У версии американской прессы о том, что недавнюю кибератаку на американское правительство совершили русские хакеры, есть слабые стороны, пишут «Известия» со ссылкой на опрошенных экспертов по информационной безопасности.
По их данным, за инцидентом может стоять злоумышленник из Казахстана. Еще в 2017 году хакер торговал доступом к серверам SolarWinds: тысячи компьютеров были заражены файлом обновления программы этой компании.
Впрочем, в 2018 году у организации утекли данные, позволяющие подменять файлы обновления. Поэтому организовать атаку мог даже продвинутый школьник, говорят некоторые эксперты.
Недавно американская компания FireEye (специализируется на информационной безопасности) заявила о хакерской атаке на крупного поставщика ПО для IT-инфраструктур SolarWinds.
Злоумышленники получили доступ к серверу организации и подменили оригинальный файл обновления программы Orion (служит для мониторинга, оповещения и формирования отчетности о работе серверов и сетевых приложений) на файл, зараженный трояном. Случилось это в промежутке с марта по июнь 2020 года.
Вредоносное обновление установили 18 тыс. клиентов из 33 тыс. возможных, заявляли в SolarWinds. В каждом случае злоумышленники получили удаленный доступ к компьютерам жертв, с помощью которого могли в том числе читать переписку.
Инцидент получил широкую огласку, поскольку компания тесно сотрудничает с госорганами США. В числе скомпрометированных правительственных организаций оказались как минимум министерства энергетики, финансов, торговли и внутренней безопасности. Всего же, по мнению специалистов, инцидент затронул не менее 200 организаций.
Еще до появления информации об атаке на ведомства гендиректор FireEye Кевин Мандиа сказал, что компания столкнулась с нападением хорошо организованной хакерской группировки, за которой стоит «нация с высочайшим наступательным потенциалом». Однако на конкретных подозреваемых он тогда не указал. Через несколько дней The Washington Post выступила с заявлением, что за инцидентом стоят хакеры из группировки APT-29, которую американские спецслужбы связывают с российской разведкой. Пресс-секретарь президента РФ Дмитрий Песков причастность страны к инциденту отверг.
19 декабря в причастности России к атаке усомнился Дональд Трамп, который заявил о возможном участии в произошедшем Китая. 20 декабря СМИ сообщили, что от обвинений в адрес РФ отказался и Белый дом. Прессе стало известно, что правительство США в последний момент отменило публикацию о причастности России к хакерской атаке.
Ранее специалисты по информационной безопасности из SaveBreach обратили внимание на оплошность SolarWinds, которая расширяет круг подозреваемых организаторов атаки. Благодаря независимому исследователю информационной безопасности из Индии Виноту Кумару они выяснили, что у правительственного поставщика ПО была утечка задолго до сообщения FireEye.
В ноябре 2019 года индийский специалист сообщил службе поддержки SolarWinds, что обнаружил на сайте GitHub логин и пароль от сервера, на который загружаются файлы обновлений. Данные хранились открыто. Винот Кумар обратил внимание, что компания использует ненадежный пароль solarwinds123. Исследователь без проблем загрузил на сервер тестовый файл. В письме SolarWinds он предупредил, что злоумышленники также просто могут загрузить и зараженное обновление.
Данные находились в открытом доступе как минимум с июня 2018 года, сказал специалист в комментарии The Register. Эксперт не утверждает, что именно этот факт сыграл ключевую роль в обсуждаемой атаке, но и не исключает этого.
Халатность SolarWinds подчеркивает и то, что на странице техподдержки компания рекомендовала клиентам отключать антивирусное сканирование файлов при скачивании и установке Orion. Сейчас текст уже поправлен, но в Сети остались скриншоты.
— Безусловно, если ключи доступа к системам SolarWinds были оставлены в незащищенном хранилище, то это сильно облегчило задачу хакеров. Злоумышленники смогли взломать Сеть и постепенно продвигаться по ней, тщательно маскируя активность, — предположил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
Оставить в открытом доступе актуальные учетные данные сервера — все равно, что оставить ключи от квартиры под ковриком и уехать в отпуск, считает эксперт.
Утечка данных на GitHub — не единственная причина полагать, что за взломом мог стоять кто-то, кроме могущественных русских хакеров. Издание Reuters, ссылаясь на анонимные источники, 17 декабря сообщило, что данные доступа к серверам SolarWinds еще в 2017 году продавались в даркнете пользователем под ником Fxmsp.
— Хакер из Казахстана (принадлежность к этой стране подтверждает отдельное исследование, которое компания выпустила в июне 2020 года. — «Известия»), известный как Fxmsp, еще в октябре 2017 года продавал доступы к solarwinds.com и dameware.com (программное обеспечение дистанционного управления от SolarWinds. — «Известия») на известном андеграундном форуме exploit.in. Эти компании были одними из первых, доступы к которым Fxmsp выставил на продажу в паблике, — заявили в пресс-службе Group-IB.
По данным специалистов, за три года активности Fxsmp скомпрометировал сотни компаний в 44 странах. По минимальным оценкам, прибыль хакера за это время могла составить $1,5 млн. В июле 2020 года департамент юстиции США опубликовал обвинительное заключение в отношении 37-летнего гражданина Казахстана Андрея Турчина, который и выступал под ником Fxsmp.
Обвинение же русских — часть политической игры, а не вывод на основе реальных данных, считают эксперты.
— Порой американским компаниям для поддержки репутации выгоднее свалить все на русских хакеров или иных злоумышленников, нежели расписаться в собственной халатности, — считает Андрей Арсентьев из InfoWatch.
Пока что правительственным службам и ведомствам в США предписали незамедлительно отключиться от программы Orion от SolarWinds.