Батальон российских хакеров против Microsoft. Почему оказалась удачной самая масштабная кибератака на США
Директор Microsoft Брэд Смит заявил сенаторам о том, что в атаке на США участвовали около тысячи "умелых специалистов"
Под занавес и так, мягко говоря, непростого 2020-го года из США пришла новость о том, что хакеры (скорее всего российские), в том числе из группировки Cozy Bear (аффилированной с ФСБ), совершили продолжительную (начиная с марта 2020 г.) и самую масштабную за последние пять лет кибератаку на правительственные ведомства и прочие организации в Бельгии, Великобритании, Израиле, Испании, Канаде, Мексике, ОАЭ и США.
Основной удар все же пришелся по Соединенным Штатам, где, по последним оценкам, жертвами хакеров стали девять правительственных учреждений, среди которых Минфин, Министерство внутренней безопасности, Госдепартамент; а также свыше сотни частных компаний. Из них всех около 40 — это клиенты Microsoft.
Пролезть в системы ведомств и компаний киберпреступники смогли благодаря уязвимости в платформе Orion, используемой для централизованного управления и мониторинга, разработчиком которой является техасская компания SolarWinds.
Атаку 8 декабря зафиксировала компания FireEye, специализирующаяся на противодействии хакерам.
Но уязвимость платформы Orion — это лишь один из применяемых методов взлома.
Все обстоятельства и механизмы кибератаки, как и причиненный ущерб еще предстоит выяснить в рамках расследования, которое проводит американский Сенат. 23 февраля на слушания в него пригласили представителей SolarWinds, Microsoft, FireEye Inc и CrowdStrike Holdings.
Никого из Amazon, серверы которой также использовались для кибератаки, в Сенате не было — отказались присылать своих представителей.
Слушания ожидаемо стали источником важной информации о прошлогодней кибератаке. Однако в большей степени вчерашнее мероприятие походило на попытку компаний определить, кто же из приглашенных "невесток" обгадился больше всех.
Пока первенство в этой категории у Microsoft, судя по заявления участников слушаний. Т.е. все вроде как согласны, что уязвимость софта SolarWinds создала массу проблем, однако жертвы — FireEye Inc и CrowdStrike Holdings — уделяли больше внимания детищу Билла Гейтса.
Так, генеральный директор CrowdStrike Джордж Курц раскритиковал Microsoft за архаичность программного обеспечения в архитектуре аутентификации в сервисах Windows Active Directory и Azure Active Directory, благодаря чему хакеры попали в "облако" и пытались получить доступ к электронной почте CrowdStrike.
Microsoft, на первый взгляд, крыть было нечем. В особенности если учесть тот факт, что в конце декабря, когда газета The Washington Post писала о том, что киберпреступники взломали электронную переписку, как минимум, одной частной компании, Microsoft тут же выступила с опровержением, заявив, что: а) проникновения в облачный сервис не было; б) никаких уязвимостей найдено не было.
Через два месяца уже известно, что пусть почту и не взломали, но по остальным двум пунктам техногигант ошибся либо солгал. Сейчас представители Microsoft применяют оборонительную тактику, как бы размазывая ответственность тонким слоям по всем потенциальным виновникам.
Так, директор компании Брэд Смит, не акцентируя внимание на продуктах Microsoft, признает: да, мол, хакеры смогли сделать то, что сделали, используя самые что ни есть обычные повседневные компьютерные процессы.
По словам Смита, мир ведь привык уже полагаться на онлайн исправление ошибок или обновление ПО, а именно эти процессы являются дверью в "цифровой эквивалент" Минздрава компании.
В общем, он сосредоточился на описании всех ужасов новой киберугрозы, выявленной в ходе хакерской атаки. Она, угроза — невероятно масштабная и так просто с ней не справиться. И все методы проникновения до сих пор неизвестны. "Это крупнейшая и сложнейшая операция из тех, что мы видели", — заявил он.
Никто кроме злоумышленников не виноват, убеждает Смит. Ну, может отчасти расхлябанные клиенты, которые, в том числе, "оставляют на виду ключи от сейфа, а автомобиль — открытым".
Впрочем, справедливости ради, стоит помнить, что американские компании, организации и ведомства атаковали отнюдь не одиночки. Смит, ссылаясь на выводы экспертов, сообщил, что за кибератакой стояли "как минимум 1000 очень опытных и умелых специалистов".
Масштаб просто поражает. И в самом деле, что можно предпринять, если за твои продукты взялся целый батальон российских хакеров?
Перед лицом агрессии со стороны целого государства компаниям, пусть даже такими цифровым гигантам, как Microsoft, остается лишь уповать на поддержку и сотрудничество с правительством. Что компании, собственно, и делали во время слушаний, призывая власти ответить, как страна будет реагировать на произошедшее. И это в текущих неблагоприятных для Microsoft условиях единственно верная тактика защиты.
Реакция будет. Во время брифинга 23 февраля пресс-секретарь Белого дома Джен Псаки сообщила о том, что уже в ближайшие недели будут введены санкции в отношении России в связи с кибератакой, а также отравлением и арестом Алексея Навального.
По ее словам, на самом деле санкции начала готовить еще предыдущая администрация, однако Трамп в последний момент отказался давать им ход.
Важно и то, что санкции, если верить словам советника по вопросам нацбезопасности США Джейка Салливана, будут лишь одним из инструментов, с помощью которых Вашингтон ответит на действия России.
Очевидно, что спецслужбы по просьбе администрации Джо Байдена подготовят не только защитные механизмы, но и механизмы контратаки на сетевую инфраструктуру России.
Тем более, что успехи в этом у американцев уже есть. Хороший пример — это то, как американские спецслужбы взломали сеть кремлевской "фабрики троллей" и блокировали им доступ в интернет во время промежуточных выборов 2018 г.
С тех пор ставки в киберпротивостоянии выросли многократно. Участие тысячи человек в хакерской атаке на Штаты — это уже не привычная шпионская игра, а прямой акт агрессии, требующий соизмеримого ответа.