Американский выпуск CNN обнародовал итоги своего «расследования» на популярную сейчас в западных СМИ тему кибервзлома SolarWinds. О том, что это совершено именно «российскими хакерами», в США принято за аксиому – притом с доказательностью того же уровня, что и памятное многим «ядерное оружие Саддама». Издание discover24.ru приводит эксклюзивный перевод этой публикации.
Охота на охотников: как российские хакеры нацелились на американские киберслужбы быстрого реагирования
Авторы: Zachary Cohen, Alex Marquardt and Geneva Sands, CNN
В течение нескольких месяцев, пока официальные лица США не знали о взломе, хакеры определили несколько ключевых сотрудников кибербезопасности и аналитиков, которые стали бы одними из первых, кто отреагирует на обнаружение взлома (так называемых «охотников за угрозами»), и пытались получить доступ к их учетным записям электронной почты. Это следует из информации от двух источников, знакомых с данным вопросом.
Хотя неясно, была ли какая-либо из этих учетных записей скомпрометирована, источники говорят, что тот факт, что хакеры знали, к каким именно аналитикам в Министерстве внутренней безопасности (МВБ) следует обратиться, предполагает, что они обладают гораздо более глубоким пониманием системы киберзащиты в США, чем об этом было известно ранее.
«Похоже, что российские хакеры SolarWinds обладают подробной информацией о персонале и о том, кто из них, вероятно, будет причастен к расследованию взлома SolarWinds», – сказал Седрик Лейтон, бывший сотрудник АНБ и военный аналитик CNN. «Это может означать, что проникновение в сети достигло степени, о которой мы не знали раньше. Если это правда, нам потребуется полностью обновить систему всех наших защитных киберопераций».
Источники и эксперты сообщают CNN, что хакеры могли отследить в режиме реального времени, когда официальные лица США начали обнаруживать атаку, что позволило им соответствующим образом адаптировать свои действия и оставаться скрытыми как можно дольше. «Это показывает уровень изощренности с точки зрения нацеливания на тех, кто активно работает над предотвращением возникновения или расширения атак. И поэтому это отличается от того, что вы видели в прошлых кибератаках», – сказал CNN бывший чиновник МВБ Крис Каммиски.
Хотя электронные письма, принадлежащие самым высокопоставленным кибер-чиновникам, включая Криса Кребса, бывшего директора Агентства по кибербезопасности и безопасности инфраструктуры, похоже, не были взломаны, источники сообщили CNN, что хакеры намеренно нацелились на других высокопоставленных кибер-чиновников агентства – охотниками за угрозами более низкого уровня.
Хакеры проникли в электронную почту высокопоставленного чиновника Трампа
Первоначальные отчеты по SolarWinds показали, что около 30 учетных записей электронной почты в МВБ были взломаны. В их числе (по словам помощника одного из сенаторов) – аккаунты бывшего исполняющего обязанности секретаря Чада Вольфа и бывшего директора по информационным технологиям МВБ Карен Эванс. Отмечено, что при взломе не было никаких предупреждений о доступе к секретной информации. Associated Press сообщило, что подозреваемые российские хакеры получили доступ и к учетной записи Вольфа, и к сотрудникам службы кибербезопасности, которые охотились за угрозами из зарубежных стран.
После взлома старшие сотрудники штаб-квартиры МВБ получили новые телефоны, сказал CNN бывший сотрудник департамента, указав, что воздействие на МВБ было значительным. Вольф и Эванс от комментариев отказались. Другие федеральные агентства также подтвердили доступ к учетным записям электронной почты.
На слушаниях в прошлом месяце представитель Республиканской партии Пэт Фэллон из Техаса сказал, что он «встревожен» тем фактом, что «была взломана собственная электронная почта министра внутренней безопасности».
«Этот злоумышленник оставался сфокусированным на краже определенной информации», – сказал на том же слушании генеральный директор компании FireEye, занимающейся кибербезопасностью, Кевин Мандиа. «Они проявили, возможно, сдержанность и не сделали ничего разрушительного». FireEye, также пострадавшая от взлома, впервые предупредила правительство и общественность о нем в начале декабря.
CISA до сих пор публично не признала, повлияла ли на него утечка данных SolarWinds, и представитель МВБ отказался сказать это еще раз в среду, когда его спросили, были ли нацелены на учетные записи электронной почты, принадлежащие членам команды охотников за угрозами. По словам высокопоставленного чиновника CISA, атаки на электронные письма отдела не прервали работу службы, заявив, что партнеры из частного сектора помогли МВБ и CISA изгнать хакеров из сетей ведомства.
Представитель МВБ также сообщил CNN, что оперативные группы по кибербезопасности агентства используют различные методы связи для продолжения выполнения своей миссии при любых обстоятельствах, и что они смогли сделать это в данном случае.
Как администрация Байдена ответит России?
Администрация Байдена продолжает спокойно работать над своим ответом на взлом SolarWinds и рассылать расплывчатые сообщения о своих планах привлечь Россию к ответственности. В феврале Белый дом начал 60-дневную проверку взлома и с тех пор обрисовал в общих чертах ответные меры, которые он планирует осуществить против России, но не представил конкретных подробностей.
Совет национальной безопасности, который возглавляет эти усилия, подтвердил на этой неделе, что ответ, состоящий из «видимых и невидимых» действий, будет происходить в течение «недель, а не месяцев». Эти сроки те же, что и шесть недель назад озвучил советник по национальной безопасности Джейк Салливан. Как будет выглядеть этот ответ, остается неясным, но ожидается, что он будет включать в себя санкции, кибероперации и распоряжение о внесении улучшений в национальную кибербезопасность.
Заместитель советника по национальной безопасности Энн Нойбергер, высокопоставленный кибер-чиновник Белого дома, была привлечена к руководству масштабными усилиями, охватывающими несколько государственных учреждений. В заявлении для CNN во вторник она сказала: «Мы тесно сотрудничаем с федеральным правительством, Конгрессом и частным сектором, чтобы продолжать делать необходимые инвестиции для защиты страны от злонамеренной киберактивности».
Хотя Нойбергер является самым высокопоставленным кибер-чиновником, когда-либо назначенным в администрацию, беспрецедентное вторжение России и массовый взлом серверов Microsoft Exchange со стороны Китая подчеркивают, что две ключевые высокопоставленные киберпозиции остаются незаполненными: недавно созданная должность национального кибердиректора, который, как предполагается, станет главным советником президента по всем кибернетическим вопросам, и директор CISA в МВБ. Оба этих назначения требуют утверждения Сенатом.
Должность национального кибердиректора была создана Конгрессом, но не была профинансирована, и остаются вопросы о том, как она будет работать вместе с Национальной разведкой и CISA. Представители администрации утверждают, что, хотя директор CISA необходим и ожидается в ближайшее время, агентством руководят высококвалифицированные сотрудники, как профессиональные, так и недавно назначенные.