Утечка данных федерального правительства США в 2020 году

Утечка данных федерального правительства США в 2020 году

Сообщается, что федеральные учреждения США были взломаны. Сверху по часовой стрелке: Защита , [ 1 ] Труд , [ 2 ] Энергия , [ 3 ] Состояние , [ 4 ] Национальные институты здравоохранения , [ 5 ] Коммерция , [ 4 ] Национальная безопасность , [ 4 ] Казначейство , [ 4 ] Сельское хозяйство , [ 6 ] Справедливость [ 7 ]
Дата	До октября 2019 г. (начало компрометации цепочки поставок) [ 8 ] Март 2020 г. (возможная дата начала федерального нарушения) [ 9 ] [ 10 ] 13 декабря 2020 г. (нарушение подтверждено) [ 9 ] [ 10 ]
Продолжительность	минимум 8 [ 11 ] или 9 месяцев [ 12 ]
Расположение	США, Великобритания, Испания, Израиль, Объединенные Арабские Эмираты, Канада, Мексика и другие. [ 13 ]
Тип	Кибератака , утечка данных
Тема	Вредоносное ПО , бэкдор , продвинутая постоянная угроза , шпионаж
Причина	Microsoft Outlook Web App Ошибка программного обеспечения [ 14 ] [ 15 ] Microsoft Атака на цепочку поставок (компрометация торгового посредника) [ 16 ] [ 17 ] [ 18 ] SolarWinds Атака на цепочку поставок SUNBURST ( троян ) [ 19 ] [ 20 ] VMware Ошибка программного обеспечения [ 21 ] [ 22 ] Zerologon Ошибка программного обеспечения [ 23 ] [ 24 ]
Цель	Федеральное правительство США, правительства штатов и местные органы власти, а также частный сектор
Первый репортер	FireEye ( скоординированное раскрытие уязвимостей ) [ 1 ] АНБ (скоординированное раскрытие уязвимостей) [ 21 ] Рейтер (публичное раскрытие) [ 25 ] [ 26 ]
Подозреваемые	Берсерк Медведь (Россия) [ 23 ] Уютный Медведь (Россия) [ 27 ] [ 26 ] ФСБ (Россия) [ 23 ] СВР (Россия) [ 27 ] [ 26 ]

В 2020 году крупная кибератака , предположительно совершенная группой, поддерживаемой правительством России, затронула тысячи организаций по всему миру, включая многочисленные подразделения федерального правительства США , что привело к серии утечек данных . ^{[ 1 ] [ 28 ] [ 29 ]} Сообщается, что кибератака и утечка данных были одними из самых серьезных инцидентов кибершпионажа , когда-либо пострадавших в США, из-за чувствительности и высокого профиля целей, а также длительного периода (от восьми до девяти месяцев), в течение которого хакеры имели доступ. ^{[ 35 ]} Сообщалось, что через несколько дней после обнаружения от атаки пострадали по меньшей мере 200 организаций по всему миру, и некоторые из них также могли пострадать от утечки данных. ^{[ 1 ] [ 36 ] [ 37 ]} Затронутые организации во всем мире включали НАТО и Великобританию . правительство, Европейский парламент , Microsoft и другие. ^{[ 36 ]}

Об атаке, которая оставалась незамеченной в течение нескольких месяцев, впервые публично сообщалось 13 декабря 2020 года. ^{[ 25 ] [ 26 ]} Первоначально было известно, что оно затронуло только Министерство финансов США и Национальное управление по телекоммуникациям и информации (NTIA), входящее в состав Министерства торговли США . ^{[ 42 ]} В последующие дни о нарушениях сообщили еще больше ведомств и частных организаций. ^{[ 1 ] [ 5 ] [ 36 ]}

Кибератака, которая привела к нарушениям, началась не позднее марта 2020 года. ^{[ 9 ] [ 10 ]} Злоумышленники использовали программное обеспечение или учетные данные как минимум трех американских фирм: Microsoft , SolarWinds и VMware . ^{[ 43 ] [ 21 ]} Атака по цепочке поставок облачных сервисов Microsoft предоставила злоумышленникам один из способов взломать свои жертвы, в зависимости от того, купили ли жертвы эти услуги через реселлера. ^{[ 16 ] [ 17 ] [ 18 ]} Атака в цепочке поставок на программное обеспечение Orion компании SolarWinds, широко используемое в правительстве и промышленности, предоставила еще один путь, если жертва использовала это программное обеспечение. ^{[ 12 ] [ 44 ]} Недостатки в продуктах Microsoft и VMware позволяли злоумышленникам получить доступ к электронной почте и другим документам. ^{[ 23 ] [ 24 ] [ 14 ] [ 15 ]} и выполнять федеративную аутентификацию на ресурсах жертвы через инфраструктуру единого входа . ^{[ 21 ] [ 45 ] [ 46 ]}

Помимо кражи данных, атака причинила дорогостоящие неудобства десяткам тысяч клиентов SolarWinds, которым пришлось проверять, не были ли они взломаны, а также отключать системы и начинать многомесячные процедуры дезактивации в качестве меры предосторожности. ^{[ 47 ] [ 48 ]} Сенатор США Ричард Дж. Дурбин назвал кибератаку равносильной объявлению войны. ^{[ 49 ] [ 4 ]} Президент Дональд Трамп молчал несколько дней после того, как нападение было публично раскрыто. Он предположил, что ответственность за это мог нести Китай , а не Россия , и что «все находится под контролем». ^{[ 50 ] [ 51 ] [ 52 ]}

SolarWinds , техасский поставщик программного обеспечения для мониторинга сети федеральному правительству США, перед атакой продемонстрировал ряд недостатков безопасности. ^{[ 53 ] [ 54 ]} В SolarWinds не было ни директора по информационной безопасности, ни старшего директора по кибербезопасности. ^{[ 4 ] [ 55 ]} Киберпреступники продавали доступ к инфраструктуре SolarWinds как минимум еще с 2017 года. ^{[ 54 ] [ 53 ]} SolarWinds советовала клиентам отключать антивирусные инструменты перед установкой программного обеспечения SolarWinds. ^{[ 53 ]} В ноябре 2019 года исследователь безопасности предупредил SolarWinds, что их FTP-сервер небезопасен, предупредив, что «любой хакер может загрузить вредоносные [файлы]», которые затем будут распространены среди клиентов SolarWinds. ^{[ 56 ] [ 53 ] [ 57 ] [ 54 ]} Кроме того, учетная запись Microsoft Office 365 компании SolarWinds была скомпрометирована, и злоумышленники получили доступ к электронной почте и, возможно, к другим документам. ^{[ 58 ] [ 59 ]}

7 декабря 2020 года, за несколько дней до того, как было публично подтверждено, что троянское программное обеспечение SolarWinds использовалось для атак на другие организации, давний генеральный директор SolarWinds Кевин Томпсон ушел в отставку. ^{[ 60 ] [ 61 ]} В тот же день две частные инвестиционные компании, связанные с советом директоров SolarWinds, продали значительные объемы акций SolarWinds. ^{[ 60 ]} Фирмы отрицают инсайдерскую торговлю . ^{[ 60 ] [ 62 ]}

несколько векторов атаки . В ходе взлома различных жертв инцидента было использовано ^{[ 63 ] [ 64 ]}

Если вы думаете о данных, которые доступны только генеральному директору, или о данных, которые доступны только ИТ-службам, [злоумышленник получит] все эти данные.

— Сами Руохонен, F-Secure ^{[ 23 ]}

Злоумышленники воспользовались недостатками продуктов, сервисов и инфраструктуры распространения программного обеспечения Microsoft. ^{[ 23 ] [ 15 ] [ 9 ] [ 18 ]}

По крайней мере один торговый посредник облачных служб Microsoft был скомпрометирован злоумышленниками, что представляет собой атаку на цепочку поставок , которая позволила злоумышленникам получить доступ к облачным службам Microsoft, используемым клиентами торгового посредника. ^{[ 16 ] [ 17 ] [ 18 ]}

Наряду с этим, « Zerologon », уязвимость в протоколе аутентификации Microsoft NetLogon, позволяла злоумышленникам получить доступ ко всем действительным именам пользователей и паролям в каждой сети Microsoft, которую они взломали. ^{[ 23 ] [ 24 ]} Это позволило им получить доступ к дополнительным учетным данным, необходимым для получения привилегий любого законного пользователя сети, что, в свою очередь, позволило им скомпрометировать учетные записи электронной почты Microsoft Office 365 . ^{[ 23 ] [ 24 ]}

Кроме того, уязвимость в Outlook Web App от Microsoft могла позволить злоумышленникам обойти многофакторную аутентификацию . ^{[ 14 ] [ 15 ] [ 65 ]}

Было обнаружено, что злоумышленники взломали Microsoft Office 365 таким образом, что позволили им отслеживать электронную почту сотрудников NTIA и Казначейства в течение нескольких месяцев. ^{[ 9 ] [ 39 ] [ 66 ]} В этой атаке, очевидно, использовались какие-то поддельные идентификационные токены, что позволило злоумышленникам обмануть системы аутентификации Microsoft. ^{[ 39 ] [ 67 ] [ 68 ]} Наличие инфраструктуры единого входа повышало жизнеспособность атаки . ^{[ 46 ]}

Это классический шпионаж. Сделано это весьма изощренным способом   ... Но это скрытная операция.

— Томас Рид , The Washington Post ^{[ 12 ]}

Здесь злоумышленники также использовали атаку на цепочку поставок . ^{[ 69 ]} Злоумышленники получили доступ к системе сборки, принадлежащей компании-разработчику программного обеспечения SolarWinds SolarWinds , возможно, через учетную запись Microsoft Office 365 , которая также была в какой-то момент скомпрометирована. ^{[ 70 ] [ 53 ] [ 58 ] [ 59 ]}

Злоумышленники закрепились в инфраструктуре публикации программного обеспечения SolarWinds не позднее сентября 2019 года. ^{[ 71 ] [ 72 ]} В системе сборки злоумышленники тайно модифицировали обновления программного обеспечения, предоставляемые SolarWinds пользователям программного обеспечения для мониторинга сети Orion. ^{[ 73 ] [ 74 ]} Первая известная модификация, появившаяся в октябре 2019 года, была всего лишь проверкой концепции . ^{[ 8 ]} После того как доказательства были установлены, злоумышленники потратили период с декабря 2019 года по февраль 2020 года на создание инфраструктуры управления и контроля . ^{[ 8 ]}

В марте 2020 года злоумышленники начали внедрять вредоносное ПО для инструментов удаленного доступа в обновления Orion, тем самым троянируя их. ^{[ 12 ] [ 44 ] [ 75 ] [ 76 ] [ 77 ]} В число этих пользователей входили клиенты правительства США в исполнительной власти, вооруженных силах и разведывательных службах (см. раздел «Воздействие» ниже). ^{[ 9 ] [ 78 ]} Если пользователь установил обновление, оно выполнило полезную нагрузку вредоносного ПО, которое оставалось бездействующим в течение 12–14 дней, прежде чем попытаться связаться с одним или несколькими серверами управления и контроля. ^{[ 79 ] [ 80 ] [ 81 ] [ 82 ]} Коммуникации были разработаны для имитации законного трафика SolarWinds. ^{[ 70 ] [ 83 ]} Если удастся связаться с одним из этих серверов, это предупредит злоумышленников об успешном развертывании вредоносного ПО и предложит злоумышленникам черный ход , который злоумышленники могут использовать, если захотят использовать систему дальше. ^{[ 82 ] [ 84 ]} Вредоносное ПО начало контактировать с командными серверами в апреле 2020 года, сначала из Северной Америки и Европы, а затем и с других континентов. ^{[ 85 ] [ 82 ]}

Похоже, что злоумышленники использовали лишь небольшую часть успешных развертываний вредоносного ПО: те, которые находились в компьютерных сетях, принадлежащих особо важным целям. ^{[ 79 ] [ 12 ]} Оказавшись внутри целевых сетей, злоумышленники развернулись , устанавливая такие инструменты эксплуатации, как компоненты CobaltStrike. ^{[ 86 ] [ 83 ]} и ищет дополнительный доступ. ^{[ 70 ] [ 1 ]} Поскольку Orion был подключен к учетным записям Office 365 клиентов как доверенное стороннее приложение, злоумышленники смогли получить доступ к электронной почте и другим конфиденциальным документам. ^{[ 87 ]} Этот доступ, по-видимому, помог им найти сертификаты, которые позволили бы им подписывать токены SAML , позволяя им маскироваться под законных пользователей дополнительных локальных сервисов и облачных сервисов, таких как Microsoft Azure Active Directory . ^{[ 87 ] [ 70 ] [ 88 ]} Как только эти дополнительные точки опоры будут получены, отключения скомпрометированного программного обеспечения Orion уже будет недостаточно, чтобы лишить злоумышленников доступа к целевой сети. ^{[ 5 ] [ 89 ] [ 90 ]} Получив доступ к интересующим данным, они зашифровали и украли их. ^{[ 69 ] [ 1 ]}

Злоумышленники разместили свои серверы управления и контроля на коммерческих облачных сервисах Amazon , Microsoft , GoDaddy и других. ^{[ 91 ]} Используя IP-адреса управления и контроля, расположенные в США, а также поскольку большая часть задействованных вредоносных программ была новой, злоумышленникам удалось избежать обнаружения Einstein , национальной системой кибербезопасности, управляемой Министерством внутренней безопасности (DHS). ^{[ 81 ] [ 4 ] [ 92 ]}

В феврале 2021 года следователи ФБР обнаружили, что отдельная ошибка в программном обеспечении, созданная SolarWinds Corp, использовалась хакерами, связанными с другим иностранным правительством, для взлома компьютеров правительства США. ^{[ 93 ]}

Уязвимости в VMware Access и VMware Identity Manager, позволяющие существующим сетевым злоумышленникам развернуться и получить постоянство, были использованы в 2020 году российскими злоумышленниками, спонсируемыми государством. ^{[ 21 ] [ 22 ]} По состоянию на 18 декабря 2020 года, хотя было точно известно, что троян SUNBURST мог предоставить подходящий доступ для использования ошибок VMware, еще не было окончательно известно, действительно ли злоумышленники связали эти два эксплойта в цепочку. ^{[ 21 ] [ 22 ]}

В 2019 и 2020 годах компания по кибербезопасности Volexity обнаружила злоумышленника, подозрительно использующего продукты Microsoft в сети аналитического центра , личность которого публично не разглашается. ^{[ 94 ] [ 95 ] [ 14 ]} Злоумышленник воспользовался уязвимостью в панели управления Microsoft Exchange организации и применил новый метод обхода многофакторной аутентификации . ^{[ 14 ]} Позже, в июне и июле 2020 года, Volexity заметила, что злоумышленник использовал трояна SolarWinds Orion; т.е. злоумышленник использовал уязвимости Microsoft (первоначально) и атаки на цепочку поставок SolarWinds (позже) для достижения своих целей. ^{[ 14 ]} В компании Volexity заявили, что не смогли идентифицировать злоумышленника. ^{[ 14 ]}

Также в 2020 году Microsoft обнаружила злоумышленников, использующих инфраструктуру Microsoft Azure в попытке получить доступ к электронным письмам, принадлежащим CrowdStrike . ^{[ 96 ]} Эта атака не удалась, поскольку по соображениям безопасности CrowdStrike не использует Office 365 для электронной почты. ^{[ 96 ]}

Отдельно, в октябре 2020 года или незадолго до этого, Центр анализа угроз Microsoft сообщил, что был замечен злоумышленник, спонсируемый государством, который использовал нулевой вход — уязвимость в протоколе Microsoft NetLogon. ^{[ 23 ] [ 24 ]} Об этом было сообщено CISA, которое 22 октября 2020 года выпустило предупреждение, в котором конкретно предупредило правительства штатов, местных, территориальных и племенных органов власти о необходимости поиска признаков компрометации и поручило им восстановить свои сети с нуля в случае взлома. ^{[ 23 ] [ 97 ]} Используя VirusTotal , The Intercept обнаружил продолжающиеся признаки компрометации в декабре 2020 года, что позволяет предположить, что злоумышленник все еще может быть активен в сети правительства города Остин, штат Техас . ^{[ 23 ]}

8 декабря 2020 года компания FireEye, занимающаяся кибербезопасностью, объявила, что инструменты красной команды были украдены у нее, по ее мнению, злоумышленником, спонсируемым государством. ^{[ 98 ] [ 99 ] [ 100 ] [ 101 ]} Считалось, что FireEye является целью СВР , Службы внешней разведки России. ^{[ 27 ] [ 102 ]} FireEye заявляет, что обнаружила атаку на цепочку поставок SolarWinds в ходе расследования взломов и кражи инструментов FireEye. ^{[ 103 ] [ 104 ]}

Обнаружив эту атаку, FireEye сообщила об этом Агентству национальной безопасности США (АНБ), федеральному агентству, отвечающему за защиту США от кибератак. ^{[ 1 ]} Неизвестно, было ли АНБ известно об атаке до того, как FireEye уведомило ее об этом. ^{[ 1 ]} АНБ само использует программное обеспечение SolarWinds. ^{[ 1 ]}

Несколько дней спустя, 13 декабря, когда было публично подтверждено существование нарушений в Министерстве финансов и Министерстве торговли, источники сообщили, что взлом FireEye был связан с этим. ^{[ 9 ] [ 27 ]} 15 декабря FireEye подтвердила, что вектор, использованный для атаки на Министерство финансов и другие правительственные ведомства, был тем же самым, который использовался для атаки на FireEye: троянское обновление программного обеспечения для SolarWinds Orion. ^{[ 56 ] [ 105 ]}

Сообщество безопасности переключило свое внимание на Орион. Зараженными оказались версии с 2019.4 по 2020.2.1 HF1 , выпущенные в период с марта 2020 года по июнь 2020 года. ^{[ 75 ] [ 86 ]} FireEye назвал вредоносную программу SUNBURST. ^{[ 19 ] [ 20 ]} Microsoft назвала его Solorigate. ^{[ 53 ] [ 20 ]} Инструмент, который злоумышленники использовали для вставки SUNBURST в обновления Orion, позже был изолирован фирмой кибербезопасности CrowdStrike, которая назвала его SUNSPOT. ^{[ 71 ] [ 106 ] [ 74 ]}

Последующий анализ компрометации SolarWinds с использованием данных DNS и обратного проектирования Orion двоичных файлов , проведенный DomainTools и ReversingLabs соответственно, выявил дополнительные подробности о временной шкале злоумышленника. ^{[ 8 ]}

Анализ, опубликованный группой анализа угроз Google в июле 2021 года, показал, что «вероятно, поддерживаемый российским правительством субъект» использовал уязвимость нулевого дня в полностью обновленных iPhone для кражи учетных данных аутентификации путем отправки сообщений правительственным чиновникам в LinkedIn . ^{[ 107 ]}

Незадолго до 3 декабря 2020 года АНБ обнаружило и уведомило VMware об уязвимостях в VMware Access и VMware Identity Manager. ^{[ 21 ]} VMware выпустила исправления 3 декабря 2020 года. ^{[ 21 ]} 7 декабря 2020 года АНБ опубликовало рекомендацию, предупреждающую клиентов о необходимости установки исправлений, поскольку уязвимости активно использовались злоумышленниками, спонсируемыми российским государством. ^{[ 21 ] [ 108 ]}

SolarWinds заявила, что, по ее мнению, внедрение вредоносного ПО в Orion было осуществлено иностранным государством. ^{[ 9 ] [ 10 ]} , спонсируемые Россией . хакеры Предполагается, что ответственность за это несут ^{[ 109 ] [ 9 ] [ 25 ]} Официальные лица США заявили, что конкретными ответственными за это группировками, вероятно, были СВР или Cozy Bear (также известная как APT29). ^{[ 27 ] [ 26 ]} FireEye предоставила подозреваемым имя-заполнитель «UNC2452»; ^{[ 70 ] [ 14 ]} Фирма по реагированию на инциденты Volexity назвала их «Темным ореолом». ^{[ 14 ] [ 95 ]} 23 декабря 2020 года генеральный директор FireEye заявил, что наиболее вероятным виновником является Россия, а атаки «очень соответствуют» СВР. ^{[ 110 ]} Один исследователь безопасности предлагает вероятную дату начала работы — 27 февраля 2020 года, со значительным изменением аспекта — 30 октября 2020 года. ^{[ 111 ]}

В январе 2021 года компания по кибербезопасности «Касперский» заявила, что SUNBURST напоминает вредоносное ПО Kazuar, которое, как полагают, было создано Turla . ^{[ 112 ] [ 106 ] [ 113 ] [ 114 ]} группа, известная с 2008 года тем, что эстонская разведка ранее была связана с российской федеральной службой безопасности ФСБ. ^{[ 115 ] [ 116 ] [ 93 ]}

22 октября 2020 года CISA и ФБР идентифицировали злоумышленника Microsoft с нулевым входом в систему как Berserk Bear России , спонсируемую государством группу, предположительно входящую в состав ФСБ . ^{[ 23 ]}

18 декабря госсекретарь США Майк Помпео заявил, что Россия «совершенно очевидно» несет ответственность за кибератаку. ^{[ 117 ] [ 118 ] [ 119 ]}

19 декабря президент США Дональд Трамп впервые публично высказался о нападениях, преуменьшив их серьезность и бездоказательно предположив, что ответственность может нести Китай, а не Россия. ^{[ 51 ] [ 50 ] [ 119 ] [ 52 ]} В тот же день сенатор-республиканец Марко Рубио , исполняющий обязанности председателя сенатского комитета по разведке , заявил, что «становится все более очевидным, что российская разведка осуществила самое серьезное кибервторжение в нашей истории». ^{[ 37 ] [ 120 ]}

20 декабря сенатор-демократ Марк Уорнер , проинформированный об инциденте представителями разведки, заявил, что «все признаки указывают на Россию». ^{[ 121 ]}

21 декабря 2020 года бывший генеральный прокурор Уильям Барр заявил, что он согласен с оценкой Помпео происхождения киберхака и что это «определенно похоже на русских», что противоречит Трампу. ^{[ 122 ] [ 123 ] [ 124 ]}

5 января 2021 года CISA, ФБР, АНБ и Управление директора национальной разведки подтвердили, что, по их мнению, наиболее вероятным виновником является Россия. ^{[ 125 ] [ 126 ] [ 127 ]} 10 июня 2021 года директор ФБР Кристофер Рэй приписал нападение именно российской СВР . ^{[ 128 ]}

Российское правительство заявило, что оно не причастно к этому. ^{[ 129 ]}

В заявлении министерства иностранных дел Китая говорится: «Китай решительно выступает против любой формы кибератак и киберкражи и борется с ними». ^{[ 93 ]}

SolarWinds сообщила, что из 300 000 ее клиентов 33 000 используют Orion. ^{[ 1 ]} Из них около 18 000 правительственных и частных пользователей загрузили взломанные версии. ^{[ 1 ] [ 5 ] [ 130 ]}

Обнаружение нарушений в министерствах финансов и торговли США сразу же вызвало опасения, что злоумышленники попытаются взломать другие ведомства или уже сделали это. ^{[ 67 ] [ 25 ]} Дальнейшее расследование показало, что эти опасения вполне обоснованы. ^{[ 1 ]} Через несколько дней и другие федеральные ведомства . было обнаружено, что были взломаны ^{[ 1 ] [ 131 ] [ 6 ]} Агентство Reuters процитировало анонимный источник в правительстве США, который сказал: «Это гораздо более масштабная история, чем история одного отдельного агентства. Это масштабная кампания кибершпионажа, нацеленная на правительство США и его интересы». ^{[ 9 ]}

Известно, что скомпрометированные версии были загружены Центрами по контролю и профилактике заболеваний , Министерством юстиции и некоторыми коммунальными компаниями. ^{[ 1 ]} Другими известными американскими организациями, использующими продукты SolarWinds (хотя и не обязательно Orion), были Национальная лаборатория Лос-Аламоса , Boeing и большинство компаний из списка Fortune 500 . ^{[ 1 ] [ 132 ]} За пределами США среди клиентов SolarWinds были представители британского правительства, в том числе Министерство внутренних дел , Национальная служба здравоохранения и радиотехнической разведки агентства ; Организация Североатлантического договора (НАТО); Европейский парламент ; и, вероятно, AstraZeneca . ^{[ 5 ] [ 36 ]} FireEye заявила, что могут быть затронуты и другие правительственные, консалтинговые, технологические, телекоммуникационные и добывающие предприятия в Северной Америке, Европе, Азии и на Ближнем Востоке. ^{[ 5 ]}

Манипулируя программными ключами, хакеры получили доступ к системам электронной почты, используемыми высшими должностными лицами Министерства финансов. Эта система, хотя и не засекречена, очень чувствительна из-за роли Министерства финансов в принятии решений, которые двигают рынок , а также решений об экономических санкциях и взаимодействии с Федеральной резервной системой . ^{[ 124 ]}

Простой загрузки скомпрометированной версии Orion не обязательно было достаточно, чтобы привести к утечке данных; В каждом случае требовалось дальнейшее расследование, чтобы установить, произошло ли нарушение. ^{[ 1 ] [ 133 ]} Эти расследования осложнялись: тем фактом, что в некоторых случаях нападавшие удалили улики; ^{[ 63 ]} необходимость поддерживать отдельные защищенные сети, поскольку предполагалось, что основные сети организаций находятся под угрозой; ^{[ 63 ]} и тот факт, что Orion сам по себе был инструментом мониторинга сети, без которого пользователи имели меньшую видимость своих сетей. ^{[ 69 ]} По состоянию на середину декабря 2020 года эти расследования продолжались. ^{[ 1 ] [ 5 ]}

По состоянию на середину декабря 2020 года официальные лица США все еще расследовали то, что было украдено в случаях нарушений, и пытались определить, как это можно использовать. ^{[ 9 ] [ 134 ]} Комментаторы заявили, что информация, украденная в результате нападения, увеличит влияние преступника на долгие годы вперед. ^{[ 58 ] [ 135 ] [ 82 ]} Возможные варианты использования в будущем могут включать атаки на сложные цели, такие как ЦРУ и АНБ. ^{[ как? ] [ 4 ]} или использование шантажа для вербовки шпионов. ^{[ 136 ]} Профессор киберконфликтов Томас Рид заявил, что украденные данные найдут множество применений. ^{[ 134 ]} Он добавил, что объем полученных данных, вероятно, будет во много раз больше, чем во время «Лабиринта лунного света» , и если их распечатать, то получится стопка, намного превышающая монумент Вашингтона . ^{[ 134 ]}

Даже там, где данные не были украдены, влияние было значительным. ^{[ 48 ]} Агентство кибербезопасности и безопасности инфраструктуры (CISA) рекомендовало восстановить затронутые устройства из надежных источников, а все учетные данные, доступные для программного обеспечения SolarWinds, следует считать скомпрометированными и, следовательно, их следует сбросить. ^{[ 137 ]} Компании, занимающиеся защитой от вредоносного ПО, также рекомендуют искать в файлах журналов конкретные признаки компрометации . ^{[ 138 ] [ 139 ] [ 140 ]}

Однако выяснилось, что злоумышленники удалили или изменили записи и, возможно, изменили настройки сети или системы таким образом, что это могло потребовать проверки вручную. ^{[ 63 ] [ 141 ]} Бывший советник по внутренней безопасности Томас П. Боссерт предупредил, что на изгнание злоумышленников из сетей США могут уйти годы, что позволит им тем временем продолжать отслеживать, уничтожать или подделывать данные. ^{[ 47 ]} Гарварда из Брюс Шнайер и Пано Яннакогеоргос из Нью-Йоркского университета , декан-основатель Киберколледжа ВВС, заявили, что пострадавшие сети, возможно, придется полностью заменить. ^{[ 142 ] [ 143 ]}

В июле 2021 года Министерство юстиции сообщило, что пострадали 27 федеральных прокуратур по всей стране, в том числе 80% учетных записей электронной почты Microsoft были взломаны в четырех офисах Нью-Йорка. Два офиса, на Манхэттене и в Бруклине, занимаются многими известными расследованиями преступлений «белых воротничков», а также людей, близких к бывшему президенту Трампу. ^{[ 144 ] [ 145 ]}

Этот раздел может содержать чрезмерное количество цитат . Пожалуйста, помогите удалить некачественные или нерелевантные цитаты . ( Июль 2021 г. ) ( Узнайте, как и когда удалить это сообщение )

8 декабря 2020 года, еще до того, как стало известно о взломе других организаций, FireEye опубликовала контрмеры против инструментов красной команды, украденных у FireEye. ^{[ 102 ] [ 211 ]}

15 декабря 2020 года Microsoft объявила, что SUNBURST, который затрагивает только платформы Windows, был добавлен в базу данных вредоносных программ Microsoft и, начиная с 16 декабря, будет обнаружен и помещен в карантин Microsoft Defender . ^{[ 212 ] [ 75 ]}

GoDaddy передал Microsoft право собственности на домен управления и контроля , использованный в атаке, что позволило Microsoft активировать аварийный выключатель во вредоносном ПО SUNBURST и определить, какие клиенты SolarWinds были заражены . ^{[ 56 ]}

14 декабря 2020 года руководители нескольких американских коммунальных компаний собрались, чтобы обсудить риски, связанные с атаками на энергосистему. ^{[ 1 ]} 22 декабря 2020 года Североамериканская корпорация по надежности электроснабжения попросила электроэнергетические компании сообщить об уровне их воздействия на программное обеспечение SolarWinds. ^{[ 213 ]}

После взлома SolarWinds отменила публикацию списка избранных клиентов. ^{[ 214 ]} хотя по состоянию на 15 декабря фирма по кибербезопасности GreyNoise Intelligence заявила, что SolarWinds не удалила зараженные обновления программного обеспечения со своего сервера распространения. ^{[ 56 ] [ 58 ] [ 215 ]}

Примерно 5 января 2021 года инвесторы SolarWinds подали коллективный иск против компании в связи с нарушениями ее безопасности и последующим падением цены акций. ^{[ 216 ] [ 217 ]} Вскоре после этого SolarWinds наняла новую фирму по кибербезопасности, соучредителем которой является Кребс . ^{[ 218 ]}

Linux Foundation отметил, что если бы Orion имел открытый исходный код , пользователи могли бы его проверять, в том числе с помощью воспроизводимых сборок , что значительно повышало бы вероятность обнаружения вредоносного ПО. ^{[ 219 ]}

18 декабря 2020 года госсекретарь США Майк Помпео заявил, что некоторые детали мероприятия, скорее всего, будут засекречены, чтобы не стать достоянием общественности. ^{[ 73 ]}

12 декабря 2020 года в Белом доме состоялось заседание Совета национальной безопасности (СНБ), на котором обсуждались нарушения со стороны федеральных организаций. ^{[ 9 ]} 13 декабря 2020 года CISA издало экстренную директиву, в которой просило федеральные агентства отключить программное обеспечение SolarWinds, чтобы снизить риск дополнительных вторжений, хотя это снизит способность этих агентств контролировать свои компьютерные сети. ^{[ 1 ] [ 137 ]} Российское правительство заявило, что оно не причастно к атакам. ^{[ 220 ]}

14 декабря 2020 года Министерство торговли подтвердило, что обратилось к CISA и ФБР с просьбой провести расследование. ^{[ 9 ] [ 27 ] [ 221 ]} СНБ активировал Президентскую политическую директиву 41 , план действий в чрезвычайных ситуациях времен Обамы , и созвал свою Группу кибер-ответа. ^{[ 222 ] [ 223 ]} Киберкомандование США пригрозило скорым возмездием против нападавших до получения результатов расследования. ^{[ 224 ]}

Министерство энергетики помогло компенсировать нехватку кадров в CISA, выделив ресурсы, чтобы помочь Федеральной комиссии по регулированию энергетики (FERC) оправиться от кибератаки. ^{[ 159 ] [ 69 ] [ 160 ]} ФБР, CISA и Управление директора национальной разведки (ODNI) сформировали Единую кибер-координационную группу (UCG) для координации своих усилий. ^{[ 225 ]}

24 декабря 2020 года CISA заявило, что атаке подверглись сети государственных и местных органов власти, а также федеральные сети и другие организации, но не предоставило дополнительных подробностей. ^{[ 226 ]}

Совет по обзору кибербезопасности не исследовал основную слабость. ^{[ 227 ]}

Подкомитет по кибербезопасности сенатского комитета по вооруженным силам был проинформирован представителями Министерства обороны. ^{[ 90 ]} Комитет Палаты представителей по внутренней безопасности и Комитет Палаты представителей по надзору и реформам объявили о начале расследования. ^{[ 43 ]} Марко Рубио , исполняющий обязанности председателя сенатского комитета по разведке , заявил, что США должны принять ответные меры, но только тогда, когда преступник будет уверен. ^{[ 228 ]} Заместитель председателя комитета Марк Уорнер раскритиковал президента Трампа за то, что он не признал взлом и не отреагировал на него. ^{[ 229 ]}

Сенатор Рон Уайден призвал к обязательным проверкам безопасности программного обеспечения, используемого федеральными агентствами. ^{[ 151 ] [ 147 ]}

22 декабря 2020 года, после того как министр финансов США Стивен Мнучин заявил журналистам, что он «полностью в курсе всего происходящего», финансовый комитет Сената был проинформирован Microsoft о том, что десятки учетных записей электронной почты Казначейства были взломаны, а злоумышленники получили доступ к системам Отдел департаментов казначейства, где проживают высшие должностные лица казначейства. ^{[ 46 ] [ 124 ]} Сенатор Уайден заявил, что брифинг показал, что Казначейство "до сих пор не знает обо всех действиях, предпринятых хакерами, или о том, какая именно информация была украдена". ^{[ 46 ] [ 124 ]}

23 декабря 2020 года сенатор Боб Менендес попросил Госдепартамент прекратить молчание о масштабах нарушения, а сенатор Ричард Блюменталь попросил то же самое у Администрации по делам ветеранов . ^{[ 230 ] [ 231 ]}

Административное управление судов США инициировало совместно с DHS проверку системы управления делами/электронных файлов дел (CM/ECF) судебной власти США. ^{[ 171 ] [ 178 ]} Он прекратил принимать весьма конфиденциальные судебные документы в CM/ECF, потребовав вместо этого принимать их только в бумажной форме или на устройствах с воздушным зазором . ^{[ 173 ] [ 174 ] [ 175 ]}

Президент Дональд Трамп не комментировал взлом в течение нескольких дней после того, как о нем стало известно, что побудило сенатора Митта Ромни осудить его «молчание и бездействие». ^{[ 232 ]} 19 декабря Трамп впервые публично высказался о нападениях; он преуменьшил значение взлома, заявил, что СМИ преувеличили серьезность инцидента, и сказал, что «все под контролем»; и предположил, без каких-либо доказательств, что ответственность за нападение может нести Китай, а не Россия. Затем Трамп начал настаивать на своей победе на президентских выборах 2020 года. ^{[ 50 ] [ 119 ] [ 117 ] [ 51 ] [ 233 ]} Он предположил, без каких-либо доказательств, что атака могла также быть связана с «ударом» по машинам для голосования, что является частью длительной кампании Трампа по ложному утверждению о своей победе на выборах 2020 года . Заявление Трампа было опровергнуто бывшим директором CISA Крисом Кребсом, который отметил, что утверждение Трампа невозможно. ^{[ 1 ] [ 233 ] [ 234 ]} Адам Шифф , председатель комитета Палаты представителей по разведке , назвал заявления Трампа нечестными. ^{[ 235 ]} назвав этот комментарий «скандальным предательством нашей национальной безопасности», который «звучит так, как будто он мог быть написан в Кремле». ^{[ 233 ]}

Бывший советник по внутренней безопасности Томас П. Боссерт заявил: «Президент Трамп находится на грани того, чтобы оставить после себя федеральное правительство и, возможно, большое количество крупных отраслей промышленности, скомпрометированных российским правительством», и отметил, что действия Конгресса, в том числе через Национальную Закон о разрешении на оборону . Для смягчения ущерба, причиненного нападениями, потребуется ^{[ 30 ] [ 236 ] [ 47 ]}

Затем избранный президент Джо Байден заявил, что выявит нападавших и накажет их. ^{[ 64 ] [ 3 ]} Байдена Новый руководитель администрации заявил Рон Клейн , что реакция администрации Байдена на взлом выйдет за рамки санкций. ^{[ 237 ]} 22 декабря 2020 года Байден сообщил, что его переходной команде по-прежнему отказывают в доступе к некоторым брифингам о нападении со стороны представителей администрации Трампа. ^{[ 238 ] [ 239 ]}

В январе 2021 года Байден назвал кандидатов на две соответствующие должности в Белом доме: Элизабет Шервуд-Рэндалл на должность советника по внутренней безопасности и Энн Нойбергер на должность заместителя советника по национальной безопасности по кибербезопасности и новым технологиям. ^{[ 240 ]}

В марте 2021 года администрация Байдена выразила растущую обеспокоенность по поводу взлома, а Белого дома пресс-секретарь Джен Псаки назвала это «активной угрозой». ^{[ 241 ]} Тем временем The New York Times сообщила, что правительство США планирует экономические санкции, а также «серию тайных действий в российских сетях» в ответ. ^{[ 242 ]}

15 апреля 2021 года США выслали 10 российских дипломатов и ввели санкции против 6 российских компаний, поддерживающих их кибероперации, а также 32 физических и юридических лиц за их роль во взломе и вмешательстве России в выборы в США в 2020 году . ^{[ 243 ] [ 244 ] [ 245 ]}

В НАТО заявили, что «в настоящее время оценивают ситуацию с целью выявления и смягчения любых потенциальных рисков для наших сетей». ^{[ 36 ]} 18 декабря Национальный центр кибербезопасности Соединенного Королевства заявил, что все еще выясняет влияние атак на Великобританию. ^{[ 246 ]} Агентства кибербезопасности Великобритании и Ирландии опубликовали предупреждения, нацеленные на клиентов SolarWinds. ^{[ 129 ]}

23 декабря 2020 года Управление комиссара по информации Великобритании – национальный орган по защите конфиденциальности – приказало британским организациям немедленно проверить, не пострадали ли они. ^{[ 110 ] [ 247 ]}

24 декабря 2020 года Канадский центр кибербезопасности попросил пользователей SolarWinds Orion в Канаде проверить систему на наличие взлома. ^{[ 248 ] [ 249 ]}

Атака вызвала дискуссию о том, следует ли рассматривать взлом как кибершпионаж или как кибератаку, представляющую собой акт войны. ^{[ 250 ]} Большинство нынешних и бывших чиновников США считали взлом России в 2020 году «потрясающим и тревожным актом шпионажа», но не кибератакой, поскольку русские, судя по всему, не уничтожали данные, не манипулировали ими и не наносили физический ущерб (например, электросетям ) . . ^{[ 251 ]} Эрика Боргард из Атлантического совета и Колумбийского университета , Института Зальцмана а также Жаклин Шнайдер из Института Гувера и Военно-морского колледжа утверждали, что нарушение было актом шпионажа, на который можно было ответить «арестами, дипломатией или контрразведкой», и что это еще не было сделано. было доказано, что это кибератака, классификация, которая юридически позволила бы США ответить силой. ^{[ 252 ]} Профессор права Джек Голдсмит написал, что взлом был разрушительным актом кибершпионажа, но «не нарушает международное право или нормы», и написал, что «из-за своей собственной практики правительство США традиционно признавало легитимность электронного шпионажа иностранных правительств в Правительственные сети США». ^{[ 253 ]} Профессор права Михаэль Шмитт согласился с этим, ссылаясь на Таллиннское руководство . ^{[ 254 ]}

Напротив, президент Microsoft Брэд Смит назвал взлом кибератакой. ^{[ 251 ]} заявив, что это «не был обычным шпионажем, даже в эпоху цифровых технологий», потому что это была «не просто атака на конкретные цели, но и на доверие и надежность критической инфраструктуры мира». ^{[ 255 ] [ 256 ]} Сенатор США Ричард Дж. Дурбин (демократ от Иллинойса) назвал нападение равносильным объявлению войны. ^{[ 49 ] [ 4 ]}

В статье для Wired Борхард и Шнайдер высказали мнение, что США «должны продолжать создавать и полагаться на стратегическое сдерживание , чтобы убедить государства не использовать в качестве оружия собираемую ими киберразведку». Они также заявили, что, поскольку сдерживание не может эффективно препятствовать попыткам кибершпионажа со стороны субъектов угроз , США также должны сосредоточиться на том, чтобы сделать кибершпионаж менее успешным с помощью таких методов, как усиление киберзащиты, лучший обмен информацией и «защита вперед» ( сокращение наступательных киберпотенциалов России и Китая). ^{[ 252 ]}

В своей статье для The Dispatch Голдсмит написал, что провал стратегий защиты и сдерживания от кибервторжений должен побудить к рассмотрению стратегии «взаимного сдерживания», «в соответствии с которой Соединенные Штаты соглашаются ограничить определенную деятельность в иностранных сетях в обмен на терпение со стороны наших противников». в наших сетях». ^{[ 253 ]}

Автор статьи по кибербезопасности Брюс Шнайер выступал против возмездия или увеличения наступательных возможностей, предлагая вместо этого принять оборонную стратегию и ратифицировать Парижский призыв к доверию и безопасности в киберпространстве или Глобальную комиссию по стабильности киберпространства . ^{[ 257 ]}

В газете New York Times Пол Кольбе, бывший агент ЦРУ и директор разведывательного проекта Гарвардского Белферовского центра науки и международных отношений , повторил призыв Шнайера к улучшению киберзащиты США и международных соглашений. Он также отметил, что США проводят аналогичные операции против других стран в рамках того, что он назвал «окружающим киберконфликтом». ^{[ 258 ]}

• Кибервойна в США
• Кибервойна со стороны России
• ВечныйСиний
• Раскрытие информации о глобальном надзоре (2013 – настоящее время)
• Список утечек данных
• Лунный лабиринт
• Утечка данных Управления кадров
• Дилемма безопасности
• Теневые брокеры
• Кибератака 2008 г. на США
• Утечка данных сервера Microsoft Exchange в 2021 году
• Утечка файлов Vulkan