ВАШИНГТОН — В четверг, через две недели после того, как президент Байден встретился с президентом России Владимиром Путиным и потребовал, чтобы тот принял меры против тех, кто совершает постоянные кибератаки на американские объекты, американские и британские спецслужбы раскрыли подробности того, что они назвали глобальной деятельностью российской военной разведки по проникновению в компьютерные сети правительственных организаций, компаний, выполняющих заказы министерства обороны, университетов и медиа-компаний.
В совместном докладе Агентства национальной безопасности (АНБ) и его британского аналога, известного как Центр правительственной связи (GCHQ), говорится, что операция, которую они назвали грубой, но широкомасштабной, «почти наверняка продолжается». Они идентифицировали российское разведывательное управление, или ГРУ, как ту же самую группу, которая взломала серверы Национального комитета Демократической партии и опубликовала электронную переписку, пытаясь повлиять на президентские выборы 2016 года в пользу Дональда Трампа.
Этот доклад, опубликованный в четверг, является попыткой разоблачить не какие-либо новые атаки, а методы, используемые российскими хакерам. Раскрытая информация включает многие страницы с техническими подробностями, позволяющими потенциальным объектам атак определить, что происходит взлом и проникновение в компьютерные сети. Многие действия ГРУ, включая попытку извлечения данных, хранящихся в облачных сервисах Microsoft Azure Cloud, уже были задокументированы частными компаниями, работающими в сфере кибербезопасности.
Но политическое значение этого доклада гораздо больше: то, прекратятся ли кибератаки, осуществляемые ГРУ, вполне может стать первой проверкой того, дошел смысл слов, сказанных Джо Байденом Владимиру Путину на саммите в Женеве. Во время встречи Байден вручил Путину список из 16 областей «критической инфраструктуры» США и заявил, что Соединенные Штаты не потерпят дальнейших кибератак со стороны России. Но он также призвал сократить общее количество атак, осуществляемых с российской территории.
«Мы выясним, помогают ли навести порядок достигнутые договоренности по кибербезопасности», — сказал Байден в конце встречи, всего через несколько минут после того, как Путин заявил, что крупнейшим источником кибератак во всем мире являются Соединенные Штаты, а не Россия. Байден также неоднократно заявлял, что он не уверен, что Путин отреагирует на предупреждение США или на ряд связанных с этим финансовых санкций, введенных против Москвы за последние пять лет.
По словам представителей администрации, Белый дом или спецслужбы не планировали публиковать этот доклад в качестве последующего мониторинга итогов саммита. На самом деле, по их словам, он был опубликован в рамках обычной практики АНБ, предупреждающего о наличии угроз государству. Как сказал официальный представитель АНБ Чарли Стадтландер (Charlie Stadtlander), доклад не был опубликован «в ответ на какие-либо недавние международные встречи».
Через несколько дней после саммита советник по национальной безопасности Джейк Салливан (Jake Sullivan) заявил, что для того чтобы определить, подействовало ли предупреждение, сделанное Путину, и привело ли к изменению поведения, возможно, потребуются месяцы. «Мы определим, действительно ли в течение следующих 6-12 месяцев сократится число осуществляемых с территории России атак на нашу критически важную инфраструктуру, — сказал он в эфире телеканала „Си-Би-Эс" (CBS). — Пока не попробуешь, не поймешь, так что мы увидим это в ближайшие месяцы».
Из данных, предоставленных АНБ, было неясно, сколько объектов атак со стороны ГРУ (также известного как Fancy Bear или APT 28), могут быть в списке объектов критической инфраструктуры, который ведет Агентство по кибербезопасности и инфраструктурной безопасности Министерства внутренней безопасности. Во время хакерских атак на избирательную систему в 2016 году избирательных систем, включая машины для голосования и систем регистрации, в этом списке не было, и они были в него внесены в последние дни пребывания у власти Обамы. Американские спецслужбы позже заявили, что кибератаки 2016 года одобрил непосредственно Путин.
Но в докладе АНБ в качестве основного объекта были указаны энергетические компании, и Байден специально упомянул их в своих переговорах с Путиным, отметив кибератаку вымогателей, которая привела к закрытию трубопровода в мае и к приостановке поставок бензина, дизельного топлива и авиатоплива на территории вдоль Восточного побережья. Эта атака была осуществлена не российским правительством, заявил тогда Байден, а скорее преступной группировкой, действующей с территории России.
В последние годы АНБ все более настойчиво приписывает кибератаки конкретным странам, особенно те из них, которые совершаются враждебными разведывательными службами. Но в декабре оно было застигнуто врасплох самой изощренной кибератакой на США за последние годы — взломом компьютерных систем компании «СоларУиндс» (SolarWinds), который затронул федеральные агентства и многие крупнейшие компании страны. В ходе этой атаки (которая, как позже заявило АНБ, была проведена СВР, конкурирующей российской разведывательной службой, созданной на основе разведуправления КГБ) был успешно изменен код в популярном программном обеспечении для управления сетями и, следовательно, и в компьютерных сетях 18 тысяч компаний и правительственных учреждений.
В методах, которые, по утверждению США, использовала российская разведывательная служба, нет ничего особенно и необычного. Эта служба не использовала специальных вредоносных программ или неизвестных эксплойтов. Вместо этого она использует распространенные вредоносные программы и самые простые методы, такие как лобовой метод распыления паролей, который основан на паролях, которые были украдены или «слиты», чтобы получить доступ к учетным записям.
Объекты недавних атак ГРУ в докладе указаны не были, но в нем говорится, что среди них были правительственные учреждения, политтехнологи, партийные организации, университеты и аналитические центры.
Судя по всему, целью этих атак является сбор разведданных и информации. Каким образом российские хакеры повреждали системы, АНБ не уточнило.
Последняя серия атак ГРУ осуществляется на протяжении относительно длительного времени — они начались в 2019 году и продолжаются в этом году.
Проникнув в сеть, хакеры ГРУ получали доступ к защищенным данным и электронной почте, а также к облачным сервисам, используемым организацией.
Делом рук этих хакеров был первоначальный взлом серверов Национального комитета Демократической партии в 2016 году, в результате чего были похищены и обнародованы документы с тем, чтобы дискредитировать предвыборный штаб и сорвать предвыборную кампанию Хиллари Клинтон (Hillary Clinton).
В четверг АНБ опубликовало список применявшихся ГРУ методов обхода защиты и эксфильтрации (изъятия, кражи) информации, чтобы помочь менеджерам по информационным технологиям выявлять и блокировать атаки хакерской группы.
Эта незамысловатость, шаблонность в работе хакеров, недостаточная проработка методов, означает, что эффективно блокировать атаки, осуществляемые с использованием «лобовых» методов, можно, предприняв довольно простые меры, такие как многофакторная аутентификация, блокировка по времени и временная блокировка учетных записей после ввода неверных паролей.