Кибератака Sunburst в США - взлом года или взлом века?
Маттиас фон Хайн
22 декабря 2020 г.
Что нужно знать о мощной хакерской атаке на США, которую эксперты считают невозможной без поддержки властей, и почему в ее организации и исполнении уже обвинили Россию. DW с основными фактами.
Реклама
О том, что в результате хакерской атаки были взломаны правительственные компьютерные сети США, руководитель пресс-службы Совета национальной безопасности (СНБ) при Белом доме Джон Эллиот официально сообщил 13 декабря. В качестве целей этой атаки, осуществленной из-за рубежа, были названы министерство финансов и Национальное управление по телекоммуникациям и информации (NTIA).
Жертвы взлома по всему миру
С тех пор уже прошло около недели, и почти каждый день к числу "взломанных" добавляются все новые учреждения - среди них министерства торговли и энергетики, Госдепартамент США, исследовательские центры. Всего, по оценке американской корпорации Microsoft, жертвами атаки стали не менее 40 государственных структур, а также еще неизвестное число частных фирм, включая и саму Microsoft.
Большая часть целей хакеров - около 80% - находятся в США. В интервью информационному агентству AP высокопоставленный американский чиновник уже охарактеризовал кибератаку как "самую опасную в истории Америки". Остальные жертвы взломов находятся в Канаде, Мексике. Бельгии, Испании, Великобритании, Израиле и ОАЭ. Число объектов и стран еще будет расти.
Как сообщил президент Microsoft Брэд Смит, атака в принципе продолжается. И "это не обычный шпионаж, даже для эпохи цифровых технологий", добавили в одной из крупнейших высокотехнологичных компаний мира.
Как действовали хакеры
Началась атака далеко не в декабре. По имеющимся сейчас данным, еще в марте 2020 года злоумышленники проникли в системы расположенной в Техасе компании SolarWinds. Она производит программное обеспечение для управления и обеспечения безопасности компьютерных систем. Новым стало то, что SolarWinds была для хакеров не целью, а лишь путем доставки вредоносного софта в компьютеры американских правительственных учреждений, по которым прежде всего и планировалось нанести удар.
Проникнув в SolarWinds, хакеры разместили свой секретный код в одном из пакетов обновлений для программ этой компании - а потом сумели через систему автоматических обновлений (updates) разослать его клиентам компании.
А вот среди ее клиентов и были множество государственных учреждений, фирм и так далее. SolarWinds уже сообщила, что скачать зараженное программное обеспечение успели 18 тысяч получателей. Об истинном масштабе атаки можно составить впечатление, посмотрев на список клиентов, который SolarWinds до недавних пор гордо публиковала на своем вебсайте. Сейчас список удален, однако его копии остались.
Кто обнаружил кибератаку Sunburst
Избранная хакерами тактика - внедриться в системы жертв атаки под видом апдейта от известного производителя софта - позволила им в течение почти 8 месяцев незамеченными орудовать в компьютерах десятков госучреждений. Каковы именно были действия преступников, пока полностью не известно. Но судя по их высокому профессионализму, они могли как получить доступ к секретной информации и электронной переписке, так и осуществлять удаленный доступ и управление системами.
Использованная логика определила и название кибератаки - Sunburst. Вероятно, имеются в виде не столько "солнечные лучи" в дословном переводе, сколько фигура, используемая в архитектуре и дизайне, изображающая рассеивающиеся из центра "лучи" по аналогии с солнечными.
Первыми кибератаку заметили не в госучреждениях, а в компьютерной фирме FireEye, которая тоже была клиентом SolarWinds и тоже получила пакет обновлений. Как написал позже глава FireEye Кевин Мэндиа, "мы являемся свидетелями атаки со стороны государства, обладающего первоклассными орудиями нападения".
Реклама
Кого подозревают в хакерской атаке
Госсекретарь США Майк Помпео 19 декабря четко заявил о причастности России к кибератаке Sunburst. Он также включил РФ в список "врагов США". Еще днем ранее, говоря о причастности Москвы к атаке, он указал лишь, что это "довольно очевидно".
Несколько компьютерных экспертов в интервью американским газетам The Washington Post и The New York Times отметили, что атаку такого уровня возможно осуществить лишь при государственной поддержке. The Washington Post, ссылаясь на осведомленные источники, написала, что речь, предположительно, идет о группировке, работающей на Службу внешней разведки РФ.
Российские официальные лица неоднократно отвергали обвинения. Как заявил 21 декабря пресс-секретарь президента России Дмитрий Песков, "мы тут не причем".
Что Трамп и Байден будут делать после хакерской атаки
Президент США Донадьд Трамп отзывается о случившемся сдержанно. "Кибератака выглядит масштабнее в изложении фейковых новостных СМИ, нежели в реальности. Я был подробно проинформирован о случившемся. Все под контролем", - написал Трамп в Twitter. При этом он не исключил, что за массированным взломом стоял Китай.
Как сообщило агентство AP, официальные лица в Белом доме были готовы обнародовать 18 декабря заявление, в котором Россия называлась бы "основным фигурантом" операции, однако в последний момент документ был отозван. 20 декабря бывший кандидат в президенты США на выборах 2012 года, сенатор-республиканец от штата Юта Митт Ромни обвинил Трампа в попустительстве России.
Избранный президентом США Джо Байден высказывается более решительно: когда он станет хозяином Белого дома, кибератаки на США не будут оставаться без ответа. Эксперты в целом констатируют намечающийся переход от оборонительной тактики США в киберпространстве к нанесению ответных ударов.
Агентство AP цитирует эксперта по кибербезопасности из исследовательского Университета Колумбия Джейсона Хили, отмечающего, что "мы в состоянии полностью парализовать их компьютерные системы". По данным AP, в качестве ответных мер США возможны также и чувствительные утечки, касающиеся личных финансовых состояний президента Владимира Путина и членов его ближайшего окружения.
Смотрите также:
Взломай меня полностью: громкие кибератаки и утечки данных последних лет
Сообщения о взломах, утечках личных данных и хакерских атаках появляются регулярно. Многих хакеров подозревают в связях со спецслужбами РФ. Но не только. Фотогалерея DW - о самых резонансных случаях.
Фото: picture-alliance/dpa/W. Kumm
Жертва российских хакеров - SolarWinds
Американский IT-гигант Microsoft сообщил о новой волне хакерских атак из России. По данным Microsoft, именно хакеры из группировки Nobelium стояли за серьезной кибератакой в 2020 году на производителя программного обеспечения SolarWinds. В результате проникновения злоумышленников в системы этой компании пострадали не менее 40 государственных структур США и неизвестное число частных фирм.
Фото: BRENDAN MCDERMID/REUTERS
Личные данные немецких политиков оказались в Сети
Как стало известно 4 января, в конце 2018 года в Twitter появились ссылки на личные данные - в том числе, паспортные и кредитных карт - 994 немецких политиков, актеров, журналистов, музыкантов. Уже 6 января по подозрению в совершении взлома арестовали 20-летнего ученика гимназии в Гессене. По данным полиции, он много времени проводил у компьютера, однако специального образования у него нет.
Фото: picture-alliance/U.Baumgarten
Российские "мишки"
За последние годы новости о хакерах и кибератаках стали уже обыденностью. Зачастую авторство взломов приписывается нескольким группам хакеров - Cozy Bear (дословно "уютный медведь", известна еще как APT29), Fancy Bear ("модный медведь", APT28) и Energetic Bear ("энерегетический медведь"), которые связывают с российскими спецслужбами. Улики косвенные, но с каждым разом их становится все больше.
Фото: S. Elkin
Атаки на энергосети США и Германии
Летом 2018 года стало известно об атаках хакерской группировки Energetic Bear на энергосети США и Германии. По оценкам американских спецслужб, в США взломщики даже дошли до этапа, когда могли включать и выключать электричество и вывели из строя потоки энергии. В ФРГ же хакерам удалось проникнуть в сети лишь нескольких компаний до того, как немецкие спецслужбы взяли ситуацию под контроль.
Фото: picture-alliance/dpa/J. Stratenschulte
США обвинили ГРУшников в кибератаках
13 июля 2018 года Минюст США (на фото - офис ведомства в Вашингтоне) обвинил 12 граждан РФ в попытке вмешаться в выборы американского президента в 2016 году. По версии следствия, сотрудники Главного разведывательного управления (ГРУ) Генштаба вооруженных сил России участвовали во взломе компьютерных систем Демократической партии и предвыборного штаба Хиллари Клинтон.
Фото: picture-alliance/dpa/J. Lo Scalzo
США и Великобритания обвинили РФ в масштабной кибератаке
ФБР, министерство внутренней безопасности США и британский Центр национальной компьютерной безопасности 16 апреля 2018 года заявили, что российские хакеры атаковали госструктуры и частные компании в попытке завладеть интеллектуальной собственностью и получить доступ к сетям своих жертв. Аналогичные обвинения в тот же день озвучила министр обороны Австралии Мариз Пейн.
Фото: Imago/T. Trutschel
Bad Rabbit поразил Россию и Украину
Новый вирус Bad Rabbit поразил 24 октября серверы нескольких российских СМИ. Кроме того, хакеры атаковали несколько государственных учреждений на Украине, а также системы киевского метрополитена, министерства инфраструктуры и аэропорта Одессы. Ранее атаки Bad Rabbit были зафиксированы в Турции и Германии. Эксперты считают, что вирус распространяется методом, схожим с ExPetr (он же Petya).
Фото: picture-alliance/dpa/O. Berg
Кибератака века
12 мая 2017 года стало известно, что десятки тысяч компьютеров в 74 странах подверглись кибератаке небывалого масштаба. Вирус WannaCry шифрует данные на компьютерах, хакеры обещают снять блокировку за выкуп в 300 долларов в биткоинах. Особо пострадали медучреждения Великобритании, компания Deutsche Bahn в ФРГ, компьютеры МВД РФ, Следственного комитета и РЖД, а также Испания, Индия и другие страны.
Фото: picture-alliance/dpa/P. Götzelt
Вирус Petya
В июне 2017 года по всему миру были зафиксированы атаки мощного вируса Petya.A. Он парализовал работу серверов правительства Украины, национальной почты, метрополитена Киева. Вирус также затронул ряд компаний в РФ. Зараженными оказались компьютеры в ФРГ, Великобритании, Дании, Нидерландах, США. Данных о том, кто стоял за распространением вируса, нет.
Фото: DW/M. von Hein
Атака на бундестаг
В мае 2015 года обнаружилось, что взломщики проникли во внутреннюю компьютерную сеть бундестага с помощью вредоносной программы ("трояна"). IT-эксперты обнаружили в этой атаке следы группы APT28. В пользу российского происхождения хакеров свидетельствовали, среди прочего, русскоязычные настройки вирусной программы и время проводимых ими операций, совпадавшее с московскими офисными часами работы.
Фото: picture-alliance/dpa/W. Kumm
Против Хиллари
В ходе предвыборной гонки за пост президента США хакеры дважды получали доступ к серверам Демократической партии кандидата Хиллари Клинтон. Американские спецслужбы и IT-компании установили, что летом 2015 года действовали представители Cozy Bear, а весной 2016-го - Fancy Bear. По мнению разведслужб США, кибератаки были санкционированы высокопоставленными российскими чиновниками.
Фото: Reuters/B. Snyder
Партия Меркель под прицелом
В мае 2016 года стало известно о том, что штаб-квартира партии Христианско-демократический союз (ХДС) канцлера ФРГ Ангелы Меркель подверглась хакерской атаке. IT-специалисты утверждали, что это взломщики из Cozy Bear пытались получить доступ к базам данных ХДС с помощью фишинга (рассылка писем со ссылками на сайты, не отличимые от настоящих), но попытки не увенчались успехом.
Фото: Imago/Reporters
Допинговый взлом
В сентябре 2016 года Всемирное антидопинговое агентство (WADA) сообщило о взломе своей базы данных. Группа Fancy Bear выложила в Сеть документы со списком атлетов, которым WADA разрешило использовать в связи с лечением заболеваний препараты из списка запрещенных (терапевтические исключения). Среди них были американские теннисистки Серена и Винус Уильямс и гимнастка Симона Байлз.
Фото: picture-alliance/ dpa/dpaweb
500 млн аккаунтов Yahoo
В феврале 2017 года Минюст США выдвинул обвинения в краже данных более 500 млн аккаунтов в Yahoo против двух офицеров ФСБ Дмитрия Докучаева и Игоря Сущина. Кибератака произошла в конце 2014 года. По версии обвинения, сотрудники ФСБ наняли для этого двух хакеров. Среди жертв взлома оказались российские журналисты, правительственные чиновники из России и США и многие другие.