Выступая в начале прошлого года на ужине, организованном для руководителей служб технической безопасности, глава службы киберобороны Соединенных Штатов похвастался тем, насколько хорошо его организация защищает страну от шпионов.
«Наши спецкоманды понимают противника лучше, чем он сам понимает себя», – заявил тогда глава киберкомандования США генерал Пол Накасоне. А пока он говорил, хакеры внедряли в сеть SolarWinds свой вредоносный код. Вслед за этим приступили к реализации масштабной спецоперации, которая позволила им проникнуть в самое сердце американских федеральных ведомств и многочисленных компаний по всему миру.
13 декабря агентство Reuters опубликовало сообщение о о получении «связанными с Россией» хакерами доступа к электронной почте минфина и минторга. Следом официальные лица заявили о заражении вредоносными программами по крайней мере пяти государственных структур и тысяч компаний. Госсекретарь Майк Помпео выступил с утверждением, что за нападением стоит Россия; Россия свою причастность отвергла. Громкие заявления прозвучали в разгар и без того как никогда конфликтной смены президентской власти. Многое остается неизвестным, включая мотивы кибератаки и ее конечную цель: по словам представителей властей, не понятно, какая информация была похищена и что потребуется сделать для возмещения нанесенного ущерба.
Агентство национальной безопасности и министерство внутренней безопасности выпустили технические рекомендации, как действовать в сложившейся ситуации.
Что известно о крупнейшем в истории взломе
Первые сообщения о взломе появились, когда компания FireEye, занимающаяся кибербезопасностью, сообщила, что сама стала жертвой кибератак, за предотвращение которых ей и платят деньги. Поначалу все воспринималось как непрофессионализм FireEye. Но взломы поставщиков средств ИТ-безопасности особенно опасны, поскольку их инструменты зачастую глубоко проникают в компьютерные системы клиентов. В ФБР заявили, что на FireEye обрушилась чрезвычайно мощная атака и ее собственные проблемы – вероятно, только верхушка айсберга.
Обнаружилось, что в основе атак лежит так называемая компрометация цепочки поставок и внедрение вредоносного кода в обновления ПО. Как напомнили эксперты, в 2017 году хакеры, якобы связанные с Россией, использовали этот метод для вывода из строя компьютерных систем частных компаний и госструктур в Украине. Вредоносный код, спрятанный в популярной бухгалтерской программе, использовался для запуска вируса NotPetya. Вредоносная программа быстро распространилась на компьютеры в десятках других стран.
В данном случае использовалась аналогичная техника. Компания SolarWinds сообщила, что ее обновления ПО были скомпрометированы и использовались для тайной установки вредоносного кода почти в 18 тыс. клиентских систем. Программное обеспечение для управления сетью SolarWinds Orion используется сотнями тысяч организаций. Будучи уставновленной, вредоносная программа сообщала хакерам о своем местонахождении. В некоторых случаях, когда получение доступа выглядело особенно ценным, хакеры использовали его для развертывания более агрессивных вредоносных программ. Иногда они обращались к привилегиям администратора SolarWinds для доступа к облачной платформе Microsoft Azure и благодаря этому к неограниченному и длительному доступу к электронной почте и документам организаций. Хакеры могли похищать документы через приложения Microsoft Office 365. Дошло до того, что в Microsoft обнаружили вредоносный код даже в своих собственных системах.
Как и когда было впервые скомпрометировано программное обеспечение SolarWinds, пока неизвестно. По всей видимости, все началось в октябре 2019 года.
Чем ответит Белый дом
В Сенате спорят, считать ли произошедшее масштабным актом кибершпионажа или «фактическим объявлением войны», и заявляют, что Америка должна ответить на атаку, и не только санкциями. Джо Байден пообещал, что виновные «дорого заплатят за совершенное».
В Конгрессе утверждают, что укрепление как государственных, так и частных сетей должно стать приоритетной задачей для администрации нового президента США. В адрес американских спецслужб все чаще звучат обвинения в том, что они заинтересованы прежде всего в наступательных кибеоперациях, а не в защите правительственной инфраструктуры. Что касается защиты, по мнению некоторых экспертов, десятилетия денежных вливаний, регистрации патентов и прочих усилий ничего не изменили, а отставание оборонного потенциала оказалось гораздо более драматическим, что и выявил взлом SolarWinds. еще более существенным. Главным приоритетом властей должно стать кардинальное изменение ситуации с киберзащитой.