"В воскресенье администрация Трампа признала, что хакеры, действующие от лица иностранного правительства - почти наверняка российского разведывательного агентства, по мнению федеральных и частных экспертов - взломали ряд ключевых правительственных сетей, в том числе в министерствах финансов и торговли США, и получили свободный доступ к их системам электронной почты", - передает The New York Times.
"Как заявили чиновники, развернута охота с целью выяснения, пострадали ли другие элементы правительства в результате того, что выглядит одной из самых изощренных и, возможно, крупнейших атак на федеральные системы США за последние пять лет. Некоторые заявили, что агентства, связанные с национальной безопасностью, также стали объектами атак, хотя и неясно, содержали ли эти системы сверхсекретные материалы", - указывает издание, добавляя, что министерство торговли США признало, что пострадало одно из его агентств - как представляется, это Национальное управление по телекоммуникациям и информации (...).
"По федеральным офисам прокатилась своего рода паника, когда поздно вечером в воскресенье министерство внутренней безопасности США приказало всем агентствам прекратить любое использование сложного программного обеспечения для сетевого управления, произведенного компанией SolarWinds и установленного в сетях, принадлежащих государственным учреждениям и американским корпорациям. (...) Но было явно слишком поздно, ибо вторжения, продолжались месяцами, - констатирует газета. - Злонамеренный код был внедрен, когда хакеры взломали периодические автоматические обновления программного обеспечения (...). SolarWinds проследила эти вторжения до весны. Это означает, что хакеры имели полную свободу действий в течение большей части года, хотя неясно, в какой объем электронной почты и других систем они выбрали вторгнуться".
"FireEye, фирма компьютерной безопасности, которая впервые подняла тревогу по поводу российской кампании после того, как были взломаны ее собственные системы, заявила, что так называемая "атака на цепочку поставок" (англ. supply chain attack), направленная на сторонние продукты, внедряемые в компьютерные сети, представляет собой "высококлассные операционные методы работы".
"Мотив атаки на агентство и министерство финансов остается неясным, заявили два человека, знакомых с этим вопросом. Один правительственный чиновник сказал, что еще слишком рано говорить, насколько разрушительными были атаки и сколько материала было потеряно, но, по словам нескольких официальных лиц корпораций, атаки начались уже этой весной, а это означает, что они продолжали оставаться незамеченными в течение нескольких месяцев пандемии и в предвыборный сезон", - говорится в статье.
"Новости о взломе (....) появились менее чем через неделю после того, как Агентство национальной безопасности, которое отвечает за взлом иностранных компьютерных сетей и защиту наиболее чувствительных систем национальной безопасности США, выпустило предупреждение о том, что "российские игроки, спонсируемые государством", опираются на изъяны в системе, широко используемой в федеральном правительстве. (...) Вскоре после этого FireEye объявила, что хакеры, работающие на государство, украли некоторые из ее ценных инструментов для поиска уязвимостей в системах ее клиентов, включающих федеральное правительство. Это расследование также указало на СВР, одно из ведущих разведывательных агентств России. СВР часто называют Cozy Bear или A.P.T. 29, и она известна как традиционный собиратель разведданных", - пишет The New York Times.
"Клиенты FireEye, в том числе министерство внутренней безопасности и разведывательные агентства, нанимают эту фирму для проведения изощренных, но безопасных взломов их систем с использованием обширной базы данных компании с помощью методов, которые она наблюдала по всему миру. Ее инструменты "красной команды" (симулирующие угрозу извне) - по сути, имитирующие настоящих хакеров - используются для устранения дыр в безопасности сетей. Так что хакеры, укравшие инструменты FireEye, пополнили свой арсенал. Но, похоже, что FireEye был не единственной их жертвой, - предполагает издание. - Теперь исследователи считают, что глобальная кампания включала то, что хакеры внедряли свой код в периодические обновления программного обеспечения, используемого для управления сетями компанией SolarWinds. Ее продукты широко используются в корпоративных и федеральных сетях, а вредоносное ПО было тщательно минимизировано, чтобы избежать обнаружения. Компания, базирующаяся в Остине, штат Техас, сообщает, что у нее более 300 тыс. клиентов, в том числе большая часть 500 компаний, входящих в список Fortune. Но неясно, сколько из них используют платформу Orion, на которую вторглись российские хакеры, и все ли они были мишенями атаки".
"Если связь с Россией будет подтверждена, это станет самой изощренной из известных случаев кражи американских правительственных данных Москвой после двухлетнего периода в 2014 и 2015 годах, когда российские разведывательные агентства получили доступ к несекретным системам электронной почты в Белом доме, Государственном департаменте и Объединенном комитете начальников штабов. На то, чтобы исправить нанесенный ущерб, потребовались годы, но президент Барак Обама в то время решил не называть россиян исполнителями - шаг, который многие в его администрации теперь считают ошибкой", - напоминает The New York Yimes, добавляя, что "(...) та же группа хакеров совершила вторжение в систему Национального комитета Демократической партии и высших должностных лиц кампании Хиллари Клинтон", а "(...) другое, более деструктивное российское разведывательное агентство, ГРУ, считается ответственным за то, что позднее взломанные электронные письма Национального комитета Демократической партии были обнародованы".
"Складывается впечатление, что у этой кампании много жертв как в правительстве, так и в частном секторе, - замечает Дмитрий Альперович, председатель Silverado Policy Accelerator, геополитического аналитического центра, который был соучредителем CrowdStrike, фирмы, занимающейся кибербезопасностью, которая четыре года назад помогла обнаружить россиян в системе Национального комитета демократов. - Это мало чем отличается от того, что мы видели в 2014-2015 годах со стороны этого игрока, когда они провели масштабную кампанию и успешно скомпрометировали множество жертв".
(...) "По мнению исследователей из частного сектора, атаки на FireEye привели к более широкой охоте с целью выяснить, где еще российские хакеры могли проникнуть как в федеральные, так и в частные сети. Как сообщили чиновники, FireEye предоставила некоторые ключевые фрагменты компьютерного кода АНБ и Microsoft, которые продолжили поиск аналогичных атак на федеральные системы. Это привело к предупреждению о чрезвычайной ситуации на прошлой неделе".
"Посольство России в Вашингтоне в воскресенье вечером опровергло, что Москва причастна к хакерским атаками против правительства Соединенных Штатов. В заявлении посольства говорится, что Россия "не ведет наступательных операций в киберпространстве", - подчеркивается в материале.
(...) Что именно добыли хакеры, неясно, говорится в статье, но "ситуация напоминает китайский взлом Управления кадровой службы, который продолжался в течение года в 2014 и 2015 годах, в результате чего в конечном итоге было потеряно более 22 млн файлов допуска к секретной работе и более 5 млн отпечатков пальцев. Оказалось, что это было частью гораздо более обширных усилий Пекина по сбору данных, которые включали кражи из подразделения Starwood Hotels Marriott, базы данных страхования Anthem и агентства кредитной информации Equifax".
"История кражи Россией критически важных данных у правительства США насчитывает более двух десятилетий и привела к созданию Киберкомандования США, быстро расширяющегося контингента кибервойны в составе Пентагона. Еще в середине 1990-х годов ФБР было привлечено к расследованию сетей, в том числе национальных лабораторий Лос-Аламоса и Сандиа, которые, помимо прочего, занимаются разработкой ядерного оружия. По мнению некоторых экспертов, та российская операция, вскоре получившая название Moonlight Maze - "Лунный лабиринт", так и не закончилась", - пишет The New York Times.
"Деятельность, к которой относится это название - российские кибероперации против широкого круга американских целей - продолжается и по сей день", - писали в 2016 году для Центра Карнеги за международный мир, Бен Бьюкенен, ныне работающий в Джорджтаунском университете, и Майкл Салмейер, ныне старший советник Киберкомандования.
В написании статьи приняли участие Алан Раппеорт, Мэгги Хейберман, Джулиан Барнс и Золан Канно-Янгс.