Перша світова кібервійна. Вашингтон готується натиснути кнопку
Сполучені Штати готують покарання Росії та Китаю за кібератаки
Сервери державних установ США та компаній-гігантів періодично зазнають масштабних атак з боку російських чи китайських хакерів. Найкрупніший хак-скандал цього року розгорається навколо зламу платформи SolarWinds, він стався у кінці минулого року. Експерти майже впевнені: в історії з кібератакою стирчать вуха Кремля.
Удар через SolarWinds
13 грудня 2020 року агентство Reuters повідомило, що хакери зламали систему Міністерства фінансів США та Національного управління з телекомунікацій та інформації та викрали дані. Злам відбувся через сервер оновлень системи управління продуктами SolarWinds Orion Platform (зокрема, її версії 2019.4 – 2020.2.1 HF1). Постраждали майже всі державні установи США.
Der Spiegel пише, що через атаку на SolarWinds могли постраждати близько 300 об'єктів у Німеччині. «Через шкідливе оновлення пограмного забезпечення, його хакери непомітно впровадили в продукти компанії SolarWinds, яка розробляє програмне забезпечення, в численних відомствах і підприємствах по всьому світу на кілька місяців утворилася лазівка, яку можна було використовувати для атак і викрадення даних», – пояснює видання.
Уряд ФРН виходить з того, що в Німеччині постраждати від атаки могли близько 300 об'єктів. «Одне лише існування лазівки ще не означає, що у постраждалих організацій дійсно викрали дані, – зазначає видання. – Після того, як на першому етапі хакери забезпечили собі доступ до об'єктів за допомогою шкідливого поновлення SolarWinds, вони могли завантажити інші шкідливі програми, через які потім міг статися витік даних».
Російський почерк?
Як пише Bloomberg, компанія зі Швейцарії, яка спеціалізується на кібербезпеці, Prodaft запевняє, що хакери продовжували свою шкідливу роботу навіть у березні. Загалом, швейцарські експерти кажуть, що змогли проникнути в комп'ютерну інфраструктуру зловмисників і отримати докази про масивну кампанію, яка розгорталася з серпня до березня. Тоді постраждали тисячі компаній й урядових організацій по всій Європі й в США.
У Prodaft кажуть, що до зламу причетні хакери з кіберзлочинного угрупування SilverFish, і що вони «мають деякі ознаки організації, яку фінансує держава». Зокрема, про це свідчить те, що вони атакували критично важливу інфраструктуру й не були мотивовані грошима. Однак, потрібно провести додатковий аналіз, щоб підтвердити зв'язки з урядовими структурами.
«Хакери керували серверами в Росії й Україні. А також використовували деякі спільні сервери з іншою російською злочинною кібергрупою Evil Corp», – йдеться в звіті швейцарської компанії.
Водночас швейцарські спеціалісти не поспішають називати винуватців, а от дослідники у сфері кібербезпеки в США переконані, що кібератаки були шпигунською операцією РФ, атаки пов'язують з діяльністю хакерської групи APT29 або Cozy Bear, яку частково звинувачують у зв'язках зі Службою зовнішньої розвідки РФ.
Президент однієї з постраждалих американських компаній-гігантів Microsoft Бред Сміт заявив, що у компанії є докази причетності Росії до масової кібератаки на американські урядові системи. Глава компанії з кібербезпеки FireEye Кевін Мандіа розповів, що при атаці хакери використовували інструменти, схожі на ті, які використовує Росія.
Погрози з боку США
Радник президента США Джо Байдена з питань національної безпеки Джейк Салліван повідомив, що Росія отримає відповідь на кібератаку SolarWinds впродовж «тижнів, а не місяців». За його словами, відповідь, ймовірно, включатиме «мікс інструментів бачених і небачених». Він наголосив, що «це будуть не просто санкції».
«Ми в процесі роботи над цим, і ми забезпечимо, щоб Росія зрозуміла, де Сполучені Штати проводять лінію», – сказав Салліван.
Власне, ці погрози з американського боку влаштувати Росії кібервендетту пролунали ще 20 лютого, однак Росія досі не скаржиться на втручання зарубіжних хакерів у роботу її мереж. 8 березня The New York Times із посиланням на посадовців США повідомила, що кіберудар справді планується ці заходи поєднуватимуться з економічними санкціями і розпорядженням президента США Джо Байдена щодо посилення федеральних урядових мереж після російських хакерських атак. Втім, помста, очевидно, відкладається. Згодом американські фахівці припустили, що до атаки може бути причетним Китай.
20 березня Білий дім нагадав, що досі планує кібератаки проти РФ. The Telegraph наголошує, що атака, яка стане відповіддю на злам SolarWinds, відбудеться за два тижні. Видання припускає, що США не будуть націлюватися на цивільні структури або мережі. Натомість злам має стати прямим викликом Путіну і його кіберармії. Білий дім підтвердив, що він зробить «ряд дій» – «видимих і невидимих», хоча не уточнив, коли і як це буде зроблено», – йдеться в статті.
Атака з боку китайців
Сполучені Штати потерпають від кібератак не лише з боку росіян, а й китайців та іранців. 8 березня Microsoft звинуватила китайську групу хакерів в атаках на програмне забезпечення поштового сервера технологічного гіганта. У Microsoft заявили, що хакери «з високим ступенем ймовірності» були учасниками групи Hafnium, яка, ймовірніше, фінансується державою і діє за межами Китаю. Під час хакерської кампанії використовувалися чотири раніше невиявлені слабкі місця в різних версіях програмного забезпечення Microsoft.
Microsoft заявила, що Hafnium націлена на дослідників інфекційних захворювань, юридичні фірми, вищі навчальні заклади та оборонних підрядників. Також хакери переслідували політичні аналітичні центри та неурядові групи.
Осторонь цієї атаки не лишився і Білий дім, там ситуацію назвали реальною загрозою національним інтересам, яка зберігається й досі, закликавши всі компанії, які користуються серверами електронної пошти Microsoft Exchange, негайно встановити відповідні оновлення.
Атака у кіберпросторі, покарання – у реальності
Сполучені Штати готуються карати РФ, Китай чи іншу країну, яка ініціюватиме хакерські атаки на США, не лише дзеркальними атаками. На розгляді Палати представників США зараз перебуває законопроєкт, який дозволяє уряду США блокувати та використовувати активи держав для компенсації збитків, завданих ними шляхом кібератак.
«Кібернапади на США стають все частішими, тож Конгрес повинен надати американцям інструменти, необхідні для боротьби. Наш законопроєкт дозволяє це забезпечити, надавши американцям можливість притягувати уряди іноземних держав до відповідальності за шкоду, заподіяну кібератаками», – йдеться в документі.
При цьому підкреслюється, що американський Конгрес повинен зупинити держави, які підривають національну безпеку Сполучених Штатів, для початку запровадивши законну можливість блокувати активи цих держав, розміщені в США. Як пояснюється в документі, двопартійний законопроєкт має назву HACT Act (Закон про Батьківщину та кіберзагрози). Він передбачає ліквідацію імунітету іноземних держав – включно з іноземними чиновниками, службовцями й агентами – в судах США щодо компенсації шкоди за рахунок їхніх активів, розміщених у США.
Україна в епіцентрі кібервійни
З середині лютого Україна, схоже, також опинилась у зоні кібернебезпеки, і основним джерелом загрози є РФ, що цілком вписується в її тактику гідбридної війни. Національний координаційний центр кібербезпеки при РНБО повідомляє про низку масштабних атак на українські сайти, причому у діапазоні від банальних DDoS-атак (які чинять збій у роботі ресурсу шляхом спрямування величезної кількості однотипних запитів), так до хитрих спроб «підсадити» небезпечні віруси у програми документообігу.
Досі нашим фахівцям вдавалося вчасно виявити загрози і запобігти заподіянню шкоди. Сумнівів у РНБО немає – там прямо заявляють, що за кібератаками стоять спецслужби країни-агресора. Заступник секретаря РНБО Сергій Демедюк, саме він у структурі Ради відповідає за кібербезпеку, пов'язує атаки у кіберпросторі із санкціями, які українська влада ввела проти нардепа, кума президента РФ Путіна Віктора Медведчука та його колеги по фракції «Опозиційна платформа – За життя» Тараса Козака, а також із блокуванням телеканалів Медведчука.
16 березня стало відомо, що співробітники СБУ заблокували масштабну кібератаку підконтрольного ФСБ РФ хакерського угруповання Armageddon на урядові ресурси України. «Через дії хакерів куратори з країни-агресора могли отримати доступ до секретних даних вищих органів державної влади України», – повідомили в СБУ.
До слова, в РНБО зауважили, що атака на SolarWinds дуже схожа з атакою Ransom: Win32/Petya, що мала місце в Україні у 2017 році. Нагадаємо, 27 червня 2017 року в ході масштабної хакерської атаки тисячі серверів як державних, так і приватних підприємств України виявилися заражені вірусом Petya (він також називався NotPetya). Тоді вірус почав поширюватися по країні через оновлення популярної бухгалтерської програми M.E.doc. Petya – вірус, який видаляв усю наявну на жорсткому диску інформацію без жодної можливості відновити втрачені дані. Вважається, що саме з України вірус поширився на коропоративні мережі інших країн: Данії, Франції, Сполучених Штатів, Австралії, Індії, Іспанії тощо.
В Україні тоді постраждало чимало великих організацій: «Запоріжжяобленерго», «Дніпроенерго», Київський метрополітен, мобільні оператори «Київстар», LifeCell, «Укртелеком», мережа супермаркетів «Ашан», «Приватбанк», аеропорт «Бориспіль» тощо.
Українська сторона пов'язує атаку вірусу Petya з Росією.
Наталія Сокирчук, «Главком»