19 июля 2021, 11:12

США считают, что за атакой через ПО Microsoft стоят хакеры, связанные с Китаем

Представитель вашингтонской администрации высокого ранга считает, что китайское министерство госбезопасности "сознательно использует киберпреступников-контрактников для проведения несанкционированных киберопераций по всему миру"

ВАШИНГТОН, 19 июля. /ТАСС/. Власти США с высокой степенью уверенности считают, что за кибератакой через уязвимость в программном обеспечении (ПО) Exchange Server корпорации Microsoft стоят злоумышленники, якобы связанные с Министерством государственной безопасности КНР. С таким утверждением выступила в воскресенье вечером на брифинге для журналистов представительница вашингтонской администрации высокого ранга.

По ее словам, власти США вместе с союзниками и партнерами "с высокой степенью уверенности" в своих выводах готовы официально приписать "злонамеренную киберкампанию с использованием уязвимостей "нулевого дня" (уязвимости, которые еще не успели исправить) в Microsoft Exchange Server <...> действующим в киберпространстве злоумышленникам, связанным с Министерством государственной безопасности КНР".

Как утверждала представитель вашингтонской администрации высокого ранга, китайское министерство госбезопасности "сознательно использует киберпреступников-контрактников для проведения несанкционированных киберопераций по всему миру". Позднее она добавила, что подобная тактика "удивила" американскую сторону.

"Мы выразили должностным лицам правительства КНР высокого ранга нашу обеспокоенность как относительно инцидента с [ПО] Microsoft, так и относительно более широкого [спектра] злонамеренной деятельности КНР в киберпространстве, дав ясно понять, что действия КНР угрожают безопасности, уверенности и стабильности в киберпространстве. США, наши союзники и партнеры не исключают дальнейших действий по привлечению КНР к ответственности", - сказала она.

В начале марта не менее 60 тыс. организаций и компаний в США подверглись взлому из-за уязвимостей Microsoft Exchange Server. Американская администрация не смогла сразу назвать тех, кто, как она считает, несет ответственность за кибератаку через эти лазейки. После атак корпорация была определена в качестве одного из главных получателей федеральной помощи, выделенной правительством США на повышение безопасности компьютерных сетей в стране.

Подробности о кибератаке

Позднее на брифинге представительницу администрации попросили привести подробности относительно упомянутой "атаки с использованием вируса-вымогателя, связанной с Министерством государственной безопасности КНР". "Одна из причин, почему мы так много работали над установлением автора [атаки], заключается в том, что это действительно дало нам новую ценную информацию о работе Министерства государственной безопасности КНР и о том агрессивном поведении, которое мы наблюдаем со стороны Китая. Я не могу говорить о других деталях атаки, но это в действительности было тем, о чем мы думаем относительно программ-вымогателей, - требование выкупа, требование крупного выкупа от американской компании", - ответила она, не уточнив, о какой именно компании идет речь.

Помимо этого, ее попросили объяснить, чем тактика и цели действующих в киберпространстве злоумышленников, связанных, по мнению Вашингтона, с властями КНР, отличается от действий преступных группировок, действующих, как утверждают власти США, из России. По словам представительницы вашингтонской администрации высокого ранга, Министерство госбезопасности КНР использует киберпреступников-контрактников, чтобы проводить несанкционированные кибероперации по всему миру среди прочего для получения личной выгоды. "Все ради финансовой выгоды связанных с правительством КНР кибероператоров <...>", - утверждала она.

"Злонамеренная деятельность" Китая в киберсфере

Власти США обнародуют в понедельник свои данные о "злонамеренной деятельности" Китая в киберсфере и объявят контрмеры, заявила представитель американской администрации высокого ранга.

"США на протяжении долгого времени обеспокоены безответственным и дестабилизирующим поведением Китая в киберпространстве. США [в понедельник] вместе с нашими партнерами и союзниками обнародуют данные о злонамеренной деятельности Китая в киберсфере и о принятии дальнейших контрмер, поскольку это несет огромную угрозу американской экономике и национальной безопасности", - сказала она. По ее словам, в понедельник США вместе с Австралией, Великобританией, Канадой, Новой Зеландией, Японией, партнерами в ЕС и НАТО заявят о вредоносной активности китайских спецслужб в киберсфере.

"Мы ознакомим с тем, как Министерство госбезопасности Китая использует хакеров для проведения незаконных операций в мире, в том числе ради их [Китая] выгоды", - утверждала она. По версии представителя американских властей, такая деятельность Китая якобы выражается в кибервымогательстве, краже средств с помощью криптовалюты и мошенничестве. Кроме того, вашингтонская администрация приписывает Китаю применение вирусов-вымогателей против американских компаний.

Ведущая брифинга также рассказала, что Агентство национальной безопасности США, Федеральное бюро расследований и Агентство по обеспечению инфраструктурной и кибербезопасности (CISA) ознакомят общественность с "более чем 50 тактиками, техниками и приемами киберигроков, связанных с китайским правительством". Она пояснила, что соответствующие тезисы администрации будут отражены в понедельник в пресс-релизе, при этом аналогичные заявления ожидаются от ЕС и НАТО.

"Впервые НАТО публично связала такие вредоносные действия в киберпространстве с Китаем, - заявила представитель американской администрации. - Мы находимся на первой важной стадии привлечения внимания к <...> связи [Китая] с данными действиями и сплочения наших коллективных усилий в сфере безопасности, обеспечения защиты сетей и других действий, необходимых для пресечения этих угроз".

Блокирование сайтов группы хакеров REvil 

Соединенные Штаты считают позитивным шагом блокирование инфраструктуры хакеров REvil, но намерены добиваться привлечения к ответственности киберпреступников из данной группы, заявила представитель американской администрации высокого ранга.

Ей был задан вопрос о возможной роли США или России в отключении сайтов REvil. "Мы видим, думаю, как и многие из вас, <...> исходя из информации из открытых источников, что аккаунт представителя REvil может быть заблокирован в российских хакерских каналах. Мы видим, что инфраструктура REvi [по-прежнему] не работает, - сказала представитель администрации. - Мы полагаем, что это очень положительный момент. Эта группа нанесла огромный ущерб пострадавшим по всему миру".

"Мы продолжим заявлять российскому правительству, что считаем Россию ответственной за действия преступников, действующих из России, - отметила она. - Мы продолжим стремиться к дальнейшему прогрессу, не только в блокировании инфраструктуры, но и в плане привлечения к ответственности преступников".

По ее словам, стратегия США по противодействию вирусам-вымогателям состоит из четырех частей: устойчивости, отслеживания операций с криптовалютой, работы с другими государствами по созданию коалиции "для привлечения России и других стран к ответственности", прекращения работы инфраструктуры и системы платежей хакеров. "В рамках данной стратегии мы рассматриваем это (отключение сайтов REvil - прим. ТАСС) как очень обнадеживающие прогресс и шаги. Мы внимательно отслеживаем развитие событий в этой области", - сказала представитель администрации.

Ранее агентство Bloomberg сообщило, что сайты, предположительно принадлежащие хакерам из группировки REvil, отключены. Как отметили опрошенные агентством аналитики в сфере информационной безопасности, при попытке посетить сайт, на котором члены группировки обычно размещают свои заявления, появляется оповещение о том, что эта страница не найдена. Bloomberg подчеркивает, что аналогичным образом ситуация обстоит и с другими ресурсами, связанными с хакерами из REvil, которые якобы стоят за кибератаками на американское подразделение бразильской мясоперерабатывающей компании JBS и компанию - производителя программного обеспечения Kaseya.

Как заявил в четверг пресс-секретарь президента РФ Дмитрий Песков, Кремль по-прежнему не обладает информацией касательно вопроса, связано ли исчезновение сайтов, связанных с группой REvil, с контактами России и США по кибербезопасности.