В Атках На Правительственные Агентства США подозревают российских хакеров

– Взлом являлся частью более крупной кампании, включающей взлом FireEye.

– SolarWinds утверждает, что хакеры внедрили уязвимость в программное обеспечение.

Правительственные учреждения США подверглись атаке во время одного из самых смелых взломов за последнее время, который был частью глобальной кампании. В ходе кибератаки в обновления программного обеспечения американской компании была внедрена уязвимость. В проведении кампании, которая также включала недавний взлом компании по кибербезопасности FireEye Inc, подозреваются хакеры, связанные с правительством России.

Агентство Reuters сообщило, что среди взломанных агентств было министерство внутренней безопасности, а также министерство финансов и торговли.

Сложная атака была нацелена на обновления широко используемого программного обеспечения от компании SolarWinds Corp. из Остина, штат Техас, которая продает технологические продукты списку чувствительных целей Who’s Who . К ним относятся Государственный департамент, Центры по контролю и профилактике заболеваний, Командование военно-морских информационных военных систем, ФБР, все пять подразделений вооруженных сил США и 425 корпораций из списка Fortune 500, согласно веб-сайту компании и правительственным данным.

В понедельник SolarWinds заявила в SEC, что до 18 000 клиентов могли подвергнуться кибератаке, в ходе которой хакеры «внедрили уязвимость в продукты мониторинга Orion». Компания сообщила, что уведомила соответствующих клиентов и обеспечила меры по снижению риска, включая исправление. Ожидается, что второе обновление будет выпущено 15 декабря, сообщила компания.

«SolarWinds все еще исследует, была ли успешно использована уязвимость в продуктах Orion и в какой степени», – говорится в заявлении. Продукция Orion составила 45% выручки компании за первые девять месяцев года.

Эта серия атак может считаться одной из самых худших за последнее время, хотя многое остается неизвестным, в том числе мотивы и масштабы взломов.

«Мы выявили глобальную кампанию, которая вводит компрометацию в сети государственных и частных организаций через цепочку поставок программного обеспечения», – сообщила FireEye в своём блоге поздно вечером в воскресенье, не называя конкретную группу взлома.

По словам людей, проинформированных компанией FireEye сообщила клиентам в воскресенье, что ей известно как минимум о 25 объектах, пострадавших от атаки.

Джон Уллит, представитель Совета национальной безопасности, заявил: «Правительство Соединенных Штатов осведомлено об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией».

Приказ о Проверке

Агентство по кибербезопасности и безопасности инфраструктуры США приказало всем федеральным гражданским агентствам проверить свои сети и немедленно отключить программные продукты SolarWinds Orion. Директива о чрезвычайной ситуации в Вашингтоне поздно вечером в воскресенье также запросила оценку этих агентств к полудню понедельника по восточному времени.

«Компрометация продуктов управления сетями Orion компании SolarWinds создает неприемлемые риски для безопасности федеральных сетей», – заявил исполняющий обязанности директора Брэндон Уэльс. «Сегодняшняя директива предназначена для смягчения потенциальных компромиссов в федеральных гражданских сетях, и мы настоятельно призываем всех наших партнеров в государственном и частном секторах оценить свою подверженность этой компрометации и обезопасить свои сети от любой эксплуатации».

Национальный центр кибербезопасности Великобритании также изучает возможные угрозы кампании. «NCSC работает в тесном сотрудничестве с FireEye и международными партнерами по этому инциденту», – сказал представитель в заявлении, отправленном по электронной почте. «Расследования продолжаются, и мы активно работаем с партнерами и заинтересованными сторонами, чтобы оценить любое влияние Великобритании».

Пресс-секретарь Кремля Дмитрий Песков отверг обвинения в причастности России, заявив: «Если атаки происходили в течение месяцев, и американцы ничего не могли с этим сделать, нет необходимости сразу же безосновательно обвинять во всем русских».

По данным FireEye, хакеры поражают организации по всему миру – в Северной Америке, Европе, Азии и на Ближнем Востоке и во многих секторах, включая правительство, технологии, консалтинг, телекоммуникации, а также нефть и газ. В компании считают, что этот список будет пополняться.

“Мастерство Высшего Уровня”

«Кампания демонстрирует высококлассные операционное мастерство и ресурсинг, которые соответствуют действиям спонсируемых государством субъектов угроз», – говорится в сообщении FireEye. «Основываясь на нашем анализе, мы определили несколько организаций, в которых мы видим признаки компрометации, начиная с весны 2020 года».

Все это говорит о том, что, поскольку в последние несколько месяцев правительство США было сосредоточено на обнаружении и противодействии возможному вмешательству России в президентские выборы в США – усилие, которое в целом считалось успешным, – подозреваемые российские хакеры незаметно прокладывали себе путь в компьютерные сети американских правительственных агентств и уязвимых корпоративных жертв.

«Если это кибершпионаж, то это одна из самых эффективных операций кибершпионажа, которые мы когда-либо видели», – сказал старший директор FireEye Джон Халтквист.

SolarWinds выпустила заявление, которое, похоже, подтверждает, что система обновления программного обеспечения для одного из ее продуктов использовалась для рассылки вредоносных программ клиентам.

«Нам известно о потенциальной уязвимости, которая если присутствует, сейчас считается связанной с обновлениями, выпущенными в период с марта по июнь 2020 года для наших продуктов мониторинга Orion. Мы считаем, что эта уязвимость является результатом изощренной, целенаправленной и ручной атаки на цепочку поставок со стороны государства », – заявил в воскресенье вечером президент и главный исполнительный директор SolarWinds Кевин Томпсон.

“Должным образом” Вовлечены

Томпсон сказал, что его компания работала над расследованием с ФБР и другими. ФБР заявило, что оно «вовлечено должным образом», отказавшись от дальнейших комментариев.

По словам двух человек, которые в курсе расследования, но попросили не называть их имени, поскольку информация не является публичной, похоже, что хакеры в первую очередь сконцентрировались на наиболее привлекательных и чувствительных целях, поэтому ущерб, причиненный жертвам, может сильно варьироваться.

Быстро расширяющееся расследование стало общественным достоянием 8 декабря, когда FireEye объявил, что он был взломан в результате очень сложной атаки, которую он приписал хакерам, поддержанным противниками США.

Поскольку расследование выявило цифровые следы злоумышленников, теперь выяснилось, что FireEye, возможно, просто была первой жертвой, обнаружившей или, по крайней мере, раскрывшей атаку. В настоящее время следователи правительства США стремятся определить, какие агентства также могли быть взломаны и в какой степени хакеры получили доступ к конфиденциальной информации – процесс, который может занять дни или недели.

FireEye заявила на прошлой неделе, что злоумышленники проявили крайнюю осторожность, чтобы не быть обнаруженными, и в этом случае им удалось украсть инструменты, которые фирма использует для проверки безопасности сетей своих клиентов. FireEye также заявил, что хакеры искали информацию, касающуюся государственных заказчиков, но, похоже, не трогали данные клиентов.

По словам человека, знакомого с деталями расследования, ФБР выясняет, не российская ли группа APT 29, также известная как Cozy Bear, осуществила атаку на FireEye, но бюро не исключает и других виновников, таких как Китай. Правительство США сообщило FireEye, что за атакой стоит Россия, но, по словам человека, знакомого с обсуждениями, компания по кибербезопасности не провела независимую проверку этого факта.

APT 29 – одна из российских хакерских групп, стоявших за кибератаками на Национальный комитет Демократической партии накануне президентских выборов 2016 года. В июле власти США и Великобритании также обвинили группу в проникновении в организации, участвующие в разработке вакцины против Covid-19.

Представитель Министерства торговли подтвердил, что «в одном из наших бюро», которое Reuters идентифицировало как Национальное управление по телекоммуникациям и информации, произошла утечка. Атаки были настолько тревожными, что в субботу в Белом доме собрался Совет национальной безопасности, сообщает Reuters. Министерство финансов не ответило на запросы о комментариях.

В последний раз правительство США было застигнуто врасплох пять лет назад, когда китайские хакеры украли информацию, касающуюся всех, кто подавал заявку или получал допуск национальной безопасности с компьютеров Управления кадров.

Это расследование длилось несколько месяцев, стоило некоторым официальным лицам США работы и привело к масштабным и дорогостоящим усилиям по повышению безопасности несекретных компьютерных сетей правительства США.

Эта атака и следующие несколько недель покажут, насколько эти меры были успешными.

Источник: https://www.bloomberg.com/news/articles/2020-12-14/u-s-government-agencies-attacked-by-hackers-in-software-update
Поделиться в соц. сетях

Оставьте комментарий