Примечание переводчика: данная статья представляет собой продолжение статьи
Российские хакеры стоят за широкой шпионской кампанией, которая скомпрометировала правительственные агентства США, в том числе Министерства финансов и торговлиопубликованной на Переводике 15 декабря

источник: lh3.googleusercontent.com

13 декабря стало известно, что хакеры российского правительства взломали правительственные учреждения США в рамках глобальной шпионской кампании, которая длилась несколько месяцев. (Reuters)

By Craig Timberg and Ellen Nakashima Dec. 15, 2020

Когда российские хакеры впервые, вероятно, весной, внедрили своих цифровых “троянских коней” в компьютерные системы федерального правительства, они несколько дней бездействовали, затаившись. Затем вредоносный код сработал и начал общаться с внешним миром.

В тот момент — когда российское вредоносное ПО начало отправлять сообщения с федеральных серверов на командно-управляющие компьютеры, которыми оперировали хакеры, — появилась возможность для его обнаружения, точно так же как шпионы — люди в тылу врага, особенно уязвимы, когда они по радио сообщают домой добытую ими информацию.

Почему же тогда, когда компьютерные сети Государственного департамента и других федеральных агентств начали передавать сигналы на российские серверы, никто в правительстве США не заметил, что происходит что-то странное?

Ответ — отчасти мастерство русских, отчасти — слепота федерального правительства.

Русские, деятельность которых была обнаружена в этом месяце взломанной ими фирмой по кибербезопасности, были хороши. После инициирования взломов путем повреждения патчей широко используемого программного обеспечения для мониторинга сети, хакеры хорошо замаскировались, затерли свои следы и общались через IP-адреса в Соединенных Штатах, а не, скажем, в Москве, чтобы свести к минимуму подозрения.

Хакеры также ловко использовали новые фрагменты вредоносного кода, которые, по-видимому, ускользнули от стоящей много миллиардов долларов системы обнаружения взломов правительства США, Einstein, которая фокусируется на поиске новых способов использования известных вредоносных программ, а также на обнаружении соединений с частями Интернета, которые использовались в предыдущих взломах.

Но Einstein, управляемый Агентством кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (CISA), не был оборудован для обнаружения новых вредоносных программ или подключений к Интернету, несмотря на отчет Счетной палаты правительства за 2018 год, в котором говорится, что создание таких возможностей может быть разумным вложением средств. Некоторые частные фирмы, занимающиеся кибербезопасностью, проводят подобную «охоту» за подозрительными сообщениями — возможно, на IP-адрес, к которому сервер никогда раньше не подключался, — но Einstein этого не делает.

«Справедливо будет сказать, что Эйнштейн не был разработан должным образом», — сказал Томас Боссерт, высокопоставленный сотрудник по кибербезопасности в администрациях Джорджа Буша и Трампа. «Но это провал менеджмента».

Пресс-секретарь CISA Сара Сендек заявила, что нарушения относятся к марту и не были обнаружены какой-либо системой обнаружения или предотвращения вторжений. По словам Сендек, как только CISA обнаружила признаки нежелательной активности, она загрузила их в Einstein, чтобы помочь выявить нарушения в агентских сетях.

По ее словам, CISA оказывает техническую помощь пострадавшим агентствам.

Россия отрицает свою причастность к вторжению.

Федеральное правительство вложило значительные средства в обеспечение безопасности своих бесчисленных компьютеров, особенно с тех пор, как в 2015 году был обнаружен разрушительный китайский взлом Управления кадров (Office of Personnel Management), когда была скомпроментирована личная информация, включая номера социального страхования более 20 миллионов федеральных служащих и других лиц.

Но в этом году, в результате многомесячного взлома федеральных сетей, обнаруженного в последние дни, были выявлены новые слабые места и особо отмечены некоторые из ранее известных, в том числе зависимость федерального правительства от широко используемого коммерческого программного обеспечения, которое обеспечивает потенциальные векторы атак для хакеров национальных государств.

ФБР и DHS расследуют масштабы и характер вторжений, которые, по мнению сотрудников разведки, были проведены Службой внешней разведки России (СВР). Сенатор Ричард Блюменталь (демократ от штата Коннектикут) во вторник публично признал это, написав в Твиттере, что Сенат заслушал «секретный брифинг о кибератаке России, [который] меня глубоко встревожил, фактически — просто испугал».

По сообщениям, русские проникли в федеральные системы, сначала взломав SolarWinds, производителя программного обеспечения для мониторинга сети из Техаса, а затем внедрили вредоносное ПО в автоматические обновления, которые сетевые администраторы в федеральном правительстве и других местах обычно устанавливают для поддержания своих систем. Компания сообщила, что пострадали, возможно, почти 18 000 ее клиентов по всему миру.

В более широком смысле, взлом высветил борьбу правительственных систем сетевого мониторинга по обнаружению угроз, со нападениями проводимыми с помощью недавно написанного вредоносного кода, который обменивается данными с серверами, ранее не связанными с известными кибератаками. Это то, что иногда делают продвинутые хакеры национальных государств, в том числе из России — предположительно потому, что это затрудняет обнаружение вторжений.

Полный масштаб взлома остается неизвестным, хотя уже сейчас ясно, что проникновение имело место в растущее число агентств, включая государственные департаменты, казначейство, национальную безопасность и торговлю, а также Национальные институты здравоохранения (NIH). Среди жертв — консалтинговые, технологические, телекоммуникационные, нефтегазовые компании Северной Америки, Европы, Азии и Ближнего Востока.

Во вторник Пентагон оценивал, были ли вторжения в этот обширный департамент, и если да, то какое влияние они могли оказать, сказал его представитель.

По словам официальных лиц, одной из целей хакеров были электронные письма. Хотя еще не ясно, что русские могут сделать с этой информацией, их жертвы, в том числе различные бюро Госдепартамента, предполагают ряд мотивов.

В Госдепартаменте они могли захотеть узнать, каковы планы политиков в отношении регионов и вопросов, затрагивающих стратегические интересы России. В министерстве финансов, возможно, хотели узнать о потенциальных объектах санкций США в отношении России. В NIH они могут быть заинтересованы в информации, связанной с исследованиями вакцины против коронавируса .

По мере продолжения следственной работы некоторые законодатели сосредоточены на выяснении того, как и почему усилия федерального правительства по обеспечению кибербезопасности оказались неэффективными, несмотря на годы разрушительных взломов со стороны российских и китайских шпионов и крупные федеральные инвестиции в оборонные технологии.

Einstein, разработанный DHS, а теперь управляемый CISA, должен был стать основой федеральной системы защиты компьютеров гражданских агентств, но в отчете GAO за 2018 год указано что в нем были обнаружены существенные недостатки.

В отчете говорится, что способность «выявлять любые аномалии, которые могут указывать на нарушение кибербезопасности» планировалось развернуть к 2022 году. В нем также говорится, что мониторинг сети отдельными агентствами носит неоднородный характер. Из 23 опрошенных федеральных агентств пять «не контролировали входящие или исходящие прямые соединения с внешними организациями», а 11 «не осуществляли постоянный мониторинг входящего зашифрованного трафика». Восемь «не осуществляли постоянный мониторинг исходящего зашифрованного трафика».

«DHS потратило миллиарды долларов налогоплательщиков на киберзащиту, и все, что оно получило взамен, было барахлом с запоминающимся названием», — сказал сенатор Рон Уайден (штат Орегон), член сенатского комитета по разведке. «Несмотря на предупреждения государственных наблюдателей, эта администрация не смогла оперативно развернуть технологию, необходимую для выявления подозрительного трафика и поимки хакеров, использующих новые инструменты и новые серверы».

Это была не только эта администрация.

Боссерт, который работал над первоначальной концепцией Эйнштейна в администрации Джорджа Буша, сказал, что идея заключалась в том, чтобы разместить активные датчики на интернет-шлюзе агентства, которые могли бы распознавать и нейтрализовать вредоносный командный трафик. «Но администрации Буша, Обамы и Трампа, — сказал он, — никогда не собирались оборудовать Einstein для полной реализации его потенциала».

Представители CISA сообщили сотрудникам Конгресса во время телефонного разговора в понедельник вечером, что система не способна отметить вредоносное ПО, которое отправляет сигнал своим российским хозяевам.

Официальные лица заявили, что федеральные агентства не предоставили CISA информацию, необходимую для определения серверов агентства, которые не должны связываться с внешним миром, сказал один сотрудник аппарата Конгресса, который, при обсуждении этого деликатного вопроса, говорил на условиях анонимности .

«Для CISA все внутренние компьютеры агентства выглядят одинаково, поэтому Einstein отмечает только образцы известных вредоносных программ или соединения с «известными плохими» IP-адресами», — сказал сотрудник.

Другие эксперты по кибербезопасности говорят, что эти нарушения подчеркивают «отчаянную» необходимость в правительственном совете, который мог бы провести глубокое расследование инцидента, такого как инцидент с участием SolarWinds, чьи взломанные файлы с исправлениями позволили осуществить вторжение — и, что особенно важно, опубликовать отчет.

«Нам нужны люди, которые прочитают отчет и скажут: «Ого, нам нужно защитить наш конвейер [разработки программного обеспечения]», — сказал Алекс Стамос, глава исследовательской группы Stanford Internet Observatory. Ранее он был начальником службы безопасности Facebook и Yahoo.

Он сказал, что в этой сфере есть «сотни или даже тысячи компаний», которые могут иметь недостатки в системах безопасности, не подозревая об этом. Эти фирмы занимаются мониторингом сети, управлением ИТ и агрегацией журналов. «Корпоративные ИТ — это рынок с оборотом в 2 триллиона долларов, — сказал Стамос. «Нет агентства, отвечающего за обеспечение его безопасности».

Перевод