Хакери, які, як вважають в американському уряді, працюють на РФ, отримали доступ до внутрішнього електронного трафіку у Міністерстві фінансів і торгівлі США і Національному управлінні з телекомунікацій і інформації (NTIA) — підрозділі міністерства торгівлі США. Про це повідомили джерела Reuters і The Washington Post.
Reuters посилається на людей, знайомих із цим питанням. Джерела побоюються, що розкриті на даний момент хакери можуть бути «вершиною айсберга».
Хакерський злам настільки серйозний, що через нього зібралася Рада національної безпеки в Білому домі в суботу, сказало одне із джерел агентства.
Американські чиновники не говорили багато публічно за межами Міністерства торгівлі. Вони підтверджуючи факт порушення в одному з його відомств і те, що вони просили Агентство з питань кібербезпеки та безпеки інфраструктури та ФБР провести розслідування.
Прессекретар Ради національної безпеки Джон Улліот додав, що «вони вживають усіх необхідних заходів для виявлення та виправлення будь-яких можливих проблем, пов'язаних з цією ситуацією».
Уряд США публічно не встановив, хто може стояти за хакерством, але троє людей, знайомих зі слідством, заявили, що в даний час РФ, як вважається, відповідальна за напад. Двоє людей сказали, що порушення пов'язані з широкою кампанією, яка також включала нещодавно розкритий злам FireEye, великої американської компанії з кібербезпеки, що має урядові та комерційні контракти.
У заяві, опублікованій на Facebook, російське міністерство закордонних справ назвало ці звинувачення черговою необґрунтованою спробою американських ЗМІ звинуватити Росію в кібератаках проти американських агентств. Посольство Росії в США у відповідь на публікації заявило, що «Росія не проводить «наступальних» операцій у віртуальному середовищі».
Reuters повідомляє, що кібершпигуни потрапили до систем уряду, таємно втрутившись у оновлення, випущені ІТ-компанією SolarWinds. Вона обслуговує державних клієнтів у виконавчій владі, військових та спецслужбах, за словами двох людей, знайомих з цим питанням. Трюк, який називають «атакою ланцюга поставок», працює шляхом приховування шкідливого коду в тілі законних оновлень програмного забезпечення, що надаються третіми сторонами атакованим сподивачам.
У своїй заяві, опублікованій в неділю, компанія, що базується в Остіні, штат Техас, заявила, що оновлення програмного забезпечення для моніторингу, випущені в період з березня по червень цього року, можуть бути пошкоджені тим, що вона назвала «надзвичайно складною, цілеспрямованою та неавтоматичною атакою ланцюга поставок з боку національної держави».
Компанія відмовилася надавати додаткові подробиці, але різноманітність клієнтської бази SolarWind викликало занепокоєння серед американської розвідувальної спільноти, оскільки інші державні органи можуть опинитися під загрозою.
На своєму вебсайті SolarWinds повідомляє, що серед його клієнтів — більшість американських компаній зі списку Fortune 500, десять найбільших постачальників телекомунікаційних послуг у США, усі п’ять відділень американських військових, Державний департамент, Агенція національної безпеки та Канцелярія Президента США.
Fortune 500 — щорічний список, що складається та публікується в американському журналі Fortune. До списку входять 500 найбільших американських корпорацій впорядкованих за валовим доходом. Концепція Fortune 500 була створена Едгаром П. Смітом, редактором Fortune.
Напад є серйозним викликом для адміністрації новообраного президента Джо Байдена. Чиновники розслідують, яку інформацію було вкрадено, і намагаються з'ясувати, для чого вона буде використана. Є випадки, коли масштабні розслідування кіберзлочинів займають місяці чи роки.
«Це історія набагато масштабніша, ніж одна агенція. Це величезна кампанія з кібершпигунства, спрямована проти уряду США та його інтересів», — сказав один із людей, обізнаних у цьому.
Хакери контролювали Microsoft 365 — офісне програмне забезпечення NTIA. Електронна пошта співробітників агентства контролювалася хакерами протягом місяців, зазначають джерела.
Представник Microsoft не відповів на запит Reuters про коментар, як і речник Міністерства фінансів. ФБР та Агентство національної безпеки США не відповіли на запит про коментар.
Хакери працюють «дуже витончено» й змогли обдурити засоби контролю автентифікації платформи Microsoft, за словами людини, знайомої з цим інцидентом, яка говорила на умовах анонімності, оскільки їй не дозволяли спілкуватися з пресою. «Це (діє) національна держава», — сказала інша людина, яка проінформувала про хакерів.
Усі наслідки атаки незрозумілі. За словами трьох людей, знайомих з цим питанням, розслідування — на початковій стадії і його веде низка федеральних органів, включаючи ФБР.
Представник Агентства з питань кібербезпеки та безпеки інфраструктури заявив, що вони «тісно співпрацюють з нашими партнерами з агентства щодо нещодавно виявленої діяльності в урядових мережах. CISA надає технічну допомогу постраждалим суб'єктам, які працюють над виявленням та пом'якшенням будь-яких потенційних компромісів».
Є деякі вказівки на те, що злам електронної пошти в NTIA стався влітку, хоча, за словами вищого американського чиновника, його виявили лише нещодавно.
За атакою стоїть угрупування Cozy Bear (також відоме як APT29), яке пов'язують з російськими спецслужбами, розповіли співрозмовники The Washington Post. Видання пише, що доступ до електронної пошти співробітників відомств стався навесні 2020 року.
Джерела The New York Times назвали цю хакерську атаку однією з найбільших атак проти системи уряду США за останні п'ять років.
Cozy Bear, або APT29 — хакерське угруповання, яке, за даними США, пов'язана з ФСБ. Cozy Bear поряд з іншою групою Fancy Bear (її пов'язують з ГРУ) раніше звинувачували у зломі листування керівництва Демократичної партії, начальника штабу Хілларі Клінтон Джона Подести та інших політиків.
Як ми писали раніше, анонімні хакери атакували Європейське агентство з лікарських засобів й отримали доступ до документів щодо вакцини Pfizer/BioNTech.