По мірі зростання розуміння російських хакерів зростає і тривога.
07.01.2021
2 січня 2021 року
У день виборів генерал Пол М. Накасоне, головний кібервійськовий країни, повідомив, що битва проти російського втручання в президентську кампанію досягла великих успіхів та викрила Інтернет-зброю, інструменти та торговельну платформу.”Ми розширили свою діяльність і відчуваємо себе дуже добре там, де знаходимося зараз”- сказав він журналістам.
Через вісім тижнів генерал Накасоне та інші американські чиновники, відповідальні за кібербезпеку, тепер поглинені тим, чого вони пропустили принаймні за дев’ять місяців: хакерство, яке, як вважають, зачепило понад 250 федеральних агентств та підприємств, що Росія націлена не на виборчу систему але в решті на уряд США та багатьох великих американських корпорацій.
Через три тижні після того, як виявили вторгнення , американські чиновники досі намагаються зрозуміти, чи те, що росіяни здійснили, було просто шпигунською операцією всередині систем американської бюрократії чи чимось більш зловісним, здійснюючи вхід через “задні двері” доступу до державних установ, великих корпорацій , електромереж та лабораторії, що розробляють та транспортують нові покоління ядерної зброї.
Як мінімум, він подав сигнали тривоги щодо вразливості урядових та приватних мереж Сполучених Штатів до нападів і порушив питання про те, як і чому національна кібербезпека так вражаюче провалились.
Ці питання набули особливої актуальності з огляду на те, що порушення не було виявлено жодним урядовим відомством, яке розділяє відповідальність за кіберзахист – військовим Кіберкомандуванням та Агенцією національної безпеки, обома з яких керує генерал Накасоне, та Міністерством національної політики з Безпеки – але виявлено приватною компанією з кібербезпеки, FireEye.
“Це виглядає набагато, набагато гірше, ніж я спочатку боявся”, – заявив сенатор Марк Уорнер, демократ Вірджинії та член рейтингового комітету з розвідки Сенату. “І цей об’єм постійно збільшується. Очевидно, що уряд Сполучених Штатів пропустив це “.
“І якби FireEye не виявив, – додав він, – я не впевнений, що ми б про це знали до сьогодняшнього дня”.
Інтерв’ю з ключовими гравцями, які розслідують те, що спецслужби вважають операцією російського S.V.R. спецслужба розкрила такі моменти:
Порушення набагато ширше, ніж вважалося спочатку. Первісні підрахунки полягали в тому, що Росія надіслала свої зонди лише декільком десяткам з 18 000 урядових та приватних мереж, до яких вони отримали доступ, коли вставляли код у програмне забезпечення для управління мережами, вироблене техаською компанією SolarWinds. Але оскільки такі компанії, як Amazon і Microsoft, які надають хмарні послуги, знаходяться глибоко для доказів, зараз, схоже, Росія експлуатувала кілька рівнів ланцюга поставок, щоб отримати доступ до 250 мереж.
Хакери впорались із вторгненням із серверів у Сполучених Штатах, використовуючи юридичні заборони Агентству національної безпеки брати участь у внутрішньому нагляді та уникати кібербезпеки, розгорнутих Міністерством національної безпеки.
Датчики “раннього попередження”, розміщені Cyber Command та Агенцією національної безпеки в глибині закордонних мереж для виявлення сторонніх атак , явно не впоралися. Також поки немає вказівок на те, що будь-яка розвідка людей попереджала США про злом.
Акцент уряду на захисті виборів, хоча і був критичним у 2020 році, можливо, відвернув ресурси та увагу від таких довготривалих проблем, як захист “ланцюга постачання” програмного забезпечення. Також у приватному секторі компанії, які були зосереджені на безпеці виборів, такі як FireEye та Microsoft, тепер виявляють, що вони були порушені в рамках більшої атаки в ланцюзі поставок.
Але такий підхід, хоча і розцінювався як давно назріла стратегія попередження нападів, пропустивши порушення Росії.
Генерал Пол М. Накасоне очолює як Агенцію національної безпеки, так і військове Кіберкомандування. T.J. Кіркпатрік для The New York Times
Організуючи свої атаки з серверів усередині США, в деяких випадках використовуючи комп’ютери на тій же території чи місті, де і їх жертви. За повідомленням FireEye, росіяни скористалися обмеженнями повноважень Агенції національної безпеки. Конгрес не надав агентству або національній безпеці жодних повноважень входити або захищати мережі приватного сектору. Саме в цих мережах оперативники S.V.R. були менш обережними, залишаючи підказки про їх вторгнення, які FireEye зрештою вдалося знайти.
Вставляючи себе в оновлення Orion від SolarWinds та використовуючи спеціальні інструменти, вони також уникали спрацьовування сигналів тривоги системи виявлення “Ейнштейна”, яку внутрішня безпека розгортала у державних установах для відлову відомих шкідливих програм, і так званого C.D.M. програма, яка була чітко розроблена для попередження агентств про підозрілу діяльність.
Деякі співробітники спецслужб ставлять під сумнів, чи уряд настільки зосередився на втручанні у вибори, що лишився відкритим в інших місцях.
Місяці тому спецслужби дійшли висновку, що Росія визначила, що вона не може проникнути в достатню кількість виборчих систем, щоб вплинути на результат виборів, і замість цього переключили свою увагу на відвернення атак-викупників, які можуть позбавити права голосу виборців, і впливати на операції, спрямовані на посівання розбрату, викликаючи сумніви у доброчесності та зміни думок виборців.
Зосередження уваги на захисті виборів, хоча і було критичним у 2020 році, можливо, відвернуло як ресурси, так і увагу від інших давно назрілих проблем. Лорен Юстіс для The New York Times
Злом SolarWinds, який розпочався ще в жовтні 2019 року, і вторгнення у торговельних посередників Microsoft дали Росії можливість атакувати найуразливіші мережі, що найменш захищаються, у кількох федеральних відомствах.
Генерал Накасоне відмовився від співбесіди. Але речник Агенції національної безпеки Чарльз К. Штадтлендер сказав: “Ми не розглядаємо це як компромісний варіант або вичерпаним / або закінченим”. Дії, ідеї та нові рамки, побудовані під час зусиль щодо безпеки виборів, мають позитивні наслідки для позиції нації та уряду США в галузі кібербезпеки.
Насправді Сполученим Штатам вдалося переконати Росію, що напад, спрямований на зміну голосів, спричинить дорогу помсту. Але коли масштаби вторгнення приходять у фокус, очевидно, що американський уряд не зумів переконати Росію, що це може мати порівнянні наслідки для здійснення широкомасштабного злому федерального уряду та корпоративних мереж.
Виведення хакерів
Співробітники спецслужб заявляють, що можуть пройти місяці, а то й роки, перш ніж вони повністю зрозуміють наслідки від хакерських атак.
З моменту виявлення найвищого інформатора Кремля у 2017 році знання C.I.A. про російські операції зменшились. І S.V.R. залишається однією з найбільш дієздатних спецслужб у світі, уникаючи електронних комунікацій, які можуть відкрити її таємниці Агенції національної безпеки, заявляють представники спецслужб.
Найкращі оцінки по S.V.R. прийшли від голландців. У 2014 році хакери, що працювали в Голландській службі загальної розвідки та безпеки, пробили комп’ютери, якими користувалася група, спостерігаючи за ними принаймні рік, і в один момент ловили їх на камеру.
Саме голландці допомогли попередити Білий дім та Державний департамент про зломи іх систем S.V.R. в 2014 та 2015 роках, а минулого місяця вони зловили та вислали з Нідерландів двох S.V.R. оперативників,які були звинувачені у проникненні там в технологічні компанії. Хоча група, як відомо, не являлася руйнівною, як відомо, але тепер важко витягнути з уражених комп’ютерних систем, в які вона проникла.
Річард Леджетт, тодішній заступник директора Агентства національної безпеки, заявив, що агентство займається цифровим еквівалентом “рукопашного бою”, потрапивши у некласифіковані системи в Державному департаменті та Білому домі. В якийсь момент S.V.R. отримав доступ до інструменту NetWitness Investigator, які оператори використовували для забезпечення російських втеч через задні двері, маніпулюючи ним таким чином, що хакери продовжували уникати виявлення.
Слідчі заявили, що припустили, що вони вигнали “S.V.R.”, лише виявивши, що група пролізла через інші двері.
Деякі експерти з питань безпеки заявляють, що позбавлення від стількох розрослихся федеральних агентств S.V.R. може бути марним, і що єдиним шляхом вперед може бути вимкнення систем і початок заново. Інші вважали, що робити це в середині пандемії було б надмірно дорого та трудомістко, і новій адміністрації доведеться попрацювати, щоб виявити та утримати кожну скомпрометовану систему, перш ніж вона зможе відкалібрувати відповідь.
“S.V.R. вони навмисні, вони витончені, і вони не мають таких самих правових обмежень, як у нас тут на Заході »- сказав Адам Дарра, колишній аналітик урядової розвідки, який зараз є директором розвідки в компанії Vigilante, охоронної фірми.
Санкції, звинувачення та інші заходи, додав він, не спромоглися стримати S.V.R., який показав, що він може швидко адаптуватися.
“Зараз вони дуже пильно спостерігають за нами”, – сказав пан Дарра. “І вони будуть обертатися відповідно”.