По мнению экспертов, российская операция «Лабиринт лунного света», на самом деле не закончилась.
Это была одна из самых изощренных и масштабных хакерских атак за последние пять с лишним лет. В министерствах финансов и торговли была взломана система электронной почты. Возможны и другие взломы. Ведется расследование, пишет Дэвид Сангер в The New York Times.
А дминистрация Трампа в воскресенье сообщила, что действующие в интересах зарубежного государства хакеры взломали ряд важных государственных сетей, в том числе в министерствах финансов и торговли, и получили неограниченный доступ к их почтовой переписке. Скорее всего, это были хакеры российских разведывательных служб, о чем заявили государственные и частные эксперты.
По сообщению властей, началось расследование с целью определить, не пострадали ли другие органы государственной власти от одной из самых изощренных и масштабных за последние пять лет атак на федеральные системы. Некоторые источники заявляют, что попыткам взлома подверглись и ведомства национальной безопасности. Правда, неясно, хранились ли в пострадавших системах секретные материалы.
Публично администрация Трампа очень мало рассказывает об этом хакерском взломе. Он указывает на то, что в то время как правительство било тревогу по поводу российского вмешательства в выборы 2020 года, на самом деле коварным атакам подвергались ключевые ведомства американской администрации, не имеющие отношения к выборам и до последнего времени не знавшие о таких взломах.
«Правительство США знает об этих сообщениях, и мы предпринимаем все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией», — отметил в своем заявлении официальный представитель Совета национальной безопасности Джон Уллиот. Агентство кибербезопасности Министерства внутренней безопасности, чей руководитель в прошлом месяце был отправлен в отставку по указанию Трампа за заявления об отсутствии масштабных фальсификаций на выборах, отметило в своем сообщении, что оно тоже участвует в этой работе.
Министерство торговли признало, что от взлома пострадал один из его департаментов, но называть его оно не стало. Похоже, это Национальное управление по телекоммуникациям и информации, которое занимается разработкой политики по вопросам интернета, включая составление стандартов и запреты на импорт и экспорт технологий, если такие поставки считаются угрозой национальной безопасности.
Мотивы взломщиков этого управления и Министерства финансов пока неясны, заявили два осведомленных источника. Один правительственный чиновник сказал, что пока еще слишком рано говорить о том, какой нанесен ущерб в результате взлома, и сколько материалов украдено. Но некоторые специалисты говорят, что атаки осуществлялись еще весной. То есть, они продолжались незаметно во время пандемии и предвыборного сезона.
За несколько дней до появления новостей о взломе, о котором сообщило агентство «Рейтер», Агентство национальной безопасности, отвечающее за проникновение в иностранные компьютерные сети и за защиту самых секретных систем национальной безопасности США, выступило с предостережением о том, что российские государственные организации используют изъяны в системах, которыми широко пользуется федеральное правительство.
В то время АНБ отказалось сообщить подробности о том, чем вызвано это срочное предостережение. Вскоре после этого ведущая фирма кибербезопасности «Файр Ай» (FireEye) объявила, что работающие на государство хакеры украли часть ее чрезвычайно ценных средств поиска уязвимостей в клиентских системах, в том числе, принадлежащих федеральному правительству. Расследование также указывает на Службу внешней разведки, являющуюся одним из ведущих в России разведывательных ведомств, которое занимается традиционным сбором разведывательной информации. Не менее часто оно называет хакерскую группировку Cozy Bear или A.P.T. 29.
Клиенты «Файр Ай», в число которых входят Министерство внутренней безопасности и разведывательные службы, наняли эту фирму для осуществления изощренных, но полезных проверочных взломов своих систем. Компания делает это, используя обширную базу данных различных приемов, которую она собирает по всему миру. У нее есть «красная команда», которая имитирует настоящих хакеров и при помощи своих инструментов ищет дыры в безопасности сетей. Так что хакеры, укравшие инструменты «Файр Ай», пополнили ими свой арсенал. Однако многое говорит о том, что «Файр Ай» далеко не единственная их жертва.
Следователи считают, что ведется глобальная хакерская кампания с участием взломщиков, которые вставляют свои коды в периодические обновления программ, используемых для управления сетями. Составляет эти обновления компания «Солар Уиндс» (SolarWinds). Ее продукция широко используется в корпоративных и федеральных сетях. Хакеры тщательно минимизируют вредоносные коды во избежание обнаружения.
Эта компания со штаб-квартирой в Остине, штат Техас, рассказывает, что у нее более 300 000 клиентов, в том числе, большая часть американских фирм из списка Fortune 500. Но неизвестно, какие из них используют платформу Orion, взломанную русскими хакерами, и все ли они пострадали от хакерского взлома.
Если российский след будет подтвержден, эту операцию можно будет назвать самой хитроумной кражей американской государственной информации с 2014-2015 года, когда российские разведслужбы получили доступ к несекретным системам электронной почты Белого дома, Госдепартамента и Объединенного комитета начальников штабов. На устранение ущерба ушли годы, но президент Трамп в то время решил не говорить, что это преступление совершили русские. Сейчас многие представители его администрации говорят, что это была ошибка.
Затем осмелевшая группа хакеров взломала системы Национального комитета Демократической партии и руководителей предвыборного штаба Хиллари Клинтон. Это положило начало череде расследований и породило страхи, которые сохранялись во время избирательных кампаний в 2016 и 2020 годах. Другое, еще более деструктивное разведывательное ведомство России ГРУ считают ответственным за публикацию украденной у НКДП электронной переписки.
«Похоже, у этой кампании было много жертв, как в государственном, так и в частном секторе, — говорит председатель аналитического центра по вопросам геополитики „Сильверадо Полиси Акселерейтор" (Silverado Policy Accelerator) Дмитрий Альперович, учредивший фирму кибербезопасности „Крауд Страйк" (CrowdStrike), которая четыре года назад помогла отыскать русские следы в системах НКДП. — Это похоже на действия данных сил в 2014-2015 годах, когда они провели масштабную кампанию и скомпрометировали множество жертв».
Россия относится к числу стран, которые также взламывают системы американских НИИ и фармацевтических компаний. Этим летом корпорация «Семантек» (Symantec) предупредила, что российская хакерская группа использует вызванные пандемией неожиданные изменения в характере работы американцев, и вводит вредоносные коды в корпоративные сети с небывалой скоростью и в огромных масштабах.
По данным следователей, изучающих частный сектор, атаки против «Файр Ай» привели к расширению охоты на хакеров, в результате чего удалось выяснить, что русские взломщики сумели проникнуть как в государственные федеральные, так и в частные сети. «Файр Ай», по словам официальных лиц, предоставила ключевые компоненты компьютерных кодов АНБ и «Майкрософт», которые начали поиск аналогичных атак против федеральных систем. В итоге на прошлой неделе прозвучало предостережение о чрезвычайной ситуации.
В основном хакеры крадут имена пользователей и пароли, но это был намного более сложный и коварный случай кражи. Проникнув в программное обеспечение сети управления компании «Солар Уиндс», русские сумели оставить там поддельные электронные ключи безопасности, которые указывают «Майкрософт», «Гугл» и прочим провайдерам на подлинность той компьютерной системы, с которой они устанавливают контакт. Используя уязвимость, которую очень трудно определить, хакеры сумели обмануть систему и проникнуть вовнутрь.
Непонятно, что именно им удалось оттуда изъять, но этот случай напоминает китайский взлом Управления кадров США, который длился год в 2014 и 2015 годах. Тогда было утрачено более 22 миллионов фалов допуска к секретной информации и более пяти миллионов отпечатков пальцев.
Оказалось, что это составная часть масштабной китайской кампании по сбору данных. В ее рамках китайцы украли данные в подразделении компании гостиничных сетей «Мэрриот» (Marriott) под названием «Старвуд Хотелс» (Starwood Hotels), базу данных страховой компании «Энтем» (Anthem) и информацию бюро кредитных историй «Эквифакс» (Equifax).
Русские более 20 лет крадут важные данные у правительства США, из-за чего оно было вынуждено создать в Пентагоне Кибернетическое командование, которое быстро расширяется, готовясь к ведению кибервойн. В середине 1990-х ФБР получило задачу провести расследование и изучить ряд сетей, включая системы Лос-Аламосской и Сандийской национальных лабораторий, которые занимаются проектированием ядерного оружия и другими вопросами.
По мнению некоторых экспертов, российская операция, которую вскоре начали называть «Лабиринт лунного света» (Moonlight Maze), на самом деле не заканчивалась. «Та деятельность, которая обозначена этим названием и включает российские кибероперации против широкого круга американских объектов, продолжается по сей день», — написал в 2016 году на сайте Фонда Карнеги Майкл Салмейер, ныне работающий старшим советником в Кибернетическом командовании.
Перевод: ИноСМИ
Подписывайтесь на наш Telegram-канал.