В код открыт: за взломом правительства США мог стоять хакер из Казахстана
У версии американской прессы о том, что недавнюю кибератаку на американское правительство совершили русские хакеры, есть слабые стороны, говорят опрошенные «Известиями» эксперты по информационной безопасности. По их данным, за инцидентом может стоять злоумышленник из Казахстана. Еще в 2017 году хакер торговал доступом к серверам SolarWinds: тысячи компьютеров были заражены файлом обновления программы этой компании. Впрочем, в 2018 году у организации утекли данные, позволяющие подменять файлы обновления. Поэтому организовать атаку мог даже продвинутый школьник, говорят некоторые эксперты.
Обновление с подвохом
Недавно американская компания FireEye (специализируется на информационной безопасности) заявила о хакерской атаке на крупного поставщика ПО для IT-инфраструктур SolarWinds. Злоумышленники получили доступ к серверу организации и подменили оригинальный файл обновления программы Orion (служит для мониторинга, оповещения и формирования отчетности о работе серверов и сетевых приложений) на файл, зараженный трояном. Случилось это в промежутке с марта по июнь 2020 года.
Вредоносное обновление установили 18 тыс. клиентов из 33 тыс. возможных, заявляли в SolarWinds. В каждом случае злоумышленники получили удаленный доступ к компьютерам жертв, с помощью которого могли в том числе читать переписку.
Инцидент получил широкую огласку, поскольку компания тесно сотрудничает с госорганами США. В числе скомпрометированных правительственных организаций оказались как минимум министерства энергетики, финансов, торговли и внутренней безопасности. Всего же, по мнению специалистов, инцидент затронул не менее 200 организаций.
Еще до появления информации об атаке на ведомства гендиректор FireEye Кевин Мандиа сказал, что компания столкнулась с нападением хорошо организованной хакерской группировки, за которой стоит «нация с высочайшим наступательным потенциалом». Однако на конкретных подозреваемых он тогда не указал. Через несколько дней The Washington Post выступила с заявлением, что за инцидентом стоят хакеры из группировки APT-29, которую американские спецслужбы связывают с российской разведкой. Пресс-секретарь президента РФ Дмитрий Песков причастность страны к инциденту отверг.
Американские спецслужбы довольно быстро признали факт атаки, но о подозреваемых публично не высказывались. А уже в выходные стало известно, что в версии о русских хакерах не уверена и верхушка американской власти. 19 декабря в причастности России к атаке усомнился Дональд Трамп, который заявил о возможном участии в произошедшем Китая. 20 декабря СМИ сообщили, что от обвинений в адрес РФ отказался и Белый дом. Прессе стало известно, что правительство США в последний момент отменило публикацию о причастности России к хакерской атаке.
«Известия» направили запрос в американские министерства энергетики, финансов, торговли и внутренней безопасности с просьбой рассказать, какой версии придерживаются в ведомстве и какие меры организация предприняла для ликвидации последствий.
Ошибки прошлого
Ранее специалисты по информационной безопасности из SaveBreach обратили внимание на оплошность SolarWinds, которая расширяет круг подозреваемых организаторов атаки. Благодаря независимому исследователю информационной безопасности из Индии Виноту Кумару они выяснили, что у правительственного поставщика ПО была утечка задолго до сообщения FireEye.
В ноябре 2019 года индийский специалист сообщил службе поддержки SolarWinds, что обнаружил на сайте GitHub логин и пароль от сервера, на который загружаются файлы обновлений. Данные хранились открыто. Винот Кумар обратил внимание, что компания использует ненадежный пароль solarwinds123. Исследователь без проблем загрузил на сервер тестовый файл. В письме SolarWinds он предупредил, что злоумышленники также просто могут загрузить и зараженное обновление.
Данные находились в открытом доступе как минимум с июня 2018 года, сказал специалист в комментарии The Register. Эксперт не утверждает, что именно этот факт сыграл ключевую роль в обсуждаемой атаке, но и не исключает этого.
Халатность SolarWinds подчеркивает и то, что на странице техподдержки компания рекомендовала клиентам отключать антивирусное сканирование файлов при скачивании и установке Orion. Сейчас текст уже поправлен, но в Сети остались скриншоты.
— Безусловно, если ключи доступа к системам SolarWinds были оставлены в незащищенном хранилище, то это сильно облегчило задачу хакеров. Злоумышленники смогли взломать Сеть и постепенно продвигаться по ней, тщательно маскируя активность, — предположил руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
Оставить в открытом доступе актуальные учетные данные сервера — все равно, что оставить ключи от квартиры под ковриком и уехать в отпуск, считает эксперт.
— Взломать министерство финансов США (это ведомство атаковали первым. — «Известия») в данной ситуации мог практически любой. Для этого не нужно обладать специфическими знаниями, — сказал независимый исследователь даркнета Олег Бахтадзе-Карнаухов. — Цепочка простая: подключаешься к серверу обновлений по паролю, который можно найти на просторах интернета, внедряешь свой код в апдейт (тоже при желании можно найти в Сети), и все.
Открытый доступ к серверу был сродни приглашению, согласен генеральный директор компании «Аванпост» Андрей Конусов. Но характер атаки говорит о хорошей подготовке злоумышленников, которая требовала особых навыков, считает он.
— Из этого можно сделать вывод об участии опытной хакерской группировки. Но с какими «корнями» и целями? Вопрос остается открытым, — сказал Андрей Конусов.
Восточный мотив
Утечка данных на GitHub — не единственная причина полагать, что за взломом мог стоять кто-то, кроме могущественных русских хакеров. Издание Reuters, ссылаясь на анонимные источники, 17 декабря сообщило, что данные доступа к серверам SolarWinds еще в 2017 году продавались в даркнете пользователем под ником Fxmsp. Эту информацию «Известиям» подтвердили в компании Group-IB (у «Известий» есть скриншот объявления от хакера).
— Хакер из Казахстана (принадлежность к этой стране подтверждает отдельное исследование, которое компания выпустила в июне 2020 года. — «Известия»), известный как Fxmsp, еще в октябре 2017 года продавал доступы к solarwinds.com и dameware.com (программное обеспечение дистанционного управления от SolarWinds. — «Известия») на известном андеграундном форуме exploit.in. Эти компании были одними из первых, доступы к которым Fxmsp выставил на продажу в паблике, — заявили в пресс-службе Group-IB.
По данным специалистов, за три года активности Fxsmp скомпрометировал сотни компаний в 44 странах. По минимальным оценкам, прибыль хакера за это время могла составить $1,5 млн. В июле 2020 года департамент юстиции США опубликовал обвинительное заключение в отношении 37-летнего гражданина Казахстана Андрея Турчина, который и выступал под ником Fxsmp.
Политическая игра
Эксперты считают, что ошибка персонала SolarWinds — следствие халатности, связанной с ослаблением контроля за облачными средами. Например, данные из GitHub можно было бы выудить оперативно, поскольку проверка сайта на наличие в нем данных о той или иной компании является рядовой процедурой для специалистов по информбезопасности.
— Существует даже целое направление GitHub Scraping, в рамках которого массово исследуются репозитории на наличие ключей и паролей. В России на некоторых студенческих олимпиадах по информационной безопасности задания сложнее, — сказал Олег Бахтадзе-Карнаухов. — Взлом мог осуществить даже талантливый школьник, причем из любой страны мира.
Обвинение же русских — часть политической игры, а не вывод на основе реальных данных, считают эксперты.
— Порой американским компаниям для поддержки репутации выгоднее свалить все на русских хакеров или иных злоумышленников, нежели расписаться в собственной халатности, — считает Андрей Арсентьев из InfoWatch.
Пока что правительственным службам и ведомствам в США предписали незамедлительно отключиться от программы Orion от SolarWinds.