Головне російське розвідувальне агентство розпочало чергову кампанію зі зламу урядових, корпоративних і аналітичних центрів США, попередили представники Microsoft та експерти з кібербезпеки в неділю, лише через кілька місяців після того, як президент Байден ввів санкції проти Москви у відповідь на серія складних шпигунських операцій, які вона проводила по всьому світу. Про це повідомляє The New York Times.
Зусилля Москви «дуже великі, і вони тривають», — сказав в інтерв’ю Том Берт, один із провідних співробітників служби безпеки Microsoft. Урядові чиновники підтвердили, що операція, яка, очевидно, була спрямована на отримання даних, що зберігаються в хмарі, начебто виходила з SVR, російського розвідувального агентства, яке першим увійшло в мережі Національного комітету Демократичної партії під час виборів 2016 року.
Хоча Microsoft наполягала на тому, що відсоток успішних порушень був невеликим, вона не надала достатньо інформації для точного визначення тяжкості крадіжки.
Раніше цього року Білий дім звинуватив SVR у так званому злому SolarWinds , надзвичайно складній спробі змінити програмне забезпечення, яке використовується державними установами та найбільшими компаніями країни, надавши росіянам широкий доступ до 18 000 користувачів. Пан Байден сказав, що напад підірвав довіру до базових систем уряду і пообіцяв помститися як за вторгнення, так і за втручання у вибори. Але коли в квітні він оголосив про санкції проти російських фінансових установ і технологічних компаній, він пом’якшив ці санкції.
«Я зрозумів з президентом Путіним, що ми могли піти далі, але я вирішив цього не робити», – сказав пан Байден, зателефонувавши російському лідеру. «Зараз настав час деескалації».
Американські чиновники наполягають, що тип атаки, відноситься до категорії шпигунських дій, які великі держави регулярно проводять одна проти одної. Тим не менш, операція свідчить про те, що навіть хоча уряди двох країн заявляють, що вони регулярно зустрічаються для боротьби з програмним забезпеченням-вимагачем та іншими недугами епохи Інтернету, підрив мереж продовжується стрімкими темпами в гонці озброєнь, яка прискорилася, оскільки країни шукали дані про вакцину від Covid-19 і низку промислових та державних таємниць.
Читайте також: Як США посилюватимуть боротьбу з хакерами
«Шпигуни збираються шпигувати», – сказав Джон Халтквіст, віце-президент з аналізу розвідувальних даних Mandiant, компанії, яка вперше виявила атаку SolarWinds, у неділю на конференції Cipher Brief Threat Conference в Сі-Айленді, де зустрілися багато кіберекспертів та представників розвідки.
Неясно, наскільки успішною була остання хакерська атака. Microsoft заявила, що нещодавно повідомила понад 600 організаціям про те, що вони стали ціллю близько 23 000 спроб проникнення в їхні системи. Для порівняння, компанія заявила, що за останні три роки виявлено лише 20 500 цілеспрямованих атак з боку «всіх національних акторів». Microsoft заявила, що невеликий відсоток останніх спроб вдався, але не надала деталей і не вказала, скільки організацій було скомпрометовано.
Американські чиновники підтвердили, що операція, яку вони вважають звичайним шпигунством, триває. Але вони наполягали на тому, що якщо це було успішно, то значну частину провини несуть Microsoft і подібні постачальники хмарних послуг.
Високопоставлений чиновник адміністрації назвав останні атаки «невитонченими, звичайними операціями, які можна було б запобігти, якби постачальники хмарних послуг запровадили базові методи кібербезпеки».
«Ми можемо зробити багато речей, — сказав чиновник, — але відповідальність за впровадження простих методів кібербезпеки для блокування їхніх — і, відповідно, наших — цифрових дверей покладається на приватний сектор».
Урядові чиновники наполягають на тому, щоб помістити більше даних у хмару, оскільки там набагато легше захистити інформацію.
Але остання атака росіян, за словами експертів, була нагадуванням про те, що перехід у хмару не є рішенням, особливо якщо ті, хто керує хмарними операціями, використовують недостатній захист.
Microsoft заявила, що атака була зосереджена на її «торговельних посередниках», фірмах, які налаштовують використання хмари для компаній або наукових установ. Російські хакери, мабуть, підрахували, що якби вони могли проникнути до торговельних посередників, ці компанії мали б високий доступ до потрібних їм даних-будь то урядові електронні листи, оборонні технології чи дослідження вакцин.
Російська розвідка «намагалася відтворити підхід, який він використовував під час минулих атак, націлюючись на організації, що є невід’ємною частиною глобального ланцюга постачання інформаційних технологій», – сказав пан Берт. Цей ланцюжок поставок є основною метою хакерів російського уряду — і все частіше китайських хакерів, які намагаються відтворити найуспішніші російські методи.
У справі SolarWinds наприкінці минулого року, орієнтація на ланцюжок поставок означала, що російські хакери тонко змінили комп’ютерний код програмного забезпечення для управління мережами, яке використовується компаніями та державними установами, таємно вставляючи пошкоджений код саме тоді, коли він надсилався 18 000 користувачам.
Після того, як ці користувачі оновилися до нової версії програмного забезпечення — приблизно десятки мільйонів людей оновлюють iPhone кожні кілька тижнів — росіяни раптом отримали доступ до всієї своєї мережі.
Під час останньої атаки SVR використовував методи, більш схожі на грубу силу. Як описує Microsoft, вторгнення передусім передбачало розгортання величезної бази викрадених паролів під час автоматизованих атак, спрямованих на те, щоб російські урядові хакери проникли в хмарні сервіси Microsoft. Це складніша, менш ефективна операція — і вона працювала б, лише якби деякі з торговельних посередників хмарних сервісів Microsoft не нав’язали деякі методи кібербезпеки, яких компанія вимагала від них минулого року.
Microsoft заявила, що вона зробить більше для забезпечення виконання договірних зобов’язань своїх торговельних посередників щодо вжиття заходів безпеки.
«Росіяни шукають системного доступу», — сказав Крістофер Кребс, який керував Агентством кібербезпеки та безпеки інфраструктури в Департаменті внутрішньої безпеки, доки його минулого року не звільнив президент Дональд Дж. Трамп за оголошення про те, що вибори 2020 року відбулися. працювати чесно і без значних шахрайств. «Вони не хочуть намагатися зайти в рахунки один за іншим».
Федеральні чиновники кажуть, що вони виконують нові вимоги пана Байдена, щоб захистити країну від кіберзагроз, особливо відзначаючи широкі нові міжнародні зусилля з руйнації банд програм-вимагачів, багато з яких базуються в Росії. Маючи нову і набагато більшу команду високопоставлених чиновників, які наглядають за кіберопераціями уряду, пан Байден намагається внести зміни в систему безпеки, які мають значно ускладнити атаки, подібні до останньої.