Кейсы 18 декабря 2020

Российских хакеров обвинили во взломе Минфина США. Кто пострадал и причем тут опять Россия?

Далее

WSJ сообщили, что российские хакеры взломали системы Минфина и министерства торговли США. Рассказываем подробнее про обе стороны конфликта и об ущербе, который нанесла атака.

Что произошло?

14 декабря стало известно, что якобы российские хакеры взломали системы Минфина США и Национального управления по телекоммуникациям и информации (NTIA) — подразделения министерства торговли США. Об этом сообщили источники Reuters и The Washington Post.

Команда изощренных хакеров, работающих предположительно на российское правительство, получила доступ к внутренним коммуникациям Министерства внутренней безопасности США. 

Цитата из материала Reuters

За атакой стоит группировка Cozy Bear (также известна как APT29), которую связывают с российскими спецслужбами, рассказали собеседники The Washington Post. Хакерам удалось получить доступ к электронной почте сотрудников ведомств. Предполагается, что это произошло еще весной 2020 года.

Эти же хакеры якобы взламывали системы госдепартамента и Белого дома во время президентства Барака Обамы. Журналисты заявили, что APT29 за неделю до этого атаковала фирму по кибербезопасности FireEye.

СМИ рассказали, что хакеры несколько месяцев отслеживали электронные письма сотрудников NTIA в результате взлома Microsoft Office 365. Предполагается, что это произошло весной 2020 года. Расследованием произошедшего занимается ФБР.

Один из источников Reuters рассказал, что взлом оказался серьезным, из-за него пришлось 12 декабря созвать собрание Совета национальной безопасности. Источники The New York Times назвали взлом одной из крупнейших атак на системы правительства США за последние пять лет.

Подробнее о группировке Cozy Bear, которую обвиняют в атаке

Это хакерская группировка, по мнению западных спецслужб, действует под эгидой ФСБ.

Cozy Bear основное внимание уделяет добыче информации, необходимой для принятия решений по внешней политике и обороне. Преимущественно жертвами группировки становятся правительства западных стран и связанные с ними организации: министерства, агентства, аналитические центры, исполнители государственных заказов.

Также их жертвами становились правительства стран-членов СНГ, Азии, Африки, Ближнего востока; организации, связанные с чеченскими сепаратистами, и русскоязычные торговцы наркотиками. По данным нидерландской Общей службы разведки и безопасности, за данной группировкой стоит Служба внешней разведки Российской Федерации.

Группировка имеет в своем арсенале широкий выбор инструментов — вредоносного программного обеспечения. В середине 2010-х можно наблюдать осуществления группировкой массированных операций адресного фишинга против сотен (иногда тысяч) корреспондентов из различных правительственных и связанных с ними организаций.

В дополнение к массированным атакам, группировка осуществляет операции меньшего масштаба, более точечные и с использованием другого набора инструментов. Жертвы этих узконаправленных операций на момент атак находились в поле зрения российского правительства по вопросам международных отношений и обороны.

Как была организована кибератака?

Кибератака, вероятно, произошла через обновления ИТ-компании SolarWinds, которая обслуживает в том числе правительство США. SolarWinds подтвердила, что ее обновления, выпущенные с марта по июнь 2020 года, могло использовать в своих целях «национальное государство».

Сперва Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило о том, что хакеры были хорошо подготовлены и обеспечены надлежащими ресурсами, поэтому их атака — «серьезная угроза» для правительства США, властей штатов и коммун, а также ключевой инфраструктуры и всего частного сектора. О точном числе компаний и государственных органов, подвергшихся кибератаке, равно как и похищенном объеме информации, пока неизвестно.

По информации Bloomberg, для нелегального доступа к критически важным структурам могли использовать не только платформу SolarWinds, но и другие объекты. Источники Reuters рассказали, что хакеры могли воспользоваться облачными сервисами Microsoft. Сама компания не выявила никаких признаков использования своих продуктов для атак на других пользователей, но признала, что нашла относящиеся исполняемые файлы SolarWinds в своей среде.

Кто пострадал от взлома?

Российские хакеры, взломавшие системы минфина и министерства торговли США, использовали для кибератаки программное обеспечение компании SolarWinds. Как сообщает WSJ, получить вредоносный код могли до 18 000 ее клиентов.

В результате акции SolarWinds обвалились на 24,64% за два дня торгов на этой неделе. Акции компании начали падать в понедельник, после известия о том, что хакеры использовали программное обеспечение компании для проникновения в системы Министерства финансов и Министерства торговли США.

Кроме того, атаке подверглась еще одна компания в сфере кибербезопасности — FireEye: у нее украли пакет программного обеспечения.

В результате хакеры, которых связывают с российскими спецслужбами, получили доступ к сети министерства внутренней безопасности США, сообщает агентство Reuters.

По их данным, несколько месяцев назад хакерам удалось взломать почтовый трафик Минфина и Национального управления по телекоммуникациям и информации (NTIA) США. Атака была настолько серьезной, что Совет национальной безопасности созывал экстренное заседание, которое прошло 12 декабря.

Подобные кибератаки уже были?

Российские хакеры не впервые применяют такую схему, отмечает WSJ. В 2017 году группировка, предположительно, связанная с Москвой, опробовала подобный метод на Украине. Тогда украинская компания-разработчик M. E. Docs сообщила, что ее ПО было использовано для распространения вируса Petya.A.

Как на обвинения отреагировала российская сторона?

Российские власти традиционно отвергают обвинения в кибератаках. Посольство России в США назвало публикации СМИ «очередными безосновательными попытками обвинить Россию в хакерских атаках». По его словам, Россия «не проводит „наступательных“ операций в виртуальной среде».

Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, ее национальным интересам.

Представители посольства России в США

Читать также

Посмотрите на самые красивые снимки «Хаббла». Что увидел телескоп за 30 лет?

В России создали прочный материал из мусора для покрытия дорог

В метеоритах находят внеземную жизнь. Что о ней известно и откуда она?