделе с информацией даже была страница, на которой предлагалось отключить сканирование пользовательскими антивирусами папки с файлами Orion «для лучшей работы» приложения; после публикаций о взломе страницу удалили.


Скандал случился на закате карьеры главы SolarWinds Кевина Томпсона, для которого декабрь и без того должен был стать последним месяцем работы после 14 лет во главе компании. «Мы по-прежнему лучшая история в софтвере», — обращался он к коллегам и инвесторам в своём последнем финансовом отчете.


Уходившая администрация Дональда Трампа по поводу взлома высказывалась противоречиво: госсекретарь Майк Помпео и уже уволенный генпрокурор Уильям Барр обвиняли в кибератаке абстрактных «русских», а сам президент намекал, что это «мог быть» Китай. Представители Джо Байдена ещё до инаугурации говорили, что собираются предпринять «не только санкции, но и прочие вещи и шаги, которые необходимы для снижения возможностей иностранных акторов для осуществления подобных атак».


«Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, её национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит «наступательных» операций в виртуальной среде», — заверяли в декабре в российском посольстве в Вашингтоне.


Представительница МИД Мария Захарова тогда называла обвинения в адрес России бездоказательными и ложными — особенно на фоне «киберпандемии». Пресс-секретарь президента Дмитрий Песков безучастно отмечал, что «именно Соединенные Штаты стали жертвой этой хакерской атаки, и определенно, эта дискуссия не имеет к нам никакого отношения, потому что Россия не причастна к таким атакам, в частности, к этой».


Автор: Александр Бородихин; МЕДИАЗОНА



Источник: “https://cripo.com.ua/events/za-chto-ssha-obnovili-sanktsii-protiv-rf-za-odnu-iz-samyh-krupnyh-hakerskih-atak-v-istorii/”

Автор:

Похожие матриалы по тегу

Предыдущий материал

Россиянку объявили в розыск за отравление детей хлором

Следующий материал

Вакцинация вместо эскалации. Байден дважды оговорился во время речи о РФ

Коментарии (0)