Федеральные следователи обнаружили доказательства ранее неизвестных методов, использованных для проникновения в правительственные сети США

“Федеральные следователи США сообщили в четверг о доказательствах ранее неизвестных методов проникновения в правительственные компьютерные сети. Это развитие событий подчеркивает катастрофические масштабы недавних вторжений России и логистический кошмар, с которым сталкиваются федеральные чиновники США, пытающиеся очистить ключевые системы от злоумышленников”, – передает The Washington Post.

Газета отмечает, что “в течение последних нескольких дней было ясно, что центральную роль в российских усилиях по получению доступа к американским правительственным компьютерным сетям играли скомпрометированные программные патчи, распространяемые техасской компанией SolarWinds. Однако, как говорится в сообщении Агентства по кибербезопасности и безопасности инфраструктуры министерства внутренней безопасности США в четверг, свидетельства заставляют предположить, что для инициирования того, что в предупреждении называют “серьезным риском для федерального правительства и правительств штатов, местных, племенных и территориальных органов власти”, а также для критически важных органов инфраструктуры и других организаций частного сектора, использовалось другое вредоносное ПО”.

“Хотя многие детали остаются неясными, известие о новых способах проведения атак вызывает новые вопросы о доступе, который российские хакеры смогли получить к государственным и корпоративным системам по всему миру. “Этот злоумышленник продемонстрировал способность использовать цепочки поставок программного обеспечения и продемонстрировал значительное знание сетей Windows, – говорится в предупреждении. – Вполне вероятно, что злоумышленник располагает дополнительными начальными векторами доступа и методами, техниками и процедурами (TTPs), которые еще не были обнаружены”.

“Правительство США публично не обвинило Россию во взломах, но в частном порядке американские чиновники говорят, что за операцией стояли российские государственные хакеры. Москва свою причастность отрицает”, – напоминает газета.

“В предупреждении упоминается сообщение в блоге на этой неделе от Volexity, компании из Рестона, штат Вирджиния, занимающейся кибербезопасностью, о неоднократных взломах неназванного аналитического центра, которые, по словам компании, проводились в течение нескольких лет и не были обнаружены. Атакующие, которых в посте Volexity называют псевдонимом, получили доступ к сетям аналитического центра с помощью “множества средств, инструментов обхода системы защиты и вредоносных имплантатов” и воспользовались уязвимостью в программном обеспечении Microsoft Exchange Control Panel, которое занимает центральное место в службе электронной почты компании, – передает издание. – (…) Только последнее из трех отдельных вторжений в аналитический центр в июне и июле было связано с поврежденным патчем от SolarWinds, что указывает на агрессивную и настойчивую хакерскую команду, имеющую в распоряжении изощренные методы “.

“По словам американских чиновников, также взлому подверглись министерство энергетики и Национальное управление по ядерной безопасности, которое управляет запасами ядерного оружия в США, пополнив растущий список агентств, которые, как сообщалось в последние дни, были взломаны россиянами и являются центральными для национальной безопасности США и других ключевых функций правительства. В их число входят Государственный департамент, министерства финансов, торговли и внутренней безопасности, а также национальные институты здравоохранения. (…) Потенциально также пострадали тысячи частных компаний по всему миру (…), после того, как они загрузили программные патчи, содержащие вредоносное ПО, предположительно внедренное российской Службой внешней разведки, известной как СВР”.

“Устранение злоумышленников и восстановление безопасности пострадавших сетей может занять месяцы, указывают некоторые эксперты, поскольку хакеры быстро перешли от первоначальных вторжений через поврежденные программные патчи к сбору и развертыванию аутентичных системных учетных данных, что значительно усложнило обнаружение и исправление. По словам следователей FireEye, фирмы, занимающейся кибербезопасностью, которая также подверглась взлому, сворачивания цифровых инструментов обхода защиты, изначально созданных русскими, будет недостаточно, поскольку они, похоже, украли ключи от неизвестного количества официальных входов в федеральные и частные корпоративные системы”, – подчеркивается в статье.

“В понедельник Microsoft и FireEye перекрыли канал, который использовали россияне для отправки команд системам, загружающим поврежденный патч, в результате чего вредоносная программа свернулась. Но это не помогает тем организациям, в сети которых россияне проникли глубоко”.

“Те, кто вторгался в американский аналитический центр, в каждом случае искали электронные письма конкретных целей, говорит Стивен Адэр, президент Volexity. С Microsoft была связана только уязвимость в Exchange, но с ее помощью хакеры могли действовать как системные администраторы в сети аналитического центра. “Если вы можете использовать это, это довольно прямой путь в чью-то инфраструктуру с довольно высоким уровнем доступа”, – отметил Адэр.

“Между тем, проблема SolarWinds продолжает беспокоить федеральных чиновников. Агентство, которое управляет разветвленной коммуникационной сетью министерства обороны, загрузило испорченное обновление SolarWinds, которое потенциально могло раскрыть сеть агентства для российских хакеров, по словам американских чиновников, которые, как и другие, говорили на условиях анонимности из-за деликатности вопроса”.

(…) “Министерство обороны – одна из приоритетных целей для российской разведки, – считает Дмитрий Альперович, эксперт по кибербезопасности и исполнительный председатель аналитического центра Silverado Policy Accelerator. – Я не могу представить себе ситуацию, когда при такой возможности они не воспользовались бы ею, чтобы проникнуть внутрь, побродить внутри и плпытаться украсть как можно больше конфиденциальных данных, связанных со структурой и боеготовностью сил, системами вооружения и другими вопросами, представляющими для них стратегический интерес”.

“Российские хакеры известны своей скрытностью и способностью оставаться незамеченными внутри взломанных сетей. “Меня больше всего беспокоит то, что есть продвинутый противник, который присутствует в сети в течение длительного времени, – указал Джек Уилмер, до августа – главный специалист по информационной безопасности Пентагона, который не имеет независимой информации об инциденте. – Может оказаться очень сложно вытеснить их и быть уверенными в том, что их больше нет”. (…)