Лондон / Вашингтон (Reuters) - Министерство внутренней безопасности США и тысячи компаний бросились в понедельник расследовать масштабную хакерскую кампанию, которая, как подозревают официальные лица, была направлена российским правительством. Электронные письма, отправленные должностными лицами DHS, которая контролирует безопасность и защиту от взлома, были отслежены хакерами как часть сложной серии нарушений, сообщили Reuters в понедельник три человека, знакомые с этим вопросом. Атаки, впервые отмеченные Reuters в воскресенье, также ударили по министерствам финансов и торговли США. В понедельник поздно вечером газета "Нью-Йорк Таймс" сообщила о взломе части здания Министерства обороны, а газета "Вашингтон Пост" сообщила, что были взломаны Государственный департамент и Национальные институты здравоохранения. Ни один из них не прокомментировал это агентству Рейтер. "По соображениям оперативной безопасности Министерство обороны не будет комментировать конкретные меры по смягчению последствий или указывать системы, которые могли быть затронуты”, - сказал представитель Пентагона.Технологическая компания SolarWinds, которая была ключевым steppingstone, используемым хакерами, заявила, что до 18 000 ее клиентов загрузили скомпрометированное обновление программного обеспечения, которое позволило хакерам незаметно шпионить за предприятиями и агентствами в течение почти девяти месяцев. Соединенные Штаты выпустили экстренное предупреждение в воскресенье, приказав правительственным пользователям отключить программное обеспечение SolarWinds, которое, по их словам, было скомпрометировано “злоумышленниками".” Это предупреждение появилось после того, как агентство Reuters сообщило о подозрении в том, что российские хакеры использовали захваченные обновления программного обеспечения SolarWinds для взлома нескольких американских правительственных учреждений. Москва отрицала свою причастность к терактам. Один из людей, знакомых с хакерской кампанией, сказал, что критическая сеть, которую отдел кибербезопасности DHS использует для защиты инфраструктуры, включая недавние выборы, не была нарушена. DHS заявила, что ей известно об этих сообщениях, но она не подтвердила их напрямую и не сказала, насколько сильно они были затронуты. DHS-это огромная бюрократия, помимо всего прочего ответственная за обеспечение распространения вакцины COVID-19. Подразделение кибербезопасности там, известное как CISA, было перевернуто с ног на голову президентом Дональдом Трампом после увольнения главы Криса Кребса после того, как Кребс назвал президентские выборы самыми безопасными в Американской истории. Его заместитель и руководитель избирательного штаба также ушли. SolarWinds заявила в нормативном раскрытии, что считает атаку работой “внешнего национального государства", которое вставило вредоносный код в обновления своего программного обеспечения для управления сетью Orion, выпущенные в период с марта по июнь этого года. "SolarWinds в настоящее время считает, что фактическое число клиентов, которые могли иметь установку продуктов Orion, содержащих эту уязвимость, составляет менее 18 000”, - говорится в нем. Компания не ответила на запросы о комментариях относительно точного числа скомпрометированных клиентов или степени каких-либо нарушений в этих организациях. Она заявила, что не знает об уязвимостях ни в одном из своих других продуктов и теперь расследует их с помощью американских правоохранительных органов и внешних экспертов по кибербезопасности. SolarWinds может похвастаться 300 000 клиентами по всему миру, включая большинство компаний из списка Fortune 500 США и некоторые из наиболее чувствительных частей правительств США и Великобритании - таких как Белый дом, Министерства обороны и службы разведки обеих стран. Поскольку злоумышленники могли использовать SolarWinds, чтобы проникнуть внутрь сети, а затем создать новый бэкдор, простого отключения программы управления сетью недостаточно, чтобы отключить хакеров, говорят эксперты.
По этой причине тысячи клиентов ищут признаки присутствия хакеров и пытаются выследить и отключить эти дополнительные инструменты. Следователи по всему миру сейчас изо всех сил пытаются выяснить, кто был взломан. Представитель британского правительства заявил, что Соединенное Королевство в настоящее время не знает о каких-либо последствиях взлома, но все еще проводит расследование.
Три человека, знакомые с расследованием взлома, сообщили агентству Reuters, что любая организация, работающая с скомпрометированной версией программного обеспечения Orion, имела бы “бэкдор”, установленный в их компьютерных системах злоумышленниками. “После этого остается только вопрос, решат ли злоумышленники использовать этот доступ дальше”, - сказал один из источников. По словам двух человек, знакомых с волной корпоративных расследований в области кибербезопасности, начатых в понедельник утром, первые признаки указывают на то, что хакеры были разборчивы в том, кого они выбрали для взлома
.
“То, что мы видим, намного меньше, чем все возможности”, - сказал один человек. “Они используют это как скальпель.” FireEye, известная компания по кибербезопасности, которая была нарушена в связи с инцидентом, сообщила в своем блоге, что другие цели включали “правительственные, консалтинговые, технологические, телекоммуникационные и добывающие компании в Северной Америке, Европе, Азии и на Ближнем Востоке.” “Если это кибершпионаж, то это одна из самых эффективных кампаний кибершпионажа, которые мы видели за довольно долгое время”, - сказал Джон Хультквист, директор отдела анализа разведки FireEye.
Если кратко. Кто-то взломал внутреннюю сеть компании SolarWinds, которая поставляет ПО для управлению сетью и внедрил бэкдор в очередное обновление. Во всем виновата конечно Россия и чуть-чуть Трамп. А как же ж.
Дополнение. Не все компании, поставившие обновление с бэкдором взломаны, а кто именно взломан - сейчас ищут.
