В последние месяцы стало известно, что США оказались мишенью двух масштабных хакерских атак, вину за которые в Вашингтоне возложили на российские и китайские правительства. Белый дом обещает наказать виновных и призвать их к ответу, однако за этими угрозами может скрываться неспособность американских властей эффективно выстроить защиту своего внутреннего киберпространства.
С первых дней в Белом доме президент США Джо Байден и его администрация грозятся наказать Россию за якобы проведенные страной кибератаки. В Вашингтоне уверены, что Москва стоит за взломом программного обеспечения Orion компании SolarWinds в марте 2020 года. Причем о самой атаке стало известно только в декабре. За это время хакерам удалось внедрить шпионский вирус в правительственные учреждения США и более чем в 400 крупнейших американских компаний.
По разным оценкам, это стало одним из самых масштабных кибернападений на американскую инфраструктуру за всю историю страны. При этом многие эксперты заявляли, что речь, вероятно, следует вести не о нападении с целью причинения ущерба, а о масштабной кибероперации с целью сбора разведывательной информации.
Несмотря на заявления Кремля о непричастности властей РФ к каким-либо взломам, в Вашингтоне пообещали использовать "всеобъемлющий набор инструментов", чтобы ответить Москве. По словам американских чиновников, в ход пойдут санкции и другие меры. Это случится, как только специалисты оценят истинный масштаб нанесенного хакерами ущерба.
США также обвиняют в кибератаках Китай
Пока администрация Байдена готовилась ответить на "российскую киберагрессию", США столкнулись с еще одной хакерской атакой. На этот раз киберпреступники использовали неизвестные ранее уязвимости в Outlook Exchange Server, почтовой службе Microsoft, что позволило им получить пароли и доступы к почтовым ящикам десятков тысяч различных организаций по всему миру.
В течение двух месяцев ряд частных компаний США подверглись атаке якобы китайской хакерской группировки, которую в самой корпорации Microsoft назвали Hafnium. По данным компании, Hafnium — это "спонсируемый государством" субъект, который Центр аналитики угроз Microsoft вычислил с помощью собственных "тактик и процедур". Компания назвала группу "высококвалифицированными и опытными исполнителями".
Более того, хакеры опубликовали информацию об уязвимостях в интернете, что только увеличило масштабы ущерба. Взлом затронул государственные и бизнес-учреждения, местные правительства, университеты и прочие организации, которые пользуются продуктами Microsoft Exchange Server. Пострадали также около 40 компаний из России.
Позже Microsoft выпустила патч с обновлением, установить который лично рекомендовали помощник американского президента по национальной безопасности Джейк Салливан и пресс-секретарь Белого дома Джен Псаки.
В ответ на обвинения в причастности к этой атаке в Пекине заявили, что не имеют никакого отношения к инциденту, и решительно высказались против любых видов кибернападений.
США готовят "контрудары" по системам РФ
Таким образом администрация Байдена намерена отреагировать на инцидент с SolarWinds. Как сообщила на минувшей неделе газета The New York Times, "контрудар" могут нанести в течение ближайших трех недель. В материале издания говорится, что операция вряд ли станет достоянием широкой общественности, но о ней узнают руководство РФ, российская разведка и военные.
"Пожалуй, это самый лучший способ послать России сигнал о том, что есть границы дозволенного, за пересечение которых последует ответ", — заявил изданию помощник американского президента по национальной безопасности Джейк Салливан.
Что касается ответа хакерам, которых якобы поддерживают в Китае, то и здесь Белый дом намерен принять ответные меры. Для этого Совет безопасности США собрал межведомственную целевую группу, в которую вошли Агентство по кибербезопасности и безопасности инфраструктуры (CISA), ФБР и другие ведомства. Все они должны провести всестороннее расследование случившегося и определить стратегию дальнейших действий. Это в том числе касается и сбора фактов о причастности ко взлому китайских официальных лиц.
Эксперты призывают США не развязывать кибервойны
Как написал в своей колонке для Wired Magazine эксперт по кибербезопасности и автор книги о "кремлевских хакерах" ("Песчаный червь: новая эра кибервойны и охота на самых опасных хакеров Кремля") Энди Гринберг, карательные меры Вашингтона в отношении Москвы могут показаться эффектным политическим решением, но на деле лишь приведут к эскалации киберпротивостояния.
"Каким бы политически заманчивым ни казались суровые ответные меры, они станут не только лицемерными, но и навредят любым реальным попыткам Кремля контролировать другие, гораздо более безрассудные хакерские атаки. Прецедент, который установит администрация Байдена, скорее всего, повлияет и на ответ США на недавние, все еще происходящие китайские хакерские атаки с использованием уязвимости в Microsoft Exchange", — пишет Гринберг.
Автор также приводит слова специалиста по кибербезопасности Дмитрия Альперовича, соучредителя охранной фирмы CrowdStrike, а ныне исполнительного председателя Silverado Policy Accelerator. По словам Альперовича, у США нет доказательств того, что взлом, который приписывают России, в данном случае вышел за рамки скрытого сбора разведданных, который США обычно сами проводят по всему миру.
"Даже использование Россией крупномасштабных хакерских атак и атак на логистические цепочки — это методы, которые США применяли в прошлом, например, посредством секретного контроля ЦРУ над швейцарской шифровальной фирмой Crypto AG или внедрения АНБ (Агентство национальной безопасности США) бэкдоров в аппаратное обеспечение Cisco, обнаруженного Сноуденом", — приводит Wired слова Альперовича.
В США все чаще говорят о пробеле в системе киберзащиты
Многие СМИ и эксперты отмечают, что вместо "актов возмездия" для США было бы разумнее заняться своими системами кибербезопасности. Как указывают законодатели и специалисты, зарубежные хакеры проводят свои операции с помощью американских серверов, из-за чего их сложнее отследить. К примеру, для атаки на SolarWinds злоумышленники использовали облачные системы Microsoft и Amazon.com Inc.
"Оба взлома (SolarWinds и Microsoft) произошли через одну и ту же уязвимость в существующей системе: они были запущены изнутри Соединенных Штатов — на серверах, управляемых Amazon, GoDaddy и более мелкими внутренними провайдерами, — это и сделало их недоступными для системы раннего предупреждения АНБ", — пишет The Wall Street Journal.
Проблема в том, что АНБ, ЦРУ и некоторые другие американские спецслужбы не имеют права наблюдать за частными компаниями на территории США, так как это расценивается как посягательство на личные свободы. Такие полномочия есть у ФБР и Министерства внутренней безопасности, но и эти ведомства не смогли вовремя среагировать на угрозы. В обоих случаях взломы раскрыли эксперты из частных компаний. Как отмечает The New York Times, все это вызывает вопросы, насколько страна может защитить себя в киберпространстве не только от конкурирующих государств, но и от террористов.
Еще до взлома SolarWinds и Microsoft американские законодатели искали способы укрепить киберзащиту США, пытаясь добиться принятия национального закона об уведомлении о взломе данных. Однако любые попытки властей расширить полномочия АНБ почти наверняка встретят резкое сопротивление со стороны правозащитников. После разоблачений Сноудена в 2013 году технологические компании США опасаются обмениваться данными с американскими спецслужбами.
Именно поэтому администрации Байдена остается говорить лишь о кибервозмездии как о единственном способе реагировать на взломы. Реагировать, но не предотвращать. Другим вариантом остается углубление работы с частным сектором, который можно использовать для противостояния хакерским угрозам вместо спецслужб. Однако и здесь остаются вопросы, могут ли частные компании обеспечивать государственную безопасность, если не всегда могут обеспечить свою. Как недавно стало известно из материала WSJ, данные для проведения атаки на Microsoft злоумышленникам могли предоставить партнеры американской корпорации.
По информации газеты, специалисты Microsoft уже расследуют возможную утечку секретной информации, которую корпорация по партнерской программе Microsoft Active Protections Program (MAPP) предоставляет компаниям, оказывающим услуги в сфере кибербезопасности. Участниками MAPP являются порядка 80 фирм по всему миру, десять из которых базируются на территории Китая. Вполне вероятно, что именно одна из этих компаний могла тайно предоставить хакерам сведения о нововведениях в ПО Microsoft, которое было использовано для атаки.
Дмитрий Беляев