За что США обновили санкции против РФ за одну из самых крупных хакерских атак в истории

Автоматические обновления компьютерных приложений считаются хорошим тоном в мире компьютерной безопасности.

Тем не менее этот способ внедрения вредоносного кода уже неоднократно использовали хакеры. Атака на сервера компании SolarWinds стала самой масштабной: среди жертв тысячи организаций, в том числе Госдеп и Пентагон.

США обвинили в атаке Россию — введенные президентом Джо Байденом новые санкции связаны в том числе и с этим взломом. Издание «Медиазона» рассказывает, как атака через SolarWinds стала возможной, как её обнаружили и почему она считается беспрецедентной.

«Взломы время от времени случаются»

«Сегодня США официально объявляют, что за широкомасштабной кибератакой с использованием платформы SolarWinds Orion и прочей IT-инфраструктуры стояла российская Служба внешней разведки (СВР), также известная как APT29, Cozy Bear и The Dukes, — говорится в сообщении на сайте Белого дома. — Доступ к системе распространения обновлений программного обеспечения SolarWinds предоставил СВР возможность взломать свыше 16 тысяч компьютерных систем по всему миру с потенциальной возможностью вмешательства в их работу. Эта кибератака затрагивает вопросы национальной безопасности и общественной безопасности».

В сообщении не утверждается, что все 16 тысяч компаний и ведомств были взломаны — но хакеры могли воспользоваться доступом к этим закрытым системам. Общее число пострадавших от взлома до сих пор выясняется. В опубликованных одновременно с приказом Байдена рекомендациях ФБР, Агентства национальной безопасности и Агентства кибербезопасности и инфраструктурной безопасности (CISA) говорится, что потенциальным жертвам взлома стоит помимо обновления ПО и прочих экстренных мер «исходить из того, что взломы время от времени случаются».

Белый дом подчеркивает, что кибератака на SolarWinds указывает на риски, «связанные с попытками России взламывать компании по всему миру через системы распространения [обновлений]». В связи с этим американские власти предупреждают о рисках сотрудничества с компаниями, которые «работают в России или хранят там пользовательские данные», а также каким-либо образом зависят от разработчиков или специалистов технической поддержки из России.

Британский МИД вслед за США обвинил СВР в причастности к кибератаке — к такому выводу пришли специалисты Центра правительственной связи (GCHQ). Дипломаты подчеркивают, что фактический доступ к внутренним сетям британских организаций удалось подтвердить только «в единичных случаях».

Представительница МИД России Мария Захарова поспешила ответить, что американские власти что-то «наворотили», и теперь «наш ответ неотвратим».

Служба внешней разведки отреагировала на решение Байдена пространным ответом о том, что «читать бред — занятие малоинтересное». «Во всем этом словоблудии самое неприятное вот что: «СВР России, также известная как…». Извините, господа, но СВР России на весь мир известна с 1920 года как Иностранный отдел ВЧК, 5 отдел Первого управления НКВД СССР. С середины прошлого века — Первое главное управление КГБ СССР, а ныне — Служба внешней разведки Российской Федерации. За столетними славными страницами истории отечественной разведки стоит не только высочайший профессионализм, но и умение вести работу честно на благо нашей страны!», — подчеркнуло пресс-бюро СВР.

Жертвы атаки: Госдеп и Пентагон

О крупнейшей хакерской истории последних лет мир узнал с сообщения не самой известной широкой общественности калифорнийской компании FireEye, которая занимается кибербезопасностью: специалисты по взломам обнаружили, что кто-то взломал их самих. Компания остановилась в шаге от прямых обвинений, ограничившись формулировкой «кибершпионаж государственного уровня», однако источники американских газет тут же указали на предполагаемых взломщиков — хакеров, связанных с российской разведкой.

Вскоре выяснилось, что компания FireEye стала лишь последней целью хакеров, месяцами имевших доступ к внутренним системам американских министерств и компаний. Среди потенциальных пострадавших называли министерства торговли и финансов, компании Intel, VMware, Cisco, Nvidia и прочих IT-гигантов.

Источники Washington Post конкретизировали обвинения: «Российским хакерам, известным как APT29 и Cozy Bear и работающим в структуре российской Службы внешней разведки, удалось в некоторых случаях получить доступ к почтовым ящикам».