‘Одна из крупнейших атак’: российские хакеры взломали правительственные учреждения США

В результате одной из самых изощренных и, возможно, крупнейших атак за более чем пять лет были взломаны системы электронной почты в Департаменте финансов и торговли США. Другие нарушения расследуются, пишет The New York Times.

Фото: Shutterstock

В воскресенье, 13 декабря, администрация Трампа признала, что хакеры, действующие от имени иностранного правительства — почти наверняка российских спецслужб, по мнению федеральных и частных экспертов — взломали ряд ключевых правительственных сетей, в том числе в департаментах финансов и торговли, и получили доступы к их системам электронной почты.

Официальные лица заявили, что ведется расследование, чтобы определить, пострадали ли другие части правительства. Некоторые сообщили, что агентства, связанные с национальной безопасностью, также стали объектами нападений, хотя было неясно, содержат ли системы строго секретные материалы.

«Правительство Соединенных Штатов осведомлено об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией», — заявил пресс-секретарь Совета национальной безопасности Джон Уллит.

Агентство по кибербезопасности Департамента внутренней безопасности, руководитель которого был уволен Трампом в прошлом месяце за заявление об отсутствии широкомасштабных фальсификаций на выборах, сообщило, что его также вызвали для расследования.

По теме: ‘Самые разрушительные в истории’: США обвинили российских хакеров в кибератаках по всему миру

Департамент торговли признал, что одно из его агентств пострадало, не назвав его. Оказалось, что это Национальное управление по телекоммуникациям и информации, которое помогает определять политику в отношении проблем, связанных с Интернетом, включая установление стандартов и блокирование импорта и экспорта технологий, которые считаются угрозой национальной безопасности.

Поздно вечером 13 декабря Департамент внутренней безопасности отдал приказ всем агентствам прекратить любое использование сложного программного обеспечения для управления сетью, созданного компанией SolarWinds и установленного в сетях, принадлежащих государственным учреждениям и американским корпорациям. Приказ был настолько срочным, что давал крайний срок до полудня 14 декабря для «отчета о завершении», подтверждающего, что ПО больше не используется.

Но было явно слишком поздно для защиты от вторжений, которые продолжались месяцами. Злонамеренный код был введен, когда хакеры взломали автоматические обновления программного обеспечения. SolarWinds проследила эти вторжения до весны. Это означает, что хакеры имели полную свободу действий в течение большей части года, хотя неясно, сколько систем взломано.

Мотив нападения остается неясным, сказали два человека, знакомых с этим вопросом. Один правительственный чиновник сказал, что еще слишком рано говорить о том, насколько разрушительны были атаки и сколько материалов было утеряно.

Новости о взломе, о которых ранее сообщало агентство Reuters, появились менее чем через неделю после того, как Агентство национальной безопасности, которое отвечает за взлом иностранных компьютерных сетей и защиту наиболее чувствительных систем национальной безопасности США, выпустило предупреждение о том, что «российские субъекты, спонсируемые государством» воспользовались недостатками системы, широко используемой в федеральном правительстве.

В то время агентство не сообщило, что послужило поводом для срочного предупреждения. Вскоре после этого фирма FireEye, занимающаяся компьютерной безопасностью, которая впервые подняла тревогу по поводу российской кампании после того, как были взломаны ее собственные системы, объявила, что хакеры украли некоторые из ее ценных инструментов для поиска уязвимостей в системах ее клиентов, включая систему федерального правительства. Это расследование также указывало на СВР (Службу внешней разведки), одну из ведущих спецслужб России. Ее часто называют Cozy Bear или APT 29, и она известна как традиционный собиратель разведданных.

Клиенты FireEye, в том числе Департамент внутренней безопасности и спецслужбы, нанимают фирму для проведения изобретательных, но безопасных взломов их систем, используя обширную базу данных компании с методами, которые она использовала по всему миру. Ее инструменты «красной команды» — по сути, имитирующие настоящего хакера — используются для проверки системы безопасности. Так что хакеры, укравшие инструменты FireEye, пополнили свой арсенал. Но похоже, что FireEye не была их единственной жертвой.

Исследователи полагают, что глобальная кампания включала участие хакеров, которые вставляли свой код в периодические обновления программного обеспечения, используемого для управления сетями компанией SolarWinds. Его продукты широко используются в корпоративных и федеральных сетях, а вредоносное ПО было тщательно минимизировано, чтобы избежать обнаружения.

Компания, базирующаяся в Остине, штат Техас, сообщает, что у нее более 300 000 клиентов, в том числе большинство компаний из списка Fortune 500 страны. Но неясно, сколько из них используют платформу Orion, на которую вторглись российские хакеры, и все ли эти люди были мишенями.

Если связь с Россией будет подтверждена, это будет самый изощренный из известных случаев кражи данных американского правительства Москвой после двухлетнего периода 2014 и 2015 годов, когда российские спецслужбы получили доступ к несекретным системам электронной почты в Белом доме, Госдепартаменте и Объединенном комитете начальников штабов. На устранение ущерба потребовались годы, но президент Барак Обама в то время решил не называть русских виновными — шаг, который многие в его администрации теперь считают ошибкой.

Воодушевленная, та же группа хакеров продолжила вторжение в системы Национального комитета Демократической партии и высших должностных лиц кампании Хиллари Клинтон, вызвав расследования и опасения, которые пронизывали предвыборную гонку как 2016, так и 2020 годов. Другое, более деструктивное российское разведывательное агентство, ГРУ (Главное разведывательное управление), как полагают, несет ответственность за последующее обнародование взломанных электронных писем.

Россия была одной из нескольких стран, которые также взламывали американские исследовательские учреждения и фармацевтические компании. Этим летом Symantec Corporation предупредила, что российская группа программ-вымогателей воспользовалась внезапным изменением американских рабочих привычек из-за пандемии и внедряла код в корпоративные сети с невиданной ранее скоростью и масштабом.

Вам может быть интересно: главные новости Нью-Йорка, истории наших иммигрантов и полезные советы о жизни в Большом Яблоке – читайте все это на ForumDaily New York

Посольство России в Вашингтоне отрицает причастность Москвы к каким-либо хакерским атакам против правительства США. В заявлении посольства говорится, что Россия «не ведет наступательных операций в киберпространстве».

Большинство взломов связано с кражей имен пользователей и паролей, но это было гораздо более изощренно. После того, как они попали в программное обеспечение для управления сетью SolarWinds, русские, по словам исследователей, смогли вставить поддельные «токены», по сути, электронные индикаторы, которые дают Microsoft, Google или другим поставщикам уверенность в идентичности компьютерной системы, которую используют ее почтовые системы. Используя уязвимость, хакеры смогли обмануть систему и получить доступ незамеченными.

Неясно, что именно они добыли. Ситуация напоминает взлом китайской службы управления персоналом, который продолжался в течение года в 2014 и 2015 годах, в результате чего в конечном итоге было потеряно более 22 миллионов файлов допуска и более пяти миллионов отпечатков пальцев. Оказалось, что это было частью гораздо более обширных усилий Пекина по сбору данных, которые касались краж из подразделения Starwood Hotels компании Marriott, базы данных страхования Anthem и агентства кредитной информации Equifax.

История кражи Россией важных данных у правительства США насчитывает более двух десятилетий и привела к созданию Киберкомандования США. Еще в середине 1990-х годов ФБР было вызвано для расследования сетей, в том числе национальных лабораторий Лос-Аламоса и Сандиа, которые, помимо прочего, занимаются разработкой ядерного оружия.

По мнению некоторых экспертов, российская операция, вскоре получившая название «Лунный лабиринт», так и не закончилась.

«Деятельность, описываемая этим названием, — российские кибероперации против широкого круга американских целей — продолжается и по сей день», — написали Бен Бьюкенен, ныне работающий в Джорджтаунском университете, и Майкл Салмейер, ныне старший советник Киберкомандования США.

Читайте также на ForumDaily:

Семья вложила все свои средства в биткоин: как она живет спустя три года

Американского военного обвинили в передаче секретной информации россиянину

Почему наши иммигранты сталкиваются с проблемами в США: можно ли принимать это за русофобию

Взломать за несколько секунд: самые уязвимые пароли 2020 года

Хотите больше важных и интересных новостей о жизни в США и иммиграции в Америку? — Поддержите нас донатом! А еще подписывайтесь на нашу страницу в Facebook. Выбирайте опцию «Приоритет в показе» —  и читайте нас первыми. Кроме того, не забудьте оформить подписку на наш канал в Telegram  и в Instagram— там много интересного. И присоединяйтесь к тысячам читателей ForumDaily New York — там вас ждет масса интересной и позитивной информации о жизни в мегаполисе.