The Washington Post (США): правительство Америки потратило миллиарды на систему против хакерских атак. А русские ее перехитрили

Когда российские хакеры впервые умудрились внедрить своих цифровых «троянских коней» в компьютерные системы правительства США, а случилось это где-то весной этого года, эти «кони» какое-то время сидели тихо. Они ничего не делали. Только прятались. Но наступил момент, когда злонамеренный код начал действовать, посылая шпионские сигналы во внешний мир.

Вот в этот-то момент — когда русские «троянские кони» начали посылать сигналы с серверов федеральных служб США к своим командно-контрольным центрам, размещенным на компьютерах, управляемых русскими хакерами, — вот в этот-то момент они и подставились. Таким же образом и шпионы из плоти и крови, прежде «спящие» на территории противника, становятся уязвимыми для контрразведки в тот самый момент, когда они начинают сообщать «домой» по какому-нибудь радио о своих находках на территории врага.

Но тогда почему же, когда компьютерные сети в госдепе и других федеральных ведомствах США начали сигналить русским серверам, почему же тогда никто в правительстве США не сообразил, что происходит что-то скользкое и нехорошее?

Ответ такой: частично это стало результатом мастерства русских, а частично — результатом слепоты федеральных правительственных служб у нас.

Русские хакеры, чьи операции удалось обнаружить той фирме кибербезопасности, которую они как раз использовали для своих диверсий, — эти русские хакеры были мастерами своего дела. Они начали свое вторжение, используя недостатки заезженного программного обеспечения специальной сети в США, которая «мониторит» внешние вмешательства. Потом эти хакеры на время затихли и спрятались, они даже коммуницировали друг с другом, используя IP-адреса в США, а не где-нибудь в Москве. Цель — минимизировать подозрения в отношении себя.

Хакеры также грамотно использовали какой-то новаторский зловредный код, который помог им пробить стоившую много миллионов систему кибер-защиты правительства США. Эта система защиты под названием «Эйнштейн». Устаревший «Эйнштейн» в основном был предназначен для того, чтобы отслеживать и пресекать хитроумные методы использования уже известного шпионского программного обеспечения. А тут против нас применили что-то совсем другое, новое…

Но «Эйнштейн», который курируется Департаментом безопасности территории и инфраструктуры (CISA) не был приспособлен к тому, чтобы находить новаторскую хакерскую продукцию или Интернет-соединения. И это несмотря на то, что еще в 2018-м году Офис государственной отчетности порекомендовал сделать вложения в систему отслеживания именно таких атак. Некоторые частные фирмы уже ведут такую «охоту» за подозрительными коммуникациями — у них есть системы, которые подозревают каждого, кто связывается с новым IP адресом, никогда прежде не вызывавшим у данного пользователя интерес. Это делают системы частных фирм. А система основы нашей госбезопасности — «Эйнштейн» — таких услуг своим пользователям не предоставляет.

«Будет правильным сказать: «Эйнштейн» был не совсем верно задуман, ему не повезло с дизайном, — объясняет Томас Боссерт, один из главных начальников в сфере кибер-безопасности в администрациях Буша-младшего и Трампа. «Но тут виноваты управленцы».

Представитель CISA Сара Сендек сказала, что взламывание компьютеров федеральных ведомств началось в марте 2020-го года. Его не удалось засечь ни одной системе отслеживания и пресечения хакерских атак. Как только была получена информация о злонамеренных действиях, эти данные были загружены в «Эйнштейн». Он был призван найти, где же сети безопасности с нашей стороны дали слабину и оказались пробиты, говорит Сара Сендек.

Россия отрицает какое-либо свое участие в любых кибер-вторжениях.

Правительство США мощно инвестировало в безопасность мириадов компьютеров, находящихся в федеральной собственности. Особенно после зубодробительного кибер-вторжения Китая в Офис менеджмента персоналом США. Тогда, еще прежде, чем эту сеть раскрыли в 2015-м году, из нашей системы утекли личные данные 20 миллионов федеральных чиновников. Среди потерянных данных были и номера социальной безопасности этих американских граждан.

Но продолжавшаяся несколько месяцев хакерская операция против федеральных сетей — это открытие новых оборотов в тех слабостях нашей системы, которые мы давно знали, плюс открытие прежде нам неизвестных брешей. Среди этих брешей — опора на коммерческое программное обеспечение, не государственными предприятиями разработанное. А такое оборудование может подать русским совет, на каком направлении, на каком векторе нас легче всего атаковать.

ФБР и Департамент внутренней безопасности США расследуют природу этих атак и пытаются узнать их последствия. Но спецслужбы уже, с самого начала расследования верят, что атаки произвела Служба внешней разведки (СВР) России. Сенатор-демократ из Коннектикута Ричард Блюменталь (Blumenthal) во вторник публично это признал. Он твитнул, что сенат получил «секретную информацию», и этот «брифинг о российской кибератаке оставил меня глубоко встревоженным, если не сказать — напуганным».

Россияне нашли путь проникновения в федеральные системы, проведя хакерскую атаку на SolarWinds, расположенную с Техасе фирму-производителя программ по мониторингу компьютерных сетей. Уже потом они незаметно просунули свою зловредную программку в системы автоматического обновления, используемые американскими правительственными системными администраторами не только для государственных, но и для частных компьютеров — просто чтобы их системы нормально функционировали. Компания Solar Winds теперь сообщила, что примерно 18.000 ее пользователей во всем мире могли быть затронуты этой операцией.

Общий объем российской хакерской операции остается неизвестным, хотя уже сейчас ясно, что множество агентств оказались затронуты. Среди них — госдепартамент, департамент финансов, внутренней госбезопасности, торговли, а также Национальные институты здоровья. Все они теперь объявлены жертвами, включая некоторые крупные компании в сфере консалтинга, технологий, телекоммуникаций, а также компании по нефте- и газодобыче. География «приписки» этих компаний тоже широка: Северные Соединенные Штаты, Европа, Азия, Ближний Восток.

Пентагон весь вторник выяснял, нет ли среди множества его департаментов таких, которые тоже подверглись вторжениям, а если таковые найдутся, — каков был причиненный ущерб? Об этом сообщил представитель департамента обороны.

Одной из целей вторжения хакеров было чтение переписки великих мира сего. Правда, пока не ясно, что русские захотят сделать с той огромной массой писем, которая им досталась. Но тот набор ведомств-жертв, которые русские избрали для своих атак, позволяет догадаться об их мотивах.

В госдепартаменте русские наверняка хотят выведать, каковы планы у американских «творцов внешней политики» в отношении к тем регионам, где находятся стратегические интересы России. В департаменте финансов русским хакерам наверняка будет любопытно узнать, как там дела у потенциальных целей американских санкций против России. Ну, а в Институте здоровья США русских могут заинтересовать любые кусочки информации о разработке вакцины от коронавируса.

По мере того, как расследование продолжается, некоторые законодатели сосредоточились на выяснении вопроса: почему же, несмотря на многие годы опасных хакерских атак со стороны русских и китайских шпионов, наши усилия по обеспечению собственной кибербезопасности никак не увенчаются успехом.

«Эйнштейн», разработанный совместно Департаментом внутренней госбезопасности и его нынешним оператором CISA, призван был стать надежным щитом для компьютеров невоенных ведомств, но доклад, подготовленный инспекторами в 2018-м гощу, раскрыл большие слабости «Эйнштейна».

Способность «найти и указать на любые аномалии, которые могут свидетельствовать о неполной кибербезопасности устройства» — эту способность должно было иметь специальное устройство, установка которого планировалась на 2022-й год. Об этом говорится в докладе. Тот же доклад сообщал, что проверка собственных сетей отдельными правительственными ведомствами сильно оставляет желать лучшего. Из 23 правительственных ведомств 5 «не мониторили свои входящие и исходящие коммуникации с внешними структурами». А 11 ведомств «были непоследовательны в своем стремлении мониторить весь входящий зашифрованный траффик. Восемь были пойманы на том, что «не полностью подвергали государственной проверке весь исходящий зашифрованный траффик».

«Департамент внутренней госбезопасности истратил миллиарды долларов налогоплательщиков на киберзащиту. И вот, все, что он получил, — это пустая обертка с названием на ней, но без конфетки внутри», — возмущается сенатор Рон Уайден (Ron Wyden), член сенатского комитета по разведке. «Несмотря на предупреждения от правительственных инспекторов, эта администрация не смогла развернуть технологическую базу, способную обнаруживать подозрительный Интернет-траффик и привлекать к ответственности хакеров, используя новые инструменты и серверы».

К сожалению, отсутствие бдительности обнаружено не только у администрации.

Боссерт, который работал над первоначальной концепцией «Эйнштейна» еще в администрации Джорджа Буша-младшего, говорит, что идея была следующая. Планировалось поставить активные сенсоры на «входе» в Интернет-портал каждого ведомства. Датчики должны были узнать и нейтрализовать любой подозрительный приход-уход информации в сторону вражеских центров команд и контроля. «Но ни администрация Буша, ни администрации Обамы и Трампа не давали „Эйнштейну" реализовать весь его потенциал контроля над сотрудниками», — сожалеет Боссерт.

Сотрудники CISA сообщили сообщили конгрессу в понедельник, что система просто не имела возможности обозначать «флажком» вредоносное программное обеспечение, которое посылало соответствующие сигналы своим русским хозяевам.

Один из помощников конгрессмена, говоря на условиях анонимности, пожаловался на следующие неправильные действия чиновников федеральных ведомств. Эти чиновники не дали CISA информацию, необходимую для того, чтобы выявить те серверы в правительстве, которые вообще не должны никак коммуницировать с внешним миром.

«Для специалистов по безопасности инфраструктуры, работающих в CISA, все компьютеры внутри правительственных ведомств выглядят одинаковыми. Поэтому «Эйнштейн» помечает красным флажком только те IP адреса, которые еще раньше были обозначены как "плохие",- отмечает сотрудник из аппарата конгресса. (Очевидно, автор предлагает считать подозрительной любую связь правительства с внешним миром, с его множеством непроверенных IP-адресов — прим. ред.)

Другие эксперты по кибербезопасности утверждают, что кибервзломы указывают на «отчаянную необходимость» создания государственного органа, который провел бы глубокое расследование инцидентов типа нынешнего скандала с Solar Winds. Ведь это та самая фирма, из-за которой в системе возникли бреши — и это скомпрометировало всю нашу систему тотальной безопасности. А еще очень важно опубликовать доклад.

«Нам нужно, чтобы люди прочли доклад и сказали: «Вау, нам надо точно повысить безопасность нашего программного обеспечения», — говорит Алекс Стамос, глава станфордской Интернет-обсерватории, группы научных исследований. Раньше он был главой служб собственной безопасности в фирмах Facebook и Yahoo.

Стамос говорит, что у нас есть «сотни тысяч компаний», у которых есть бреши в системах безопасности, а огни об этом даже не подозревают. Эти фирмы мониторят свои сети и вообще занимаются у себя менеджментом информационных технологий. «Информационные технологии для бизнеса — это рынок на 2 триллиона долларов, — делится с нами Стамос. — И нет никакого министерства, которое бы занималось тем, чтобы сделать этот рынок безопасным».