«Самая изощренная атака в мире»: как российские шпионы взламывали министерства США

Российские шпионы использовали популярное программное обеспечение для распространения вируса, который распространился на 18 000 государственных и частных компьютерных сетей. Об этом говорится в программе «60 минут»на телеканале CBS News. Президент Джо Байден унаследовал множество трудноразрешимых проблем, но, возможно, ни одна из них не является столь разрушительной, как кибервойна между США и Россией, которая в значительной степени незаметна, отмечают авторы программы.

В марте прошлого года, когда коронавирус бесконтрольно распространился по Соединенным Штатам, российские киберсолдаты выпустили свою собственную инфекцию, саботировав крошечный фрагмент компьютерного кода, спрятанный в популярном программном обеспечении под названием SolarWinds. Скрытый вирус распространился на 18 000 государственных и частных компьютерных сетей посредством одного из тех обновлений программного обеспечения, которые мы все принимаем как должное. Атака была беспрецедентной по смелости и размаху. Российские шпионы рылись в цифровых файлах министерств юстиции, энергетики и торговли США и в течение девяти месяцев и имели беспрепятственный доступ к сообщениям высшего уровня, судебным документам и даже ядерным секретам.

«Я думаю, с точки зрения разработки программного обеспечения, вероятно, будет справедливо сказать, что это самая крупная и изощренная атака, которую когда-либо видел мир», — говорит Брэд Смит, президент Microsoft.

Он узнал о взломе после президентских выборов в ноябре прошлого года. К тому времени незаметные злоумышленники распространились по компьютерной сети технологических гигантов и украли часть их исходного кода, используемого для создания программных продуктов. Еще более тревожно то, как хакеры проникли, используя стороннее программное обеспечение, используемое для подключения, управления и мониторинга компьютерных сетей.

«Одним из действительно сбивающих с толку аспектов этой атаки был ее широкомасштабный и неизбирательный характер. Этот злоумышленник идентифицировал программное обеспечение для управления сетью от компании SolarWinds. Они установили вредоносное ПО в обновление для продукта SolarWinds. Когда это обновление было распространено в 18 000 организаций по всему миру, то же самое произошло и с этим вредоносным ПО», — заявил Смит.

«SolarWinds Orion» — один из самых распространенных программных продуктов, о котором вы, вероятно, никогда не слышали, но для тысяч ИТ-отделов по всему миру он незаменим. Он состоит из миллионов строк компьютерного кода. 4032 из них были тайно переписаны и распространены среди клиентов в рамках обычного обновления, открыв секретный бэкдор для 18 000 зараженных сетей. Microsoft поручила 500 инженерам разобраться в атаке. Его сравнивали с картиной Рембрандта, чем ближе они смотрели, тем больше прорисовывалось деталей.

«Когда мы проанализировали все, что видели в Microsoft, мы спросили себя, сколько инженеров, вероятно, работали над этими атаками. И ответ, к которому мы пришли, был, ну, конечно, более тысячи… Почти наверняка эти атаки продолжаются», — отмечает Смит.

Мир все еще мог бы не знать об этом взломе, если бы не FireEye, компания по кибербезопасности стоимостью три с половиной миллиарда долларов, которой руководит Кевин Мандиа, бывший офицер разведки ВВС США.

«Я могу вам сказать, если бы мы не зарабатывали на жизнь расследованиями, мы бы не нашли этого. Требуется особый набор навыков, чтобы перепроектировать целую платформу, написанную плохими парнями, чтобы ее никогда не нашли», — говорит Мандиа.

Основная миссия FireEye — охотиться, находить и изгонять киберзлоумышленников из компьютерных сетей своих клиентов — в основном правительств и крупных компаний. Но FireEye использовала программное обеспечение SolarWinds, которое превратило киберохотника в жертву. В ноябре этого года один бдительный сотрудник FireEye заметил что-то неладное.

«Как и у всех, кто работает из дома, у нас есть двухфакторная аутентификация. Код всплывает на нашем телефоне. Мы должны ввести этот код. Затем мы можем войти в систему. Сотрудник FireEye входил в систему, но разница заключалась в том, что наши сотрудники службы безопасности посмотрели на логин, и мы заметили, что у человека было два телефона, зарегистрированных на свое имя. Наш сотрудник службы безопасности позвонил этому человеку, и мы спросили: «Эй, вы действительно зарегистрировали второе устройство в нашей сети?» И наш сотрудник сказал: «Нет, это был не я», — рассказал Мандиа.

В FireEye увидели, как злоумышленники, выдавая себя за его сотрудников, шныряя внутри их сети, крадут проприетарные инструменты FireEye для тестирования защиты клиентов и отчетов разведки об активных киберугрозах. Хакеры не оставили никаких доказательств того, как они взломали — ни фишинговых экспедиций, ни вредоносного ПО.

В FireEye обнаружили вредоносное ПО внутри SolarWinds и 13 декабря сообщили миру о наглой атаке.

Большая часть ущерба уже нанесена. Министерство юстиции США признало, что россияне месяцами находились в своих компьютерах, получая доступ к почтовому трафику, но министерство не сообщает нам, что именно было украдено. То же самое в министерстве финансов и энергетике. Даже агентство, которое защищает и транспортирует ядерный арсенал США. Хакеры также поражают самые громкие имена в сфере высоких технологий.

«Я думаю, этот список целей говорит нам, что это явно иностранная разведка. Список потенциально раскрывает секреты правительств Соединенных Штатов и других стран, а также частных компаний. Я не думаю, что кто-то знает наверняка, как будет использоваться вся эта информация. Но мы знаем это: она в чужих руках», — говорит директор Microsoft.

Брэд Смит из Microsoft считает, что хакеры почти наверняка создали дополнительные бэкдоры и распространились на другие сети.

«То, что мы наблюдаем, — это первое использование этой тактики нарушения цепочки поставок против Соединенных Штатов. Но мы наблюдаем это не в первый раз. Российское правительство действительно разработало эту тактику в Украине», — говорит он.

Русские годами испытывали кибероружие в Украине. NotPetya, атака 2017 года, проведенная ГРУ, использовала ту же тактику, что и в атаке SolarWinds, саботируя широко используемое программное обеспечение для проникновения в тысячи украинских сетей.

«Вирус повредил более 10% компьютеров этой страны за один день. Телевизионные станции не могли выпускать свои шоу, потому что полагались на зараженные компьютеры. Банкоматы перестали работать. Продуктовые магазины не могли принять кредитную карту. То, что мы видели в этой атаке, было более целенаправленным», — отмечет Смит.

В декабре 2020 стало известно правительственные структуры США и американские компании подверглись длительной и комплексной атаке хакеров, которых связывают с российскими спецслужбами. В частности, известно, что они проводили операцию с марта с использованием уязвимостей в программном обеспечении SolarWinds. От взлома пострадали Минфин США, Госдепартамент, Пентагон, Министерство энергетики, Национальное управление ядерной безопасности США, другие ведомства, а также большое количество американских компаний.

17 декабря компания Microsoft сообщила, что обнаружила более 40 правительственных агентств, аналитических центров, неправительственных организаций и IT-компаний, к системам которых проникли хакеры. Преимущественно это произошло в США, но также в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и Объединенных Арабских Эмиратах.

3 января командующий кибервойсками США Пол Накасоне сообщил, что масштабная хакерская атака могла затронуть 250 сетей, что значительно больше, чем было известно первоначально. При атаке спецслужб РФ были использованы серверы в США. В ходе расследования также выяснилось, что датчики раннего оповещения о взломах, которые Киберкомандование и Агентство национальной безопасности разместили в сетях, не сработали.

Читайте также: Байден пригрозил ощутимой ценой за кибератаки после сообщений о причастности РФ

Команда избранного президента Джо Байдена рассматривает несколько вариантов наказания России за ее причастность. Речь может идти о финансовых санкциях и кибератаках на российскую инфраструктуру.

# # # # # # #

Только главные новости в нашем Telegram, Facebook и GoogleNews!