• USD 39.2
  • EUR 42.4
  • GBP 49.5
Спецпроєкти

Залякування зі зломом. Як Америка відповість російським хакерам

Державні структури США та тисячі приватних компаній по всьому світу зазнали чергового російського злому

Російські хакери зламали уряд США
Російські хакери зламали уряд США / Фото з відкритих джерел
Реклама на dsnews.ua

Управління з кібербезпеки і безпеки інфраструктури США (CISA) в четвер виступило з повідомленням про великий комп'ютерний злом, заявивши, що він "становить серйозний ризик" для федерального уряду, урядів штатів і місцевих органів самоврядування, а також приватних компаній і організацій.

З часу перших повідомлень про злом урядових комп'ютерів адміністрація Трампа була небагатослівна, і публічної інформації про те, що трапилося, було небагато.

Але CISA, що входить в структуру Міністерства внутрішньої безпеки, в своїй доповіді представив широку картину того, що сталося. В Управлінні зазначили, що атака почалася приблизно в березні і триває досі. Це означає, що шкідливий софт, розміщений на комп'ютерах, все ще може збирати цінну інформацію. Причому його видалення буде "дуже складним і важким для організацій".

Експерти з кібербезпеки покладають відповідальність за цю атаку на російську Службу зовнішньої розвідки (СЗР). Проте адміністрація Трампа офіційно цього не заявляла, а Москва, як звичайно, заперечувала яку б то не було причетність до цього інциденту.

Після брифінгів, які американські розвідслужби провели для представників законодавчих зборів, сенатор-демократ Річард Блюменталь заявив, що інформація явно вказує на хакерську групу Cozy Bear, яка вже неодноразово відзначалася в подібних операціях, і яка або афілійована, або взагалі контролюється російською зовнішньою розвідкою.

"Російська кібератака викликала у мене глибоку тривогу, насправді прямо-таки переляк. Американці мають право дізнатися, що відбувається, — написав Блюменталь в одному з декількох твітів, пов'язаних зі зломом, і заявив, що буде домагатися розкриття більшого обсягу інформації.

Злякатися і справді було чого. Хоча хакери і не зуміли безпосередньо проникнути в комп'ютерні системи і бази даних уряду і держструктур через жорсткі протоколи безпеки і доступу до них, вони зуміли скористатися уразливим софтом, який поставляє уряду один з його ключових підрядників — компанія "Solar Winds", що є, крім іншого, розробником систем кібербезпеки.

Реклама на dsnews.ua

В результаті, згідно з рядом повідомлень, на деякий (не розкриваються публічно) час енергетичний сектор США, включаючи атомні станції, виявилися під стороннім контролем.

Втім, в опублікованій в четвер заяві Міністерство енергетики хоч і визнало факт злому своїх комп'ютерних систем, домовилося про те, що, як показало його розслідування, "на даний момент" шкідливе ПО "ізольовано тільки в бізнес-мережах" і не вплинуло на виконання основних функцій міністерства, пов'язаних з безпекою держави, включаючи Національне управління ядерної безпеки ".

Крім того, до списку постраждалих державних структур входять Міністерство торгівлі, Міністерство внутрішньої безпеки, Пентагон, Міністерство фінансів, Поштова служба США і Національні інститути охорони здоров'я.

Хоча цілями злому були державні мережі, за словами представників уряду та експертів з кібербезпеки, шкідливим ПЗ, ймовірно, були також заражені комп'ютери тисяч приватних компаній і організацій. Це видається логічним зважаючи на широке розповсюдження програмного забезпечення SolarWinds.

У SolarWinds близько 300 тис. клієнтів, але компанія повідомила, що її продукт Orion, призначений для моніторингу комп'ютерних мереж, встановили менш 18 тис. абонентів, — по всій видимості, був зламаний саме він. Так чи інакше, серед жертв атаки виявилися консалтингові, технологічні, телекомунікаційні та інші компанії в Північній Америці, Європі, Азії і на Близькому Сході. Причому, як відзначають в компанії FireEye, що займається кібербезпекою, жертв ретельно відбирали: "Ці зломи не поширюються самі по собі, кожна з атак вимагає ретельного планування і ручного втручання".

Цей інцидент став останнім в довгому списку кібервторження росіян в інші країни. Багато держав звинувачують Росію у використанні хакерів, ботів і інших засобів. Мабуть, найбільшим з цих скандалів було звинувачення Москви в спробах вплинути на минулі президентські вибори в США — але аналогічні акції проводилися неодноразово, і з тих пір російські хакери встигли наслідити у Франції, Німеччині, Великобританії, Нідерландах та низці інших держав, включаючи Україну.

Почерк хакерів фахівці дізналися: черв'як вбудовувався в пакет оновлень програми і маскувався в ньому. Тим же способом була, наприклад, проведена атака проти України в 2017 році, спрямована проти фінансових організацій і об'єктів інфраструктури, включаючи НБУ, Харківський аеропорт, київський метрополітен і ЧАЕС.

Шкідливий код надав хакерам "бекдор" — точку опори в комп'ютерних мережах своїх цілей, яку вони потім використовували для отримання облікових даних. Після інкубаційного періоду тривалістю до двох тижнів вірус запускає і виконує команди, що включають можливість передачі файлів, завантаження комп'ютера, перезавантаження і редагування системи, а також відключення системних служб. При цьому шкідливе ПО здатне ідентифікувати антивірусні і ідентифікаційні програми — і ховатися від них.

Після злому, як встановили в Microsoft, зловмисники отримували права адміністратора і заводили собі нові облікові записи.

Так що не дивно, що ще в неділю CISA випустило надзвичайну директиву, в якій федеральним агентствам було наказано "негайно відключити порушені продукти SolarWinds Orion від своєї мережі або вимкнути їх".

Зараз развідспільнота і розробники софта намагаються реконструювати обставини злому, що, очевидно, буде нелегко, оскільки хакери ретельно замітали сліди. Зокрема, Microsoft взяла під свій контроль доменне ім'я, яке хакери використовували для зв'язку з системами, які постраждали від "оновлень" Orion.

Масштаби катастрофи ще належить встановити, але вже зараз очевидно, що це найбільший витік інформації з американських урядових мереж з часів злому Офісу управління персоналом в 2014 році, і він може стати для хакерів золотим дном внутрішньої інформації.

Проте, не дивлячись на масштаби прориву, американські експерти не схильні називати це проникнення кібератакою, вбачаючи в цій операції перш за все шпигунство з метою крадіжки інформації, а не диверсійну місію проти інфраструктурних та урядових об'єктів. Ця різниця, що не має значення для обивателя (злом — він і є злом), може виявитися принципово важливою з огляду на очевидні військові, політичні і, можливо, юридичні наслідки. Зрештою, шпигунство — публічно засуджується, але за замовчуванням прийнятна всіма державами практика отримання інформації. За нього можуть висилати дипломатів, судити осіб, дипломатичним імунітетом не захищених, і навіть стратити. Але акт агресії (в тому числі, в кіберпросторі) тягне за собою реакцію абсолютно іншого рівня аж до оголошення війни.

І тут США виявляються в непростій ситуації. З одного боку, цей злом з усією ймовірністю не був актом агресії. З іншого, зважаючи на зв'язки CozyBear з російськими державними структурами (фактично це такі ж проксі МО РФ, як ПВК Вагнера в реалі) і — як мінімум на символічному рівні — демонстрації можливості проведення диверсії, відповідь має виходити далеко за рамки встановлення осіб та кримінального переслідування конкретних хакерів. Таким чином, американську стратегію стримування в кіберпросторі, судячи з усього, чекає ревізія. Але коли вона піде, сказати важко: США все ще лихоманить в процесі транзиту влади. Тим часом, відповідати потрібно вже зараз.

    Реклама на dsnews.ua