Залякування зі зломом. Як Америка відповість російським хакерам

Управління з кібербезпеки і безпеки інфраструктури США (CISA) в четвер виступило з повідомленням про великий комп'ютерний злом, заявивши, що він "становить серйозний ризик" для федерального уряду, урядів штатів і місцевих органів самоврядування, а також приватних компаній і організацій.

З часу перших повідомлень про злом урядових комп'ютерів адміністрація Трампа була небагатослівна, і публічної інформації про те, що трапилося, було небагато.

Але CISA, що входить в структуру Міністерства внутрішньої безпеки, в своїй доповіді представив широку картину того, що сталося. В Управлінні зазначили, що атака почалася приблизно в березні і триває досі. Це означає, що шкідливий софт, розміщений на комп'ютерах, все ще може збирати цінну інформацію. Причому його видалення буде "дуже складним і важким для організацій".

Експерти з кібербезпеки покладають відповідальність за цю атаку на російську Службу зовнішньої розвідки (СЗР). Проте адміністрація Трампа офіційно цього не заявляла, а Москва, як звичайно, заперечувала яку б то не було причетність до цього інциденту.

Після брифінгів, які американські розвідслужби провели для представників законодавчих зборів, сенатор-демократ Річард Блюменталь заявив, що інформація явно вказує на хакерську групу Cozy Bear, яка вже неодноразово відзначалася в подібних операціях, і яка або афілійована, або взагалі контролюється російською зовнішньою розвідкою.

"Російська кібератака викликала у мене глибоку тривогу, насправді прямо-таки переляк. Американці мають право дізнатися, що відбувається, — написав Блюменталь в одному з декількох твітів, пов'язаних зі зломом, і заявив, що буде домагатися розкриття більшого обсягу інформації.

Злякатися і справді було чого. Хоча хакери і не зуміли безпосередньо проникнути в комп'ютерні системи і бази даних уряду і держструктур через жорсткі протоколи безпеки і доступу до них, вони зуміли скористатися уразливим софтом, який поставляє уряду один з його ключових підрядників — компанія "Solar Winds", що є, крім іншого, розробником систем кібербезпеки.

В результаті, згідно з рядом повідомлень, на деякий (не розкриваються публічно) час енергетичний сектор США, включаючи атомні станції, виявилися під стороннім контролем.

Втім, в опублікованій в четвер заяві Міністерство енергетики хоч і визнало факт злому своїх комп'ютерних систем, домовилося про те, що, як показало його розслідування, "на даний момент" шкідливе ПО "ізольовано тільки в бізнес-мережах" і не вплинуло на виконання основних функцій міністерства, пов'язаних з безпекою держави, включаючи Національне управління ядерної безпеки ".

Крім того, до списку постраждалих державних структур входять Міністерство торгівлі, Міністерство внутрішньої безпеки, Пентагон, Міністерство фінансів, Поштова служба США і Національні інститути охорони здоров'я.

Хоча цілями злому були державні мережі, за словами представників уряду та експертів з кібербезпеки, шкідливим ПЗ, ймовірно, були також заражені комп'ютери тисяч приватних компаній і організацій. Це видається логічним зважаючи на широке розповсюдження програмного забезпечення SolarWinds.

У SolarWinds близько 300 тис. клієнтів, але компанія повідомила, що її продукт Orion, призначений для моніторингу комп'ютерних мереж, встановили менш 18 тис. абонентів, — по всій видимості, був зламаний саме він. Так чи інакше, серед жертв атаки виявилися консалтингові, технологічні, телекомунікаційні та інші компанії в Північній Америці, Європі, Азії і на Близькому Сході. Причому, як відзначають в компанії FireEye, що займається кібербезпекою, жертв ретельно відбирали: "Ці зломи не поширюються самі по собі, кожна з атак вимагає ретельного планування і ручного втручання".

Цей інцидент став останнім в довгому списку кібервторження росіян в інші країни. Багато держав звинувачують Росію у використанні хакерів, ботів і інших засобів. Мабуть, найбільшим з цих скандалів було звинувачення Москви в спробах вплинути на минулі президентські вибори в США — але аналогічні акції проводилися неодноразово, і з тих пір російські хакери встигли наслідити у Франції, Німеччині, Великобританії, Нідерландах та низці інших держав, включаючи Україну.

Почерк хакерів фахівці дізналися: черв'як вбудовувався в пакет оновлень програми і маскувався в ньому. Тим же способом була, наприклад, проведена атака проти України в 2017 році, спрямована проти фінансових організацій і об'єктів інфраструктури, включаючи НБУ, Харківський аеропорт, київський метрополітен і ЧАЕС.

Шкідливий код надав хакерам "бекдор" — точку опори в комп'ютерних мережах своїх цілей, яку вони потім використовували для отримання облікових даних. Після інкубаційного періоду тривалістю до двох тижнів вірус запускає і виконує команди, що включають можливість передачі файлів, завантаження комп'ютера, перезавантаження і редагування системи, а також відключення системних служб. При цьому шкідливе ПО здатне ідентифікувати антивірусні і ідентифікаційні програми — і ховатися від них.

Після злому, як встановили в Microsoft, зловмисники отримували права адміністратора і заводили собі нові облікові записи.

Так що не дивно, що ще в неділю CISA випустило надзвичайну директиву, в якій федеральним агентствам було наказано "негайно відключити порушені продукти SolarWinds Orion від своєї мережі або вимкнути їх".

Зараз развідспільнота і розробники софта намагаються реконструювати обставини злому, що, очевидно, буде нелегко, оскільки хакери ретельно замітали сліди. Зокрема, Microsoft взяла під свій контроль доменне ім'я, яке хакери використовували для зв'язку з системами, які постраждали від "оновлень" Orion.

Масштаби катастрофи ще належить встановити, але вже зараз очевидно, що це найбільший витік інформації з американських урядових мереж з часів злому Офісу управління персоналом в 2014 році, і він може стати для хакерів золотим дном внутрішньої інформації.

Проте, не дивлячись на масштаби прориву, американські експерти не схильні називати це проникнення кібератакою, вбачаючи в цій операції перш за все шпигунство з метою крадіжки інформації, а не диверсійну місію проти інфраструктурних та урядових об'єктів. Ця різниця, що не має значення для обивателя (злом — він і є злом), може виявитися принципово важливою з огляду на очевидні військові, політичні і, можливо, юридичні наслідки. Зрештою, шпигунство — публічно засуджується, але за замовчуванням прийнятна всіма державами практика отримання інформації. За нього можуть висилати дипломатів, судити осіб, дипломатичним імунітетом не захищених, і навіть стратити. Але акт агресії (в тому числі, в кіберпросторі) тягне за собою реакцію абсолютно іншого рівня аж до оголошення війни.

І тут США виявляються в непростій ситуації. З одного боку, цей злом з усією ймовірністю не був актом агресії. З іншого, зважаючи на зв'язки CozyBear з російськими державними структурами (фактично це такі ж проксі МО РФ, як ПВК Вагнера в реалі) і — як мінімум на символічному рівні — демонстрації можливості проведення диверсії, відповідь має виходити далеко за рамки встановлення осіб та кримінального переслідування конкретних хакерів. Таким чином, американську стратегію стримування в кіберпросторі, судячи з усього, чекає ревізія. Але коли вона піде, сказати важко: США все ще лихоманить в процесі транзиту влади. Тим часом, відповідати потрібно вже зараз.