Вашингтон — Масштабы хакерских операций, проведенных одним из главных разведывательных агентств России, прояснились в понедельник, 14 декабря, когда несколько чиновников администрации Трампа признали, что хакеры скомпрометировали системы нескольких федеральных агентств, включая Госдепартамент, Министерство внутренней безопасности и Пентагон. Следователи пытаются определить масштабы потерь, которые могли понести военное и разведывательное сообщества, а также лаборатории ядерных исследований в результате этой искусной хакерской атаки.
До недавнего времени чиновники Соединенных Штатов не знали об этой хакерской атаке, и им стало о ней известно лишь после того, как частная компания FireEye, специализирующаяся на обеспечении кибербезопасности, сообщила американской разведке, что хакерам удалось обойти несколько уровней защиты.
Было ясно, что Министерство финансов и Министерство торговли — первые министерства, сообщившие о совершенных на них хакерских атаках, — были лишь частью гораздо более масштабной операции, технологическая сложность которой поразила даже тех экспертов, которые последние 25 лет следили за атаками россиян на Пентагон и американские гражданские агентства.
Около 18 тысяч частных лиц и правительственных пользователей скачали некое сомнительное программное обновление — своего рода «троянского коня», — которое позволило хакерам проникнуть в системы жертв, о чем сообщает компания SolarWinds, чье программное обеспечение было скомпрометировано.
Среди тех, кто использует программное обеспечение SolarWinds, можно назвать Центры по контролю и профилактике заболеваемости, Госдепартамент США, Министерство юстиции и некоторые отделы Пентагона, а также целый ряд коммунальных предприятий. Хотя присутствие этого программного обеспечения само по себе не является доказательством того, что все эти сети были скомпрометированы и информация была украдена, в понедельник следователи потратили весь день на попытки оценить масштабы ущерба, который мог быть нанесен в результате кражи данных иностранными хакерами.
Агентство национальной безопасности — одна из основных разведывательных организаций Америки, которая сама проводит хакерские атаки против сетей иностранных государств и защищает агентства национальной безопасности от подобных атак, — очевидно, не знала о взломе программы сетевого мониторинга, разработанной компанией SolarWinds, пока фирма FireEye об этом не сообщила. Агентство национальной безопасности США тоже использует программное обеспечение SolarWinds.
Двум самым досадным хакерским атакам подверглись Пентагон и Министерство внутренней безопасности, чье Агентство по кибербезопасности и защите инфраструктуры руководило успешной защитой американской избирательной системой в ноябре.
Один правительственный чиновник, согласившийся рассказать подробности при условии сохранения анонимности, сообщил, что Министерство внутренней безопасности, призванное защищать гражданские государственные агентства и частный сектор, само стало жертвой сложной атаки. Между тем это министерство, которое часто призывает компании обязательно сообщать их клиентам, если их системы стали жертвами успешных хакерских атак, выступило с весьма туманным официальным заявлениям, в котором было сказано лишь следующее: «Министерству внутренней безопасности известно о сообщениях о взломе. В настоящее время мы расследуем это дело».
Некоторые отделы Пентагона тоже пострадали от этой атаки, о чем сообщил другой американский чиновник, тоже попросивший сохранить его имя в тайне. Он добавил, что масштабы ущерба пока неясны.
«Министерству обороны США известно об этих сообщениях, и в настоящее время оно оценивает масштабы воздействия», — отметил официальный представитель Пентагона Рассел Гёмэр (Russell Goemaere).
За последние несколько лет это уже второй случай, когда российские разведывательные службы взламывают системы электронной почты Госдепартамента США. Шесть лет назад чиновники приложили массу усилий, чтобы лишить российских хакеров доступа к их незасекреченным системам электронной почты, — порой им даже приходилось приостанавливать процесс взаимодействия с сотрудниками Госдепартамента, чтобы очистить систему.
На самом деле именно русские регулярно достигают наибольших успехов, хотя в данном случае пока неясно, с каких серверов Госдепартамента им удалось извлечь данные и в каком объеме. Представитель Госдепартамента отказался прокомментировать ситуацию.
Следователи также пытались выяснить, почему русские решили взломать системы Национального управления по телекоммуникациям и информации, которое помогает разрабатывать политику в области интернета, включая стандарты, а также меры по блокированию импорта и экспорта технологий, которые могут представлять угрозу для национальной безопасности. Но, по словам аналитиков, это агентство имеет дело с наиболее продвинутыми коммерческими технологиями, и именно оно определяет, какие из них можно продать странам-противникам, а в продаже каких из них необходимо отказать.
Практически все компании из списка Fortune 500, включая The New York Times, используют продукты компании SolarWinds для мониторинга своих сетей. Продукцию этой компании также использует и Лос-Аламосская национальная лаборатория, где ведется разработка ядерного оружия, а также крупные военные подрядчики, такие как компания Boeing.
Согласно первоначальным оценкам этой хакерской операции — считается, что ее осуществили сотрудники российской СВР, — хакеры тщательно продумывали, каких именно жертв они готовы были использовать для дальнейшего проникновения и кражи данных.
Хакеры внедрили свой вредоносный код в программу Orion, разработанную компанией SolarWinds, базирующейся в Остине, штат Техас. Представители компании сообщили, что 33 тысячи из 300 тысяч ее клиентов используют Orion, и только половина из них успела скачать вредоносное российское обновление. Как сообщила компания FireEye, несмотря на очень широкий охват, российские хакеры воспользовались доступом только к самым ценным мишеням.
«Мы считаем, что число тех систем, которые действительно были скомпрометированы, составляет несколько десятков, — сказал Чарльз Кармакал (Charles Carmakal), вице-президент FireEye. — Но все они были очень ценными целями».
В результате интервью с руководителями бизнеса и правительственными чиновниками, которые пытались оценить масштабы нанесенного ущерба, складывается картина сложной, тщательно продуманной атаки на программное обеспечение, которое позволяет отслеживать различные действия в системах компаний и правительственных агентств.
После четверти века хакерских атак на военно-промышленный комплекс — многие из них включали в себя попытки взломать пароли с помощью «грубой силы» и рассылку «фишинговых» сообщений, — эта операция российских хакеров выглядит иначе. Эта атака представляла собой «тот день, к которому мы все готовились», как сказала Сара Блум Раскин (Sarah Bloom Raskin), которая была заместителем министра финансов при администрации Обамы.
По словам следователей, российские хакеры использовали множество точек входа в дополнение к скомпрометированному обновлению программы Orion. Вполне возможно, это только начало того, что будет найдено позже.
По словам чиновников, обновления программы Orion компании SolarWinds не автоматические, и их часто проверяют, чтобы убедиться, что они не дестабилизируют существующие компьютерные системы.
В понедельник, 14 декабря, клиенты SolarWinds все еще пытались оценить масштабы воздействия российской хакерской операции.
Официальный представитель Министерства юстиций, которое тоже использует программное обеспечение SolarWinds, отказался прокомментировать ситуацию.
Представительница The New York Times Ари Исаакман Беваскуа (Ari Isaacman Bevacqua) сообщила, что «нашему отделу безопасности известно о недавних событиях, и он уже принимает соответствующие меры».
Чиновники военного ведомства и разведки отказались сказать, насколько широко используется программа Orion в их организациях и было ли произведено обновление этих систем с использованием вредоносного кода, который мог предоставить российским хакерам доступ к ним.
Однако, если правительство не знало об уязвимости программного обеспечения SolarWinds или не держало эту информацию в тайне — оно иногда так поступает в процессе разработки наступательного кибероружия, — у него было мало причин для того, чтобы не устанавливать обновление. Сейчас нет никаких доказательств того, что чиновники правительства специально скрывали информацию об уязвимостях в программах компании SolarWinds.
В воскресенье, 13 декабря, Агентство по кибербезопасности и защите инфраструктуры выступило со срочным предписанием, адресованным федеральным агентствам, в котором говорилось о необходимости «отключить» программное обеспечение SolarWinds. Однако это позволит лишь предотвратить новые вторжения. По словам экспертов из FireEye, это не поможет выкорчевать российских хакеров, которые уже создали собственные «черные ходы», уже имитировали реальных пользователей электронной почты и обманули электронные системы, которые должны осуществлять аутентификацию пользователя.
«Подобная атака на цепочку поставок — это очень дорогостоящая операция. Чем больше вы используете эти методы, тем выше вероятность, что вас поймают, — сказал Джон Халтквист (John Hultquist), один из руководителей FireEye. — У них была возможность нанести удар по огромному количеству мишеней, но они также понимали, что, если они зайдут слишком далеко, они потеряют этот уникальный доступ».
В понедельник руководители крупнейших американских коммунальных предприятий провели срочный конференц-звонок, чтобы обсудить ту угрозу, которой подвергаются электроэнергетические сети из-за скомпрометированного программного обеспечения SolarWinds.
Для Агентства национальной безопасности и его директора генерала Пола Накасоне (Paul M. Nakasone), который также возглавляет Киберкомандование вооруженных сил США, эта хакерская операция стала одним из самых серьезных кризисов за время его работы на этой должности. Он был назначен на этот пост три года назад, поскольку он был одним из самых опытных и надежных экспертов в области кибервойн, и он пообещал Конгрессу, что он заставит тех, кто совершает атаки на Соединенные Штаты, заплатить высокую цену.
Во время слушаний по утверждению его кандидатуры он заявил, что киберпротивники Соединенных Штатов «не боятся нас» и что необходимо срочно повысить издержки, взломав иностранные компьютерные системы, осуществив атаки на системы российского Агентства интернет-исследований и отправив предупредительные выстрелы в сторону известных российских хакеров.
Генерал Накасоне сосредоточился в первую очередь на защите американской избирательной инфраструктуры, что позволило достичь значительных успехов во время президентских выборов 2020 года. Однако теперь стало ясно, что мишенями этой тщательно спланированной атаки стали гражданские агентства и агентства национальной безопасности, и генералу придется ответить, почему именно частные компании — а не многомиллиардные предприятия, которыми он управляет из Форт-Мида, штат Мэриленд, — первыми подняли тревогу.
По словам аналитиков, сейчас трудно сказать, что хуже — что российские разведывательные агентства вновь нанесли неожиданный удар по американскому федеральному правительству, или что Белый дом ничего не сказал, когда об этом стало известно.
Ясно одно: хотя президент Дональд Трамп жаловался на хакерскую атаку, которой не было, — на мнимые манипуляции с голосами избирателей на выборах, которые он однозначно проиграл, — он ничего не сказал о том, что русские взломали системы Министерства финансов Соединенных Штатов.
Сейчас правительственные агентства стараются выяснить масштабы и суть проблемы, имея лишь ограниченную видимость. Отключив программу компании SolarWinds — им пришлось сделать это, чтобы защититься от новых вторжений, — многие агентства утратили возможность осуществлять наблюдение за собственными сетями.
«Они работают вслепую», — сказал Бен Джонсон (Ben Johnson), бывший хакер Агентства национальной безопасности, который сейчас занимает должность технического руководителя в компании Obsidian.