Запугивание со взломом. Как Америка ответит российским хакерам

Управление по кибербезопасности и безопасности инфраструктуры США (CISA) в четверг выступило с сообщением о крупном компьютерном взломе, заявив, что оно "представляет серьезный риск" для федерального правительства, правительств штатов и местных органов самоуправления, а также частных компаний и организаций.

Со времени первых сообщений о взломе правительственных компьютеров администрация Трампа была немногословной, и публичной информации о случившемся было немного.

Но CISA, входящее в структуру Министерства внутренней безопасности, в своем докладе представило широкую картину происшедшего. В Управлении отметили, что атака началась примерно в марте и продолжается до сих пор. Это означает, что вредоносный софт, размещенный на компьютерах, все еще может собирать ценную информацию. Причем его удаление будет "очень сложным и трудным для организаций".

Эксперты по кибербезопасности возлагают ответственность за эту атаку на российскую Службу внешней разведки (СВР). Тем не менее администрация Трампа официально этого не заявляла, а Москва, по обыкновению, отрицала какую бы то ни было причастность к этому инциденту.

После брифингов, которые американские разведслужбы провели для представителей законодательного собрания, сенатор-демократ Ричард Блюменталь заявил, что информация явно указывает на хакерскую группу Cozy Bear, которая уже неоднократно отмечалась в подобных операциях, и которая либо аффилирована, либо вообще контролируется российской внешней разведкой.

"Российская кибератака вызвала у меня глубокую тревогу, на самом деле, прямо-таки испуг. Американцы имеют право узнать, что происходит, - написал Блюменталь в одном из нескольких твитов, связанных с взломом, и заявил, что будет добиваться раскрытия большего объема информации.

Испугаться и впрямь было чего. Хотя хакеры и не сумели напрямую проникнуть в компьютерные системы и базы данных правительства и госструктур ввиду жестких протоколов безопасности и доступа к ним, они сумели воспользоваться уязвимостями софта, который поставляет правительству один из его ключевых подрядчиков - компания "Solar Winds", являющаяся, помимо прочего, разработчиком систем кибербезопасности.

В результате, согласно ряду сообщений, на некоторое (не раскрываемое публично) время энергетический сектор США, включая атомные станции, оказались под сторонним контролем.

Впрочем, в опубликованном в четверг заявлении Министерство энергетики хоть и признало факт взлома своих компьютерных систем, оговорилось, что, как показало его расследование, "на данный момент" вредоносное ПО "изолировано только в бизнес-сетях" и не повлияло на выполнение основных функций министерства, связанных с безопасностью государства, включая Национальное управление ядерной безопасности".

Помимо этого, в список пострадавших государственных структур входят Министерство торговли, Министерство внутренней безопасности, Пентагон, Министерство финансов, Почтовая служба США и Национальные институты здравоохранения.

Хотя целями взлома были государственные сети, по словам представителей правительства и экспертов по кибербезопасности, вредоносным ПО, вероятно, были также заражены компьютеры тысяч частных компаний и организаций. Это представляется логичным ввиду широкого распространения программного обеспечения SolarWinds.

У SolarWinds около 300 тыс. клиентов, но компания сообщила, что ее продукт Orion, предназначенный для мониторинга компьютерных сетей, установили менее 18 тыс. абонентов, - по всей видимости, был взломан именно он. Так или иначе, среди жертв атаки оказались консалтинговые, технологические, телекоммуникационные и другие компании в Северной Америке, Европе, Азии и на Ближнем Востоке. Причем, как отмечают в занимающейся кибербезопасностью компании FireEye, жертв тщательно отбирали: "Эти взломы не распространяются сами по себе; каждая из атак требует тщательного планирования и ручного вмешательства".

Этот инцидент стал последним в длинном списке кибервторжений россиян в другие страны. Многие государства обвиняют Россию в использовании хакеров, ботов и других средств. Пожалуй, самым крупным из этих скандалов было обвинение Москвы в попытках повлиять на прошлые президентские выборы в США – но аналогичные акции проводились неоднократно, и с тех пор российские хакеры успели наследить во Франции, Германии, Великобритании, Нидерландах и ряде других государств, включая Украину.

Почерк хакеров специалисты узнали: червь встраивался в пакет обновлений программы и маскировался в нем. Тем же способом была, к примеру, проведена атака против Украины в 2017 году, направленная против финансовых организаций и объектов инфраструктуры, включая НБУ, Харьковский аэропорт, киевский метрополитен и ЧАЭС.

Вредоносный код предоставил хакерам "бэкдор" - точку опоры в компьютерных сетях своих целей, которую они затем использовали для получения учетных данных. После инкубационного периода длительностью до двух недель вирус запускает и выполняет команды, включающие возможность передачи файлов, загрузки компьютера, перезагрузки и редактирования системы, а также отключения системных служб. При этом вредоносное ПО способно идентифицировать антивирусные и идентифицирующие программы – и прятаться от них.

После взлома, как установили в Microsoft, злоумышленники получали права администратора и заводили себе новые учетные записи.

Так что неудивительно, что еще в воскресенье CISA выпустило чрезвычайную директиву, в которой федеральным агентствам было приказано "немедленно отключить затронутые продукты SolarWinds Orion от своей сети либо выключить их".

Сейчас разведсообщество и разработчики софта пытаются реконструировать обстоятельства взлома, что, очевидно, будет нелегко, поскольку хакеры тщательно заметали следы. В частности, Microsoft взяла под свой контроль доменное имя, которое хакеры использовали для связи с системами, пострадавшими от "обновлений" Orion.

Масштабы катастрофы еще предстоит установить, но уже сейчас очевидно, что самая крупная утечка информации из американских правительственных сетей со времен взлома Офиса управления персоналом в 2014 году, и она может стать для хакеров золотым дном внутренней информации.

Тем не менее, несмотря на масштабы прорыва, американские эксперты не склонны называть это проникновение кибератакой, усматривая в этой операции, прежде всего, шпионаж с целью кражи информации, а не диверсионную миссию против инфраструктурных и правительственных объектов. Это различие, не имеющее значения для обывателя (взлом – он и есть взлом), может оказаться принципиально важным ввиду очевидных военных, политических и, возможно, юридических последствий. В конце концов, шпионаж – это публично осуждаемая, но по умолчанию приемлемая всеми государствами практика добычи информации. За него могут высылать дипломатов, судить лиц, дипломатическим иммунитетом не защищенных, и даже казнить. Но акт агрессии (в том числе, в киберпространстве) влечет за собой реакцию совершенно другого уровня вплоть до объявления войны.

И здесь США оказываются в непростой ситуации. С одной стороны, этот взлом со всей очевидностью не был актом агрессии. С другой, ввиду связей CozyBear с российскими государственными структурами (фактически это такие же прокси МО РФ, как ЧВК Вагнера в реале) и — как минимум, на символическом уровне — демонстрации возможности проведения диверсии, ответ должен выходить далеко за рамки установления личностей и уголовного преследования конкретных хакеров. Таким образом, американскую стратегию сдерживания в киберпространстве, по всей видимости, ждет ревизия. Но когда она последует, сказать трудно: США все еще лихорадит в процессе транзита власти. Между тем, отвечать нужно уже сейчас.