Российские хакеры шпионили за электронной почтой Минфин США
По словам людей, занимающихся этим вопросом, хакеры, которые, как считается, работают на Россию, отслеживают внутренний трафик электронной почты в министерстве финансов и торговли США. Раскрытые взломы могут оказаться только верхушкой айсберга.
Последствия взлома могут оказаться настолько серьезными, что Совет национальной безопасности в Белом доме привел срочное заседание по этому вопросу в прошедшую субботу.
США не на шутку обеспокоены
Высокопоставленные лица США еще не делали официальных заявлений, кроме подтверждения, произнесенного Министерством торговли. Его представители объявили, что в одном из агентств произошло нарушение, и был запрос к Агентству по кибербезопасности и безопасности инфраструктуры и ФБР с просьбой провести независимое расследование.
Представитель Совета национальной безопасности Джон Уллит упомянул в одном из интервью, что они «предпринимают все необходимые шаги для выявления и устранения любых возможных проблем, связанных с этой ситуацией».
Правительство США официально не указывает, кто именно замешан во взломе, но анонимные источники, связанные с расследованием, заявили, что за содеянное несет ответственность именно Россия. Также есть информация, что кража информации связана с фирмой, которая была замешана в недавно раскрытом взломе FireEye. Речь идет о крупнейшей американской компании специализирующаяся на предоставлении решений и услуг сетевой безопасности. Ее взлом привел к краже арсенала внутренних хакерских инструментов, обычно предназначенных для частного тестирования и киберзащиты собственных клиентов.
Россия уже отреагировала на обвинения в Facebook. От имени министерства иностранных дел России было опубликовано заявление, в котором обвинения охарактеризованы как еще одна необоснованная попытка СМИ США обвинить Россию в кибератаках против агентств США.
«Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, её национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит «наступательных» операций в виртуальной среде.»
Как это произошло
Ходят слухи, что киберпреступникам удалось проникнуть в систему, подделав обновления, выпущенные ИТ-компанией SolarWinds. Она занимается обслуживанием государственных заказчиков в исполнительной ветви власти, вооруженных сил и спецслужб. Уловка, которой воспользовались хакеры называется «supply chain attack» (атака цепочки поставок). Ее суть заключается в том, что она работает путем сокрытия вредоносного кода в теле законных обновлений программного обеспечения.
В заявлении, опубликованном поздно вечером в воскресенье, компания из Остина, штат Техас, заявила, что обновления ее программного обеспечения для мониторинга, выпущенные в период с марта по июнь этого года, могли быть частично подменены. Компания описала это как «очень сложную, целевую атаку на цепочку поставок организованную национальным государством».
Компания отказалась сообщить какие-либо подробности, но разнообразие клиентской базы SolarWind вызвало обеспокоенность в разведке США по поводу того, что другие правительственные учреждения могут оказаться в опасности.
SolarWinds сообщила на своем веб-сайте, что в число ее клиентов входят большинство американских компаний из списка Fortune 500, 10 крупнейших поставщиков телекоммуникационных услуг США, все пять подразделений вооруженных сил США, Государственный департамент, Агентство национальной безопасности и Офис президента США.
Компания по кибер-шпионажу
Для завершения масштабного кибер-расследования могут понадобиться месяцы или годы, но именно сейчас новая администрация президента Джо Байдена может пережить небывалый кризис. На сегодняшний день официальные лица пытаются узнать, какую именно информацию похитили, и для чего ее могут использовать.
«Дело не только в одном агентстве, объем похищенной информации и последствий даже предположить сложно», — отметил один из тех, кто расследует преступление. «Это крупномасштабный заговор, в первую очередь он направлен против правительства США и его интересов».
По словам источников, хакеры взломали офисное программное обеспечение NTIA, Microsoft Office 365. Электронная почта сотрудников агентства в течение нескольких месяцев отслеживалась хакерами. Представители Microsoft еще не прокомментировали ситуацию.
Люди, занимающиеся инцидентом, отмечают, что хакеры «очень изощрены» в своих действия. Они смогли обмануть элементы управления аутентификацией платформы Microsoft.
Полный объем взлома продолжает оставаться загадкой. Расследование все еще находится на начальной стадии и в нем участвует ряд федеральных агентств, включая ФБР.
Представитель Агентства по кибербезопасности и безопасности инфраструктуры США отметил, что они «тесно сотрудничают с партнерами из агентства в отношении недавно обнаруженной активности в правительственных сетях». CISA оказывает техническую помощь пострадавшим организациям, поскольку они работают над выявлением и устранением любых потенциальных компромиссов». Есть некоторые признаки того, что следы взлома электронной почты в NTIA появились этим летом, хотя, по словам высокопоставленного американского чиновника, он был обнаружен только недавно.
Автор: Ньют Саламандр, аналитик Freedman Сlub Crypto News