Батальйон російських хакерів проти Microsoft. Чому виявилася вдалою наймасштабніша кібератака на США

Під завісу і так, м'яко кажучи, непростого 2020 р. з США прийшла новина про те, що хакери (швидше за все, російські), в тому числі з угруповання Cozy Bear (афілійованої з ФСБ), здійснили тривалу (починаючи з березня 2020 р. ) і наймасштабнішу за останні п'ять років кібератаку на урядові відомства та інші організації в Бельгії, Великобританії, Ізраїлі, Іспанії, Канаді, Мексиці, ОАЕ і США.

Основний удар все ж припав до Сполученим Штатам, де, за останніми оцінками, жертвами хакерів стали дев'ять урядових установ, серед яких Мінфін, Міністерство внутрішньої безпеки, Держдепартамент; а також понад сотня приватних компаній. З них усіх близько 40 — це клієнти Microsoft.

Пролізти в системи відомств і компаній кіберзлочинці змогли завдяки уразливості в платформі Orion, використовуваної для централізованого управління і моніторингу, розробником якої є техаська компанія SolarWinds.

Атаку 8 грудня зафіксувала компанія FireEye, що спеціалізується на протидії хакерам.

Але уразливість платформи Orion — це лише один із застосовуваних методів злому.

Всі обставини і механізми кібератаки, як і завдані збитки, ще належить з'ясувати в рамках розслідування, яке проводить американський Сенат. 23 лютого на слухання в нього запросили представників SolarWinds, Microsoft, FireEye Inc і CrowdStrike Holdings.

Нікого з Amazon, сервери якої також використовувалися для кібератаки, в Сенаті не було — відмовилися надсилати своїх представників.

Слухання очікувано стали джерелом важливої інформації про торішню кібератаку. Проте більшою мірою вчорашнє захід був схожий на спробу компаній визначити, хто ж із запрошених "невісток" обгидив більше всіх.

Поки першість в цій категорії у Microsoft, судячи з заяви учасників слухань. Тобто всі ніби як згодні, що уразливість софта SolarWinds створила масу проблем, проте жертви — FireEye Inc і CrowdStrike Holdings — приділяли більше уваги дітищу Білла Гейтса.

Так, генеральний директор CrowdStrike Джордж Курц розкритикував Microsoft за архаїчність програмного забезпечення в архітектурі аутентифікації в сервісах Windows Active Directory і Azure Active Directory, завдяки чому хакери потрапили в "хмару" і намагалися отримати доступ до електронної пошти CrowdStrike.

Microsoft, на перший погляд, крити було нічим. Особливо якщо врахувати той факт, що в кінці грудня, коли газета The Washington Post писала про те, що кіберзлочинці зламали електронну переписку як мінімум однієї приватної компанії, Microsoft тут же виступила зі спростуванням, заявивши, що: а) проникнення в хмарний сервіс не було; б) ніяких вразливостей знайдено не було.

Через два місяці вже відомо, що нехай пошту і не зламали, але по іншим двом пунктам ТехноГігант помилився або збрехав. Зараз представники Microsoft застосовують оборонну тактику, як би розмазуючи відповідальність тонким верствам по всім потенційним винуватцям.

Так, директор компанії Бред Сміт, не акцентуючи увагу на продуктах Microsoft, визнає: так, мовляв, хакери змогли зробити те, що зробили, використовуючи самі що ні є звичайні повсякденні комп'ютерні процеси.

За словами Сміта, світ адже звик уже покладатися на онлайн виправлення помилок або оновлення ПЗ, а саме ці процеси є дверима в "цифровий еквівалент" МОЗ компанії.

Загалом, він зосередився на описі всіх жахів нової кіберзагрози, виявленої в ході хакерської атаки. Вона, загроза, — неймовірно масштабна, і так просто з нею не впоратися. І всі методи проникнення до сих пір невідомі. "Це найбільша і складна операція з тих, що ми бачили", — заявив він.

Ніхто, крім зловмисників, не винен, переконує Сміт. Ну, може частково розхитані клієнти, які, в тому числі, "залишають ключі від сейфу, а автомобіль — відкритим".

Втім, справедливості заради, варто пам'ятати, що американські компанії, організації та відомства атакували аж ніяк не одинаки. Сміт, посилаючись на висновки експертів, повідомив, що за кібератакою стояли "як мінімум 1000 дуже досвідчених і умілих фахівців".

Масштаб просто вражає. І справді, що можна зробити, якщо за твої продукти взявся цілий батальйон російських хакерів?

Перед обличчям агресії з боку цілої держави компаніям, нехай навіть такими цифровим гігантам, як Microsoft, залишається лише сподіватися на підтримку і співпрацю з урядом. Що компанії, власне, і робили під час слухань, закликаючи владу відповісти, як країна буде реагувати на те, що сталося. І це в поточних несприятливих для Microsoft умовах єдино вірна тактика захисту.

Реакція буде. Під час брифінгу 23 лютого прес-секретар Білого дому Джен Дженніфер Псакі повідомила про те, що вже в найближчі тижні будуть введені санкції щодо Росії у зв'язку з кібератакою, а також отруєнням і арештом Олексія Навального.

За її словами, насправді санкції почала готувати ще попередня адміністрація, проте Трамп в останній момент відмовився давати їм хід.

Важливо і те, що санкції, якщо вірити словам радника з питань нацбезпеки США Джейка Саллівана, будуть лише одним з інструментів, за допомогою яких Вашингтон відповість на дії Росії.

Очевидно, що спецслужби на прохання адміністрації Джо Байдена підготують не лише захисні механізми, а й механізми контратаки на мережеву інфраструктуру Росії.

Тим більше, що успіхи в цьому у американців вже є. Хороший приклад — це те, як американські спецслужби зламали мережу кремлівської "фабрики тролів" і блокували їм доступ в інтернет під час проміжних виборів 2018 р.

З тих пір ставки в кіберпротистоянні виросли багаторазово. Участь тисячі чоловік в хакерській атаці на Штати — це вже не звична шпигунська гра, а прямий акт агресії, що вимагає суттєвої відповіді.