Администрация Трампа в воскресенье сообщила, что действующие в интересах зарубежного государства хакеры взломали ряд важных государственных сетей, в том числе в министерствах финансов и торговли, и получили неограниченный доступ к их почтовой переписке. Скорее всего, это были хакеры российских разведывательных служб, о чем заявили государственные и частные эксперты.
По сообщению властей, началось расследование с целью определить, не пострадали ли другие органы государственной власти от одной из самых изощренных и масштабных за последние пять лет атак на федеральные системы. Некоторые источники заявляют, что попыткам взлома подверглись и ведомства национальной безопасности. Правда, неясно, хранились ли в пострадавших системах секретные материалы.
Публично администрация Трампа очень мало рассказывает об этом хакерском взломе. Он указывает на то, что в то время как правительство било тревогу по поводу российского вмешательства в выборы 2020 года, на самом деле коварным атакам подвергались ключевые ведомства американской администрации, не имеющие отношения к выборам и до последнего времени не знавшие о таких взломах.
«Правительство США знает об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией», — отметил в своем заявлении официальный представитель Совета национальной безопасности Джон Уллиот (John L. Ullyot). Агентство кибербезопасности Министерства внутренней безопасности, чей руководитель в прошлом месяце был отправлен в отставку по указанию Трампа за заявления об отсутствии масштабных фальсификаций на выборах, отметило в своем сообщении, что оно тоже участвует в этой работе.
Министерство торговли признало, что от взлома пострадал один из его департаментов, но называть его оно не стало. Похоже, это Национальное управление по телекоммуникациям и информации, которое занимается разработкой политики по вопросам интернета, включая составление стандартов и запреты на импорт и экспорт технологий, если такие поставки считаются угрозой национальной безопасности.
Мотивы взломщиков этого управления и Министерства финансов пока неясны, заявили два осведомленных источника. Один правительственный чиновник сказал, что пока еще слишком рано говорить о том, какой нанесен ущерб в результате взлома, и сколько материалов украдено. Но некоторые специалисты говорят, что атаки осуществлялись еще весной. То есть, они продолжались незаметно во время пандемии и предвыборного сезона.
За несколько дней до появления новостей о взломе, о котором сообщило агентство «Рейтер», Агентство национальной безопасности, отвечающее за проникновение в иностранные компьютерные сети и за защиту самых секретных систем национальной безопасности США, выступило с предостережением о том, что российские государственные организации используют изъяны в системах, которыми широко пользуется федеральное правительство.
В то время АНБ отказалось сообщить подробности о том, чем вызвано это срочное предостережение. Вскоре после этого ведущая фирма кибербезопасности «Файр Ай» (FireEye) объявила, что работающие на государство хакеры украли часть ее чрезвычайно ценных средств поиска уязвимостей в клиентских системах, в том числе, принадлежащих федеральному правительству. Расследование также указывает на Службу внешней разведки, являющуюся одним из ведущих в России разведывательных ведомств, которое занимается традиционным сбором разведывательной информации. Не менее часто оно называет хакерскую группировку Cozy Bear или A.P.T. 29.
Клиенты «Файр Ай», в число которых входят Министерство внутренней безопасности и разведывательные службы, наняли эту фирму для осуществления изощренных, но полезных проверочных взломов своих систем. Компания делает это, используя обширную базу данных различных приемов, которую она собирает по всему миру. У нее есть «красная команда», которая имитирует настоящих хакеров и при помощи своих инструментов ищет дыры в безопасности сетей. Так что хакеры, укравшие инструменты «Файр Ай», пополнили ими свой арсенал. Однако многое говорит о том, что «Файр Ай» далеко не единственная их жертва.
Следователи считают, что ведется глобальная хакерская кампания с участием взломщиков, которые вставляют свои коды в периодические обновления программ, используемых для управления сетями. Составляет эти обновления компания «Солар Уиндс» (SolarWinds). Ее продукция широко используется в корпоративных и федеральных сетях. Хакеры тщательно минимизируют вредоносные коды во избежание обнаружения.
Эта компания со штаб-квартирой в Остине, штат Техас, рассказывает, что у нее более 300 000 клиентов, в том числе, большая часть американских фирм из списка Fortune 500. Но неизвестно, какие из них используют платформу Orion, взломанную русскими хакерами, и все ли они пострадали от хакерского взлома.
Если российский след будет подтвержден, эту операцию можно будет назвать самой хитроумной кражей американской государственной информации с 2014-2015 года, когда российские разведслужбы получили доступ к несекретным системам электронной почты Белого дома, Госдепартамента и Объединенного комитета начальников штабов. На устранение ущерба ушли годы, но президент Трамп в то время решил не говорить, что это преступление совершили русские. Сейчас многие представители его администрации говорят, что это была ошибка.
Затем осмелевшая группа хакеров взломала системы Национального комитета Демократической партии и руководителей предвыборного штаба Хиллари Клинтон. Это положило начало череде расследований и породило страхи, которые сохранялись во время избирательных кампаний в 2016 и 2020 годах. Другое, еще более деструктивное разведывательное ведомство России ГРУ считают ответственным за публикацию украденной у НКДП электронной переписки.
«Похоже, у этой кампании было много жертв, как в государственном, так и в частном секторе, — говорит председатель аналитического центра по вопросам геополитики „Сильверадо Полиси Акселерейтор" (Silverado Policy Accelerator) Дмитрий Альперович (Dmitri Alperovitch), учредивший фирму кибербезопасности „Крауд Страйк" (CrowdStrike), которая четыре года назад помогла отыскать русские следы в системах НКДП. — Это похоже на действия данных сил в 2014-2015 годах, когда они провели масштабную кампанию и скомпрометировали множество жертв».
Россия относится к числу стран, которые также взламывают системы американских НИИ и фармацевтических компаний. Этим летом корпорация «Семантек» (Symantec) предупредила, что российская хакерская группа использует вызванные пандемией неожиданные изменения в характере работы американцев, и вводит вредоносные коды в корпоративные сети с небывалой скоростью и в огромных масштабах.
По данным следователей, изучающих частный сектор, атаки против «Файр Ай» привели к расширению охоты на хакеров, в результате чего удалось выяснить, что русские взломщики сумели проникнуть как в государственные федеральные, так и в частные сети. «Файр Ай», по словам официальных лиц, предоставила ключевые компоненты компьютерных кодов АНБ и «Майкрософт», которые начали поиск аналогичных атак против федеральных систем. В итоге на прошлой неделе прозвучало предостережение о чрезвычайной ситуации.
В основном хакеры крадут имена пользователей и пароли, но это был намного более сложный и коварный случай кражи. Проникнув в программное обеспечение сети управления компании «Солар Уиндс», русские сумели оставить там поддельные электронные ключи безопасности, которые указывают «Майкрософт», «Гугл» и прочим провайдерам на подлинность той компьютерной системы, с которой они устанавливают контакт. Используя уязвимость, которую очень трудно определить, хакеры сумели обмануть систему и проникнуть вовнутрь.
Непонятно, что именно им удалось оттуда изъять, но этот случай напоминает китайский взлом Управления кадров США, который длился год в 2014 и 2015 годах. Тогда было утрачено более 22 миллионов фалов допуска к секретной информации и более пяти миллионов отпечатков пальцев.
Оказалось, что это составная часть масштабной китайской кампании по сбору данных. В ее рамках китайцы украли данные в подразделении компании гостиничных сетей «Мэрриот» (Marriott) под названием «Старвуд Хотелс» (Starwood Hotels), базу данных страховой компании «Энтем» (Anthem) и информацию бюро кредитных историй «Эквифакс» (Equifax).
Русские более 20 лет крадут важные данные у правительства США, из-за чего оно было вынуждено создать в Пентагоне Кибернетическое командование, которое быстро расширяется, готовясь к ведению кибервойн. В середине 1990-х ФБР получило задачу провести расследование и изучить ряд сетей, включая системы Лос-Аламосской и Сандийской национальных лабораторий, которые занимаются проектированием ядерного оружия и другими вопросами.
По мнению некоторых экспертов, российская операция, которую вскоре начали называть «Лабиринт лунного света» (Moonlight Maze), на самом деле не заканчивалась. «Та деятельность, которая обозначена этим названием и включает российские кибероперации против широкого круга американских объектов, продолжается по сей день», — написал в 2016 году на сайте Фонда Карнеги Майкл Салмейер (Michael Sulmeyer), ныне работающий старшим советником в Кибернетическом командовании.
Свой материал для статьи предоставили Алан Раппепорт (Alan Rappeport), Мэгги Хаберман (Maggie Haberman), Джулиан Барнс (Julian Barnes) и Золан Канно-Янгс (Zolan Kanno-Youngs).