Про це повідомляє американська газета The New York Times.

Про потужну кібератаку, за якою стоїть Російська Федерація, повідомили кіберексперти та фахівці Microsoft. Її здійснили всього через кілька місяців після того, як президент США Джо Байден ввів санкції проти Росії у відповідь на серію складних шпигунських операцій, які вона проводила по всьому світу.

“Нові атаки дуже глобальні, й вони досі тривають”, – повідомив Том Берт, один із провідних співробітників служби безпеки Microsoft. 

Урядові чиновники підтвердили, що операція, очевидно, спрямована на отримання даних, що зберігаються в хмарному сховищі. Атака виходила з SVR – російського розвідувального агентства, яке першим отримало доступ до мереж Національного комітету Демократичної партії під час виборів 2016 року.

Хоча Microsoft наполягала на тому, що відсоток успішних атак був невеликим, компанія не надала достатньо інформації, щоб оцінити масштаби порушень.

На початку цього року Білий дім звинуватив SVR у здійсненні атаки SolarWinds, спрямованої на зміну програмного забезпечення, яке використовують урядові установи та найбільші компанії США. Внаслідок цієї атаки росіяни отримали широкий доступ до даних 18 000 користувачів. 

Байден тоді заявив, що атака підриває довіру до основних урядових систем і пообіцяв помститися за ці злочинні дії та за втручання Росії у вибори. Водночас президент США лише оголосив про санкції проти російських фінансових установ та технологічних компаній, але він відмовився від накладання штрафів.

Після телефонної розмови з президентом РФ Володимиром Путіним Байден сказав:

“Я зрозумів під час розмови з президентом Путіним, що ми могли б піти далі, але я вирішив цього не робити… Настав час деескалації”.

Американські чиновники наполягають на тому, що тип атаки, про яку повідомляє Microsoft, належить до категорії шпигунства, які великі держави регулярно проводять одна проти одної. Однак, операція свідчить про те, кібератаки продовжують розвиватися паралельно з гонитвою озброєнь, яка прискорилася у процесі створення вакцин проти коронавірусу.

“Шпигуни збираються шпигувати. Але після здійснення цієї атаки ми дізналися, що SVR не сповільнюється”, – сказав Джон Халтквіст, віцепрезидент з аналізу розвідувальних даних Mandiant, компанії, яка вперше виявила атаку SolarWinds.

Невідомо, наскільки успішною була остання кіберкампанія. Microsoft повідомила про атаку більш ніж 600 організаціям, що стали об’єктом близько 23 000 спроб зайти в їх системи. Для порівняння, компанія заявила, що за останні три роки виявила лише 20 500 цілеспрямованих атак. Невеликий відсоток останніх спроб увінчався успіхом, але не надала подробиць і не зазначила, скільки організацій було скомпрометовано.

Американські чиновники підтвердили, що операція, яку вони вважають шпигунством, триває. Але вони наполягають, що значну частину провини за це несуть Microsoft і інші постачальники хмарних послуг.

Високопоставлений чиновник адміністрації Байдена назвав останні атаки “невитонченими, звичайними операціями, яким можна було б запобігти, якби постачальники хмарних послуг запровадили базові методи кібербезпеки”.

“Ми можемо багато чого зробити, але відповідальність за впровадження простих методів кібербезпеки покладається на приватний сектор”, – сказав чиновник.

Урядовці наполегливо намагаються розмістити більше даних у хмарі, оскільки це легший спосіб захистити інформацію. Проте остання атака росіян, кажуть експерти, стала нагадуванням про те, що цей спосіб недієвий, особливо якщо компанії, які керують хмарними операціями, мають недостатню безпеку.

Microsoft заявила, що атака була зосереджена на її “торгових посередниках”, фірмах, які налаштовують використання хмарних сховищ для компаній або академічних установ. Російські хакери, мабуть, підрахували, що якби вони могли проникнути до торговельних посередників, ці фірми мали б високий рівень доступу до потрібних їм даних, зокрема урядових електронних листів, оборонних технологій чи досліджень вакцин.

“Російська розвідка намагалася повторити підхід, який використовувала у минулих атаках, націлюючись на організації з глобального ланцюжка постачання інформаційних технологій”, – зазначив Берт.

Цей ланцюжок постачання є основною метою хакерів російського уряду, а також дедалі частіше китайських хакерів, які намагаються відтворити найуспішніші російські методи.

Операція SolarWinds наприкінці минулого року націлювалася на цей ланцюжок постачання. Це означало, що російські хакери змінили комп’ютерний код програмного забезпечення для управління мережами, що використовувалися компаніями та державними установами, таємно вставляючи пошкоджений код саме тоді, коли його розсилали 18 000 користувачам.

Після того, як ці користувачі оновилися до нової версії програмного забезпечення росіяни отримали доступ до всієї своєї мережі.

Газета пише, що в останній атаці SVR використовував більш агресивні методи роботи. Вторгнення насамперед передбачало розгортання величезної бази даних викрадених паролів для автоматизованих атак, призначених для залучення російських урядових хакерів до хмарних сервісів Microsoft. Це складніша, менш ефективна операція — і вона працювала б, лише якби деякі торговельні посередники хмарних сервісів Microsoft не використали спеціальні методи кібербезпеки, які компанія вимагала від них минулого року.

У своєму блозі, який оприлюднять у понеділок, Microsoft заявила, що зробить більше для виконання контрактних зобов’язань своїх посередників щодо запровадження заходів безпеки.

Водночас федеральні чиновники запевняють, що вони рішуче використовують повноваження Байдена, щоб захистити країну від кіберзагроз. Маючи нову велику команду чиновників, які наглядають за кіберопераціями уряду, Байден намагається внести зміни в систему безпеки, які мають значно ускладнити такі атаки.

У відповідь на SolarWinds Білий дім оголосив низку змін для державних установ та всіх підрядників, що передбачають здійснення нового раунду практики безпеки, який зробить стійкими перед хакерами з Росії, Китаю, Ірану та Північної Кореї. Цей раунд містить основні кроки, зокрема й надійний метод автентифікації.

“Але дотримання нових стандартів, хоча й вдосконалених, залишається непомітним. Компанії часто чинять опір урядовим мандатам або кажуть, що жоден набір нормативних актів не може впоратися з проблемою блокування різних видів комп’ютерних мереж. Зусилля адміністрації щодо вимоги від компаній повідомляти уряду про порушення своїх систем протягом 24 годин або загроза штрафних санкцій не сприймаються корпоративними лобістами”, – пише газета.

Нагадаємо, що на початку жовтня російські хакери, які стоять атакою федеральних агентств США у 2020 році, впродовж останнім місяців намагалися проникнути в американські та європейські урядові мережі.

• Наприкінці минулого року сталася хакерська атака на федеральні відомства США, відома як злам SolarWind. У січні цього року американські спецслужби офіційно заявили, що підозрюють в атаці російських хакерів. У США вважають, що це було операцією зі збору розвідувальної інформації. Президент Microsoft Бред Сміт назвав атаку “найбільшою та найскладнішою у світі”. Кібератака порушила роботу понад 100 американських компаній та дев’яти державних установ.
• В липні хакерська група зламала близько 200 американських компаній внаслідок широкомасштабної атаки із застосуванням програм-вимагачів.

Джерело