быстрый поиск:

переводика рекомендует  
Война и Мир
Терра Аналитика
Усадьба Урсы
Хуторок
Сделано у нас, в России!
ПОБЕДИТЕЛИ — Солдаты Великой Войны
Вместе Победим
Российская газета
 
опубликовано редакцией на Переводике 06.01.21 01:19
скаут: Игорь Львович; переводчик Игорь Львович;
   
 

По мере того, как растет понимание масштабов российского кибервторжения, растет и тревога

Те, кто стоял за широкомасштабным нападением на  правительственные и корпоративные сети, использовали щели на стыках блоков американской киберзащиты и ничем  не  выдали  себя  контролирующим  эти блоки  системам.

Legal prohibitions on the National Security Agency bar it from surveilling networks inside the United States.

Юридические запреты запрещают  Агентству национальной безопасности осуществлять наблюдение за сетями внутри Соединенных Штатов.  Credit. T.J. Kirkpatrick for The New York Times

By David E. Sanger, Nicole Perlroth and Julian E. Barnes

  • Jan. 2, 2021

В день выборов,  генерал Пол М. Накасоне, главный кибервоин страны, сообщил, что борьба с российским вмешательством в президентскую кампанию увенчалась  успехом  и позволила  выявить и идентифицировать  онлайн-оружие, инструменты и методы  работы  применявшиеся  другой стороной.

«Мы нарастили   масштабы  наших операций  и отлично  чувствуем  себя в  этом  положении», - сказал он журналистам.

Восемь недель спустя генерал Накасоне и другие американские официальные лица, ответственные за кибербезопасность, теперь поглощены тем, что ускользало  от  их  внимания  как минимум девять месяцев: взломом, который, как теперь считается, затронул свыше  250 федеральных агентств и коммерческих  предприятий, и которым   Россия нацелилась  не  только  на избирательную систему  но и  на  правительственные  структуры  Соединенных Штатов и многие крупные американские корпорации.

Спустя три недели после того, как о вторжении стало известно, американские официальные лица все еще пытаются понять, было ли то, что осуществили русские, просто шпионской операцией внутри систем американской бюрократии или чем-то более зловещим, оставившим  «потайные входы» в правительственные учреждения, крупные корпорации, электросети и лаборатории, разрабатывающие  ядерное оружие нового поколения.

Это,  как минимум,  вызвало тревогу об уязвимости  для  атак  государственных и частных сетей в Соединенных Штатах  и подняло вопросы о том, как и почему национальная киберзащита  потерпела такой эпический провал.

Эти вопросы приобрели особую актуальность, учитывая, что  вторжение не было обнаружено ни одним из правительственных агентств, которые разделяют ответственность за киберзащиту - военными  Киберкомандованием и Агентством национальной безопасности, оба из которых находятся в ведении генерала Накасоне, и Министерством  (внутренней) национальной  безопасности,  а частной компанией  кибербезопасности FireEye.

«Это выглядит намного, намного хуже, чем я первоначально опасался», - сказал сенатор Марк Уорнер, демократ от Вирджинии и высокопоставленный член сенатского комитета по разведке. «[Обнаруживаемые] Масштабы  [вторжения] продолжают увеличиваться. Ясно, что правительство Соединенных Штатов прошляпило  его».

«И если бы FireEye не выступила  с заявлением, - добавил он, - я не уверен, что мы бы  знали об  этом   сегоднях».

Интервью с ключевыми игроками, расследующими то, что спецслужбы считают операцией российской разведки СВР, выявили следующие моменты:

  • Вторжение намного масштабнее, чем предполагалось ранее. По первоначальным оценкам, Россия запустила свои щупальца только в те  несколько десятков из 18 000 государственных и частных сетей, к которым они получили доступ, когда вставили код в программное обеспечение для управления сетью, созданное техасской компанией SolarWinds. Но по мере того, как такие компании, как Amazon и Microsoft, которые предоставляют облачные сервисы, копают все глубже в поисках доказательств, теперь выясняется, что Россия использовала  многоуровневую систему управления “цепочками поставок”, чтобы получить доступ  аж  к   250 сетям.

  • Хакеры осуществили вторжение  с серверов в Соединенных Штатах, чтобы используя юридический запрет Агентству национальной безопасности на участие во внутреннем слежении  уклониться  от средств киберзащиты, развернутых Министерством внутренней безопасности.

  • Датчики «раннего предупреждения», размещенные киберкомандованием и Агентством национальной безопасности глубоко внутри иностранных сетей для обнаружения назревающих атак, явно не сработали. Также пока нет никаких указаний на то, что какой-либо агент  предупредил Соединенные Штаты о взломе.

  • Акцент правительства на защите  выборов, хотя и имеет решающее значение в 2020 году, возможно, отвлек ресурсы и внимание от давно назревших проблем, таких как защита «цепочек поставок» программного обеспечения. В частном секторе компании, которые были сосредоточены на безопасности выборов, такие как FireEye и Microsoft, теперь раскрывают, что они были взломаны в рамках более крупной атаки на цепочку поставок.

  • SolarWinds, компания, которую хакеры использовали в качестве канала для своих атак, в прошлом имела слабую безопасность своих продуктов, что, по словам нынешних и бывших сотрудников и государственных следователей делало ее легкой мишенью. Ее генеральный директор Кевин Б. Томпсон, который уходит с работы через 11 лет, уклонился от вопроса о том, должна ли была  его компания обнаружить вторжение.

  • Часть скомпрометированного программного обеспечения SolarWinds была спроектирована в Восточной Европе, и в настоящее время американские следователи выясняют,  не  произошло ли вторжение там, где  были  внедрены  сотрудники российской разведки.

Цели  вторжения остаются неясными. Но учитывая то что  через три  недели  к  власти  придет новая  администрация,  некоторые аналитики говорят, что русские, возможно, пытаются поколебать уверенность Вашингтона в безопасности своих коммуникаций и продемонстрировать свой киберарсенал, чтобы получить рычаги воздействия на избранного президента Джозефа Р. Байдена-младшего перед переговорами по ядерному оружию. 

«Мы до сих пор не знаем, каковы были стратегические цели России», - сказала Сюзанна Сполдинг, которая была старшим кибер-чиновником Министерства внутренней безопасности при администрации Обамы. «Но нам нужно беспокоиться о  том, что часть этого может выйти за рамки разведки. Их цель может заключаться в том, чтобы получить рычаги влияния на новую администрацию, например, приставить пистолет к нашей голове, чтобы удержать нас от действий, направленных против Путина».

The Commerce Department, and the Treasury Department, the State Department, the Commerce Department, the Energy Department and parts of the Pentagon, was a target of the breach.

Целями  взлома были министерство торговли, министерство финансов, государственный департамент, министерство энергетики и некоторые подразделения Пентагона.  Credit. Alyssa Schukar for The New York Times

Растущий список проникновений

Главной  целью  атаки  совершенно  явно  было  правительство США, -   подтверждено, что хакеры  проникли  в  Министерство финансов, Государственный департамент, Министерство торговли, Министерство энергетики и некоторые подразделения Пентагона. (Министерство обороны настаивает на том, что атаки на его системы не увенчались успехом, но не представило никаких доказательств.)

Но взлом также затронул большое количество корпораций, многие из которых еще не сделали шаг вперед. SolarWinds считается одним из нескольких поставщиков в  “цепочках доставок”  которые Россия использовала для взлома. Microsoft, которая насчитала 40 жертв по состоянию на 17 декабря, сначала заявила, что взлома не было, но на этой неделе обнаружила, что все таки был  - и вторичных продавцов  ее программного обеспечения тоже. Ранее не сообщавшаяся оценка  сделанная   группой  безопасности компании Amazon указывает, что число жертв может  быть в пять раз больше, хотя официальные лица предупреждают, что некоторые из них могут быть учтены дважды.

Официально государственные чиновники  заявили, что не верят, что хакеры из СВР России взломали секретные системы, содержащие конфиденциальные сообщения и планы. Но в частном порядке они, что у них до сих пор нет четкого представления о том, что могло быть украдено.

Они сказали, что их беспокоят несекретные, но деликатные  данные, которые хакеры могли получить от таких жертв, как Федеральная комиссия по регулированию энергетики, включая Black Start, подробные технические чертежи того, как Соединенные Штаты планируют восстановить электроэнергию в случае катастрофического отключения электроэнергии.

В планах России будет составлен список систем, на которые нужно нацелить, чтобы предотвратить восстановление электроэнергии в результате атаки, подобной той, которую она осуществила на Украине в 2015 году, отключив электричество на шесть часов в разгар зимы. Москва давно внедрила вредоносное ПО в американские электросети, а Соединенные Штаты,  в качестве сдерживающего фактора, сделали то же самое с Россией 

Скомпрометированы  “цепочки доставки”

Одним из основных направлений расследования до сих пор была компания SolarWinds, базирующаяся в Остине, чье программное обеспечение обновляет хакеры.

Но отдел кибербезопасности Министерства внутренней безопасности пришел к выводу, что хакеры работали и по другим каналам . А на прошлой неделе CrowdStrike, другая компания занимающаяся  кибербезопасностью, сообщила, что она также была безуспешно атакована теми же хакерами, но через компанию, которая занимается перепродажей программного обеспечения Microsoft.

Поскольку  перекупщикам  часто поручают настраивать клиентское программное обеспечение, они, как и SolarWinds, имеют широкий доступ к сетям клиентов Microsoft. В результате они могут стать идеальным троянским конем для российских хакеров. Представители разведки выразили недовольство тем, что Microsoft не обнаружила атаку раньше; компания  сообщила в четверг, что хакеры просмотрели ее исходный код, но  не раскрыла, какие из ее продуктов были затронуты и как долго хакеры находились в ее сети.

«Они были нацелены на самые слабые места в цепочке поставок и через наши самые надежные отношения», - сказал Гленн Чисхолм, основатель Obsidian Security.

SolarWinds, the company most directly exploited by the hackers, had a history of lackluster security for its own products, making it an easy target, according to its employees.

SolarWinds, компания, которая наиболее активно использовалась хакерами, в прошлом имела слабую  защиту  своих собственных продуктов, что, по словам ее сотрудников, делало ее легкой мишенью. Credit.   Sergio Flores/Reuters

Интервью с нынешними и бывшими сотрудниками SolarWinds показывают, что компания  не спешила делать безопасность приоритетом, даже несмотря на то, что ее программное обеспечение было принято  на  вооружение  ведущей американской компанией по кибербезопасности и федеральными агентствами.

Сотрудники говорят, что под руководством г-на Томпсона, бухгалтера по образованию и бывшего финансового директора, каждая часть бизнеса была проверена на предмет экономии, и общие методы безопасности были исключены из-за их расходов. Его подход помог почти утроить годовой доход SolarWinds  с  152 миллионов долларов в 2010 году   до более чем 453 миллионов долларов в 2019 году.

Но некоторые из этих мер могли подвергнуть компанию и ее клиентов большему риску атак. SolarWinds переместила большую часть своего проектирования во  вспомогательные офисы в Чешской Республике, Польше и Беларуси, где инженеры имели широкий доступ к программному обеспечению для управления сетью Orion, которое взломали российские агенты.

Компания только заявила, что манипулирование ее программным обеспечением было делом рук хакеров, а не компьютерной программы. Он не рассматривал публично возможность участия инсайдера в нарушении.

Ни один из клиентов SolarWinds, с которыми в последние недели связалась The New York Times, не знал, что они полагаются на программное обеспечение, поддерживаемое в Восточной Европе. Многие заявили, что до недавнего времени даже не знали, что используют программное обеспечение SolarWinds.

По словам сотрудников, даже при том, что ее программное обеспечение установлено во всех федеральных сетях, SolarWinds взялась за безопасность только в 2017 году под угрозой наказания в соответствии с новым европейским законом о конфиденциальности. Только тогда, по словам сотрудников, SolarWinds наняла своего первого директора по информационным технологиям и назначила вице-президента по «архитектуре безопасности».

Ян Торнтон-Трамп, бывший советник по кибербезопасности в SolarWinds, сказал, что он предупреждал руководство в том году, что, если оно не проявит более проактивный подход к своей внутренней безопасности, то  происшествие в  сфере  кибербезопасности будет «катастрофическим». После того как его основные рекомендации были проигнорированы, Торнтон-Трамп покинул компанию.

SolarWinds отказалась отвечать на вопросы об адекватности своей безопасности. В заявлении говорится, что  компания  стала «жертвой изощренной, сложной и целенаправленной кибератаки» и тесно сотрудничает с правоохранительными органами, спецслужбами и экспертами по безопасности для расследования.

Но эксперты по безопасности отмечают, что после обнаружения российской атаки прошло несколько дней, прежде чем веб-сайты SolarWinds перестали предлагать клиентам скомпрометированный код.

Нападение - лучшая защита

Миллиарды долларов из бюджетов кибербезопасности в последние годы были потрачены на программы наступательного шпионажа и упреждающих действий,  того  что генерал Накасоне называет необходимостью «упреждающей защиты», взлома  сетей злоумышленников, чтобы заблаговременно изучить их операции и, , если потребуется, противодействовать им   внутри их  сетей, прежде чем они смогут атаковать.

Но этот подход, хотя и приветствовался как давно назревшая стратегия предотвращения атак, упустил возможность вторжения  со стороны России.

General Paul M. Nakasone leads both the National Security Agency and the military’s Cyber Command.

Генерал Пол М. Накасоне возглавляет Агентство национальной безопасности и киберкомандование вооруженных сил.  Credit.  T.J. Kirkpatrick for The New York Times

По данным FireEye, устраивая свои атаки с серверов в Соединенных Штатах, в некоторых случаях используя компьютеры  находящиеся  в том же городе, что и их жертвы, русские воспользовались  юридическими  ограничениями на полномочия Агентства национальной безопасности. Конгресс не давал Агентству или Министерству  национальной безопасности никаких полномочий  по  вхождению  в  компьютерные  сети частного сектора или защищать их. Именно в этих сетях оперативники СВР были менее осторожны, оставляя следы  своих вторжений, которые FireEye в конечном итоге смог найти.

Встраиваясь в обновление Orion SolarWinds и используя специальные инструменты, они также избегали срабатывания сигнализации системы обнаружения «Эйнштейн», которую национальная служба безопасности развернула в государственных учреждениях для обнаружения известных вредоносных программ, и так называемой программы CDM, которая была специально разработана для предупреждения агентств о подозрительной деятельности.

Некоторые сотрудники спецслужб задаются вопросом, было ли правительство настолько сосредоточено на вмешательстве в выборы, что создало возможности в других местах.

Спецслужбы несколько месяцев назад пришли к выводу, что Россия определила, что не может проникнуть в избирательные системы  в  степени  достаточной  для того, чтобы повлиять на исход выборов, и вместо этого переключила свое внимание на проведение  атак с  помощью  программ-вымогателей, которые могли  оттолкнуть  избирателей  от  участия  в  выборах,  и  на  операции  направленные на  разжигание разногласий,  раздоров,  сеющих сомнения в эффективности системы, в  её  честности  и изменяющих  мнение избирателей.

The focus on election defense, while critical in 2020, may have diverted both resources and attention from other long-brewing problems.

Сосредоточение внимания на защите  выборов, хотя и имело  решающее значение в 2020 году, возможно, отвлекло как ресурсы, так и внимание от других давно назревших проблем.  Credit  Lauren Justice for The New York Times

Взлом SolarWinds, начавшийся еще в октябре 2019 года, и вторжение в сети  торговых посредников Microsoft дали России возможность атаковать наиболее уязвимые и наименее защищенные сети в нескольких федеральных агентствах.

Генерал Накасонэ отказался от интервью. Но представитель Агентства национальной безопасности Чарльз К. Штадтландер сказал: «Мы не рассматриваем это как ситуацию   «либо-либо». Действия, идеи и новые рамки, созданные в ходе усилий по обеспечению безопасности на выборах, имеют широкое положительное влияние на позицию страны и правительства США в области кибербезопасности».

Фактически, Соединенным Штатам, похоже, удалось убедить Россию в том, что атака, направленная на изменение голосования, вызовет ответный,  разорительный для  России удар  возмездия. Но по мере того, как выявляется  масштаб вторжения, становится ясно, что американскому правительству не удалось убедить Россию в том, что широкомасштабный взлом федерального правительства и корпоративных сетей приведет к аналогичным последствиям.

Избавление от хакеров

Представители разведки говорят, что могут пройти месяцы, а то и годы, прежде чем они получат полное представление о масштабах взлома.

После того, как в 2017 году из  Москвы  был эвакуирован высокопоставленный кремлевский информатор, объем информации  получаемой  ЦРУ о российских операциях сократился. А СВР остается одной из самых эффективных разведывательных служб в мире, избегая электронных коммуникаций, которые могут раскрыть ее секреты Агентству национальной безопасности, говорят представители разведки.

Наилучшую оценку  СВР дали голландцы. В 2014 году,  хакеры, работающие на Голландскую службу общей разведки и безопасности, проникли в компьютеры, используемые группой, наблюдали за ними не менее года и однажды даже  поймали на камеру.

Именно голландцы помогли предупредить Белый дом и Государственный департамент о взломе их систем СВР в 2014 и 2015 годах, а в прошлом месяце они поймали и выслали из Нидерландов двух сотрудников СВР, обвиненных в проникновении  в  технологические компании. Группа печально  известна  тем,  что  хотя  и  не является деструктивной, ее  чрезвычайно  сложно вычистить  из компьютерных систем, в которые она проникла.

President Vladimir V. Putin of Russia outside S.V.R. headquarters in Moscow in December.

Президент России Владимир Путин у штаб-квартиры СВР в Москве в декабре.

Credit..Alexey Nikolsky/Sputnik, via Agence France-Presse — Getty Images

Когда СВР взломала несекретные системы Госдепартамента и Белого дома, Ричард Леджетт, тогдашний заместитель директора Агентства национальной безопасности, сказал, что агентство занялось цифровым эквивалентом «рукопашного боя». В какой-то момент СВР получила доступ к инструменту NetWitness Investigator, который следователи используют для блокирования  российских  “потайных дверей”, манипулируя им таким образом, чтобы хакеры продолжали  иметь  возможность уклоняться от обнаружения.

Следователи заявили, что они предполагали, что  “вышибли”  СВР, но  затем обнаружили, что хакерская  группа  проникла через другую “дверь”.

Некоторые эксперты по безопасности считают, что избавление стольких разрозненных федеральных агентств от СВР может быть бесполезным  занятием  и что единственный выход в данном случае может  заключаться в том, чтобы отключить  все  системы и начать все заново. Другие заявили, что делать это в разгар пандемии будет непомерно дорого и отнимет много времени, и новой администрации придется поработать над выявлением и взятием под контроль  каждой скомпрометированной системы, прежде чем она сможет дать  тщательно откалиброванный   ответ.

«СВР действует  обдуманно, планомерно и изощренно, и у них нет таких юридических ограничений, как у нас здесь, на Западе», - сказал Адам Дарра, бывший аналитик правительственной разведки, ныне директор разведки охранной фирмы Vigilante.

Он добавил, что санкции, обвинительные заключения и другие меры не смогли остановить СВР, которая показала, что она может быстро адаптироваться.

«Они сейчас очень внимательно следят за нами», - сказал г-н Дарра. «И они будут меняться соответственно».

статью прочитали: 1092 человек

Комментарии 

Комментарии возможны только от зарегистрированных пользователей, пожалуйста зарегистрируйтесь

Праздники сегодня

© 2009-2021  Создание сайта - "Студия СПИЧКА" , Разработка дизайна - "Арсента"