НОВІ КІБЕРАТАКИ НА ВИБОРИ У США - З МОСКОВІЇ, КИТАЮ ТА ІРАНУ

НОВІ КІБЕРАТАКИ НА ВИБОРИ У США - З МОСКОВІЇ, КИТАЮ ТА ІРАНУ

Протягом останніх тижнів корпорація Майкрософт виявила кібератаки на людей та організації, які беруть участь у найближчих президентських виборах США, зокрема невдалі напади на людей, пов'язаних і з кампаніями Трампа, і з кампаніями Байдена, про це детально написано нижче.

 Ми маємо і ми будемо захищати нашу демократію від цих атак та інформуватимо про такі атаки можливих жертв завдяки інструментам безпеки в наших продуктах та послугах.

 Факти, про які ми сьогодні розповідаємо, дають зрозуміти, що іноземні спецгрупи активізували свої зусилля, скеровані на листопадові вибори 2020 року, як це й передбачалося, і все це узгоджується з тим, про що повідомляли уряд США та інші аґенції. Окрім того, ми повідомляємо про напади на інші установи та підприємства у всьому світі, що відображають подібну підривну діяльність.

 Ми виявили, що:

 • Спецгрупа «Стронцій», яка діє з Московії, атакувала понад 200 організацій, зокрема політичні кампанії, правозахисні групи, партії та політичних консультантів

 • Спецгрупа «Цирконій», яка діє з Китаю, напала на високопосадовців, пов'язаних з виборами, зокрема на осіб, пов'язаних з виборчою кампанією Джо Байдена, та видатних лідерів міжнародної спільноти

 • Спецгрупа «Фосфор», яка діє з Ірану, продовжила атакувати особисті облікові записи осіб, пов'язаних з виборчою кампанією Дональда Трампа

 Більшість цих атак було виявлено та зупинено інструментами безпеки, вбудованими в наші продукти.

 Ми безпосередньо повідомили тих, на кого було націлено атаки, щоби вони могли вжити заходів для захисту.

 Сьогодні ми розповідаємо про деталі цих атак, і там, де ми конкретно називаємо жертв, ми робимо це за їхньої згоди.

 Те, що ми бачили, узгоджується з попередніми схемами нападів, які націлено не лише на кандидатів та співробітників передвиборчої кампанії, а й на тих, з ким вони консультуються з ключових питань.

 Ці заходи наголошують на нагальній потребі осіб та організацій, які задіяні у політичному процесі, обов’язково користуватися перевагами безкоштовних та недорогих інструментів безпеки, щоби захистити себе, коли ми наближаємось до дня виборів.

 Наприклад, в Microsoft ми пропонуємо AccountGuard threat monitoring та Microsoft 365 for Campaigns and Election Security Advisors, щоби допомогти захистити кампанії та їхніх волонтерів.

 Загалом, ці напади підкреслюють постійну важливість роботи, яку проводиться в ООН щодо захисту кіберпростору та таких ініціатив, як Паризький заклик до довіри та безпеки в кіберпросторі (Paris Call for Trust and Security in Cyberspace).

 СТРОНЦІЙ

 «Стронцій» - це спецгрупа, яка діє з Московії, атаки якої кілька разів відстежував Microsoftі вживав заходів для їхнього зриву.

 У звіті спецпрокурора Роберта Мюллера її також було визначено як організацію, відповідальну за напади на президентську кампанію Демократичної партії у 2016 році.

 Центр розвідки загроз Microsoft (Microsoft’s Threat Intelligence Center, MSTIC) спостерігав серію атак, проведених «Стронцієм» з вересня 2019 року по сьогодні.

 Подібно до того, що ми спостерігали у 2016 році, «Стронцій» розпочинає кампанії зі збору реєстраційних даних людей або компрометації їхніх облікових записів, щоби зібрати потрібну інформацію для підривних дій.

 Багато жертв атак «Стронцію у цій кампанії, які зачепили загалом понад 200 організацій, є прямо чи опосередковано пов'язаними з найближчими виборами в США, а також жертвами атак є політичні організації в Европі.

 Серед жертв є:

 Політичні консультанти в США, що обслуговують республіканців та демократів;

Аналітичні центри, наприклад Німецький фонд Маршалла США, та правозахисні організації;

Федеральні та місцеві партійні організації в США;

Европейська народна партія та політичні партії у Великій Британії.

 Інші жертви, які нещодавно атакував «Стронцій» -- це бізнеси у галузях розваг, гостинності, виробництва, фінансових послуг та фізичної безпеки.

 Microsoft стежила за цими атаками та повідомляла можливих жертв протягом кількох місяців, але лише нещодавно ми дійшли до того моменту нашого розслідування, коли ми можемо з високою впевненістю визначити джерелом цих атак групу «Стронцій».

 Розслідування MSTIC показало, що «Стронцій» значно розвинув свою тактику після виборів 2016 року, зокрема задіявши нові засоби розвідки та нові технології, щоби приховати свої операції.

 У 2016 році ця спецгрупа насамперед користувалася фішингом, щоби перехопити паролі людей.

 Ба останнім часом почалися грубі атаки та розпорошення паролів - дві тактики, які, ймовірно, дозволили їм суттєво автоматизувати свої дії.

 «Стронцій» також по-новому замаскував ці атаки зі збору облікових даних, провівши їх через понад 1000 постійно змінних IP-адрес, багато з яких є пов'язаними з послугою анонімізації Tor.

 «Стронцій» періодично навіть розширював свою інфраструктуру, щодоби додаючи та видаляючи до 20 ІР адрес, аби ще глибше замаскувати свої дії.

 Ми також працюємо з нашими клієнтами, щоби допомогти їм у активній боротьбі проти таких загроз в їхньому середовищі, і ми оприлюднили додаткові нюанси та вказівки щодо діяльності спецгрупи «Стронцій».

 ЦИРКОНІЙ

 «Цирконій», спецгрупа, яка працює з Китаю, намагалася отримати інформацію про організації, пов'язані з найближчими президентськими виборами у США.

 Ми виявили тисячі атак «Цирконію» від березня 2020 до вересня 2020 року, з яких майже 150 атак досягли своїх цілей.

 Жертвами були особи двох категорій.

 По-перше, група цілила в осіб, тісно пов’язаних з президентськими кампаніями та кандидатами в президенти США.

 Наприклад, спецгрупа «Цирконій»  опосередковано та безуспішно цілилась на кампанію Джо Байдена через некомерційні акаунти електронної пошти, які належать людям, пов’язаним з цією кампанією.

 «Цирконій» також цілився у принаймні одну відому особу, яка раніше пов'язану з адміністрацією Трампа.

 По-друге, група цілилася у відомих осіб міжнародної спільноти, в академіків з міжнародних справ з більш ніж 15 університетів, а також атакувала особисті профілі, пов'язані з 18 міжнародними політичними та політичними організаціями, зокрема Атлантичну Раду (Atlantic Council) та Стімсонівський центр (Stimson Center).

 «Цирконій» використовує те, що називають веб-помилками, або веб-маяками, прив'язаними до домену, який вони придбали та наповнювали вмістом.

 Потім спецгрупа надсилає відповідну URL-адресу або в тексті електронного листа, або як додаток до облікового запису.

 Хоча сам домен може й не мати шкідливого вмісту, така веб-помилка дозволяє «Цирконію» перевірити, чи намагався користувач отримати доступ до сайту.

 Для кіберспецгруп це найпростіший спосіб провести розвідку серед особистих профілів політиків, щоби визначити, чи обліковий запис є справжнім і чи є активним його користувач.

 ФОСФОР

 «Фосфор» - це спецгрупа, яка діє з Ірану, і яку MSTIC пильно відстежує вже протягом кількох років.

 Спецгрупа проводила шпигунські кампанії, спрямовані на широкий спектр організацій, традиційно пов’язаних з геополітикою, економікою та правами людини в регіоні Близького Сходу.

 Наприкінці 2019 року Microsoft вжила юридичних заходів проти інфраструктури «Фосфору» та її зусиль, спрямованих на президентської кампанії в США.

 Минулого місяця, в рамках наших постійних зусиль, спрямованих на зрив діяльності «Фосфору», Microsoftзнову отримала дозвіл федерального суду у Вашинґтоні (округ Колумбія) взяти під свій контроль 25 нових доменів Інтернету, які використовуються «Фосфором».

 З тих пір Microsoft взяла під контроль ті домени. На сьогодні ми використовуємо цей метод, перебравши під контроль загалом над 155 доменами «Фосфору».

 З моменту останнього розкриття «Фосфор» намагався отримати доступ до особистих чи робочих профілів осіб, які прямо чи опосередковано беруть участь у виборах президента США.

 У травні та червні 2020 року «Фосфор» безуспішно намагався ввійти в облікові записи службовців Адміністрації президента США та його виборчої кампанії.

 ПІДТРИМКА КІБЕРБЕЗПЕКИ

 Ми повідомляємо про подібні напади, бо вважаємо важливим, щоби світ знав про загрози демократичним процесам.

 Критично важливо, щоби всі, хто безпосередньо чи опосередковано бере участь у демократичних процесах у всьому світі, усвідомлювали ці загрози та вживали заходів для захисту і у своїй особистій, і у професійній діяльності.

 Ми звітуємо про нашу діяльність нашим замовникам, а також і широкому загалу, коли це стосується громадськості, незалежно від державної приналежності спецгрупи.

 Ми вживаємо додаткових заходів для захисту споживачів, які беруть участь у виборах, в уряді та у формуванні політики.

 Ми й далі розкриватимемо інформацію про додаткові зусилля щодо захисту демократії.

 Ми також вважаємо, що США потребують збільшення федерального фінансування, щоби штати могли краще захистити свою виборчу інфраструктуру.

 Хоча політичні організації, на які націлено такі атаки, не задіяно в системи голосування, але подібні підривні дії проти виборчого процесу у США стосується всієї екосистеми.

 Ми й надалі заохочуватимемо державні й місцеві виборчі органи в США посилювати свої дії та готуватися до потенційних атак.

 Як зазначають експерти з питань безпеки виборів, додаткове фінансування є нагально потрібним, тим більше, що значні кошти витрачаються на зміни в голосуванні, пов'язані з COVID-19.

 Ми закликаємо Конґрес ухвалити рішення про додаткове фінансуванням штатів і надати їм те, що їм треба, для захисту власне голосування та, зрештою, нашої демократії.

 Том Берт, Microsoft (корпоративний віце-президент Microsoft з безпеки та довіри клієнтів), 10.09.2020

переклад українською — John Lemberg