Заявление опубликовано на сайте компании.

Последние недели этого непростого года оказались еще более трудными из-за недавнего разоблачения серьезной кибератаки на министерство финансов США и Национальное управление телекоммуникаций и информации (NTIA). В Microsoft считают, что эта кибератака фактически представляет собой атаку на Соединенные Штаты и правительство, а также на другие важные институты, включая охранные фирмы. 

Развивающиеся угрозы

Одно из главных направлений киберугроз – продолжающийся рост решимости и изощренности атак на национальные государства. На прошлой неделе об этом снова заговорили СМИ с рассказом об атаке на фирму FireEye. Стало известно, что финансируемые иностранным правительством хакеры взломали компьютерные сети американского производителя программного обеспечения SolarWinds и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций. Клиентами компании являются подразделения вооруженных сил, министерства юстиции и государственного департамента, Агентства национальной безопасности, почтовой службы и 425 компаний из списка американского списка Fortune 500.

В компании отмечают, что атака представляет собой широкое и успешное нападение как на конфиденциальную информацию правительства США, так и на технические инструменты, используемые компаниями для их защиты. Атака продолжается, активно расследуется и решается группами кибербезопасности в государственном и частном секторах, включая Microsoft. 

“Хотя правительства веками шпионили друг за другом, недавние злоумышленники использовали метод, который поставил под угрозу цепочку поставок технологий для экономики в целом. По информации SolarWinds, злоумышленники установили свое вредоносное ПО в обновленный продукт компании Orion, который, возможно, установили более 17 000 клиентов”, – говорится в заявлении Microsoft.

Характер начальной фазы атаки и масштаб уязвимости цепочки поставок ясно показаны на карте ниже, которая основана на телеметрии антивирусного программного обеспечения Microsoft Defender. Это позволяет идентифицировать клиентов, которые используют Defender и установили версии программного обеспечения SolarWinds Orion, содержащие вредоносное ПО злоумышленников. Как видно, этот аспект атаки создал уязвимость цепочки поставок почти глобального значения, достигнув многих крупных национальных столиц за пределами России. Это также свидетельствует о повышенном уровне уязвимости в Соединенных Штатах.

По информации Microsoft, установка этого вредоносного ПО дала злоумышленникам возможность отслеживать и выбирать среди этих клиентов организации, которые они хотели атаковать, что, по-видимому, они и сделали в более узкой и целенаправленной форме. 

В то время как расследования (и сами атаки) продолжаются, компания выявила новые доказательства возможной атаки еще как минимум 40 клиентов.

“Несмотря на то, что примерно 80% этих клиентов находятся в Соединенных Штатах, эта работа также выявила жертвы еще в семи странах. Сюда входят Канада и Мексика в Северной Америке; Бельгия, Испания и Великобритания в Европе; а также Израиль и ОАЭ на Ближнем Востоке. Несомненно, количество и местонахождение жертв будут расти”, – заявили в Microsoft.

Дополнительный анализ проливает свет на масштаб этих атак. Первоначальный список жертв включает не только государственные учреждения, но и охранные и другие технологические компании, а также неправительственные организации, как показано в таблице ниже.

“Очень важно, чтобы мы отступили и оценили значимость этих атак в их полном контексте. Это не “обычный шпионаж” даже в эпоху цифровых технологий. Напротив, он представляет собой акт безрассудства, который создал серьезную технологическую уязвимость для Соединенных Штатов и всего мира. По сути, это нападение не только на конкретные цели, но и на надежность важной мировой инфраструктуры с целью продвижения разведывательного агентства одной страны”, – сообщили в компании.

В Microsoft отмечают, что Кремниевая долина – не единственный дом гениальных разработчиков программного обеспечения. В 2016 году российские инженеры выявили слабые места в защите паролем и в платформах социальных сетей, проникли в американские политические кампании и использовали дезинформацию, чтобы посеять разногласия среди избирателей. Они повторили это и во время президентской кампании во Франции 2017 года. 

По данным Центра анализа угроз и отдела по борьбе с цифровыми преступлениями Microsoft, эти методы затронули жертв более чем в 70 странах, включая большинство демократических стран мира. Самая последняя атака отражает неудачную, но столь же гениальную способность выявлять слабые места в защите кибербезопасности и использовать их.

“Эти типы изощренных атак на национальные государства все чаще усугубляются другой технологической тенденцией, которая заключается в расширении возможностей человека с помощью искусственного интеллекта (ИИ). Одним из наиболее пугающих событий этого года стали новые шаги по использованию ИИ для вооружения больших украденных наборов данных о людях и распространения дезинформации с помощью текстовых сообщений и приложений для зашифрованных сообщений. Мы все должны исходить из того, что, как и изощренные атаки из России тоже станут постоянными”, – заявляют в Microsoft.

Все это меняется из-за еще одной развивающейся угрозы – растущей приватизации кибербезопасных атак через новое поколение частных компаний. Это явление даже имеет собственный акроним – PSOA, обозначающий наступательных субъектов частного сектора. 

Одной из показательных компаний в этом новом секторе является NSO Group, базирующаяся в Израиле и в настоящее время участвующая в судебных процессах в США. NSO создала и продала правительствам приложение под названием Pegasus, которое можно было установить на устройство, просто позвонив на него по WhatsApp; владельцу устройства даже не нужно было отвечать. По данным WhatsApp, NSO использовала Pegasus для доступа к более чем 1400 мобильным устройствам, в том числе принадлежащим журналистам и правозащитникам.

NSO представляет собой растущее слияние сложных технологий частного сектора и злоумышленников со стороны государства. Citizen Lab, исследовательская лаборатория Университета Торонто, выявила более 100 случаев злоупотреблений только в отношении НСО. Но это далеко не один случай. Все чаще ходят слухи о том, что другие компании присоединяются к новому мировому технологическому рынку с оборотом 12 миллиардов долларов.

Была надежда, что пандемия COVID-19, которая унесла жизни миллионов людей, приостановит мировые кибератаки, но тщетно. После кратковременного затишья в марте кибератаки нацелились на больницы и органы здравоохранения, от местных органов власти до Всемирной организации здравоохранения (ВОЗ). Пока человечество стремилось разработать вакцины, группы безопасности Microsoft обнаружили трех субъектов в национальном государстве, нацеленных на семь известных компаний, непосредственно участвующих в исследованиях вакцин и методов лечения COVID-19.

Однако вместе взятые эти три тенденции указывают на то, что ситуация в области кибербезопасности еще более устрашающая, чем в начале года. Риски растут и распространяются на другие правительства через новые частные компании, которые помогают и подстрекают к атакам со стороны государства. И ничто, даже пандемия, не является преградой для злоумышленников.

Более эффективная стратегия в начале нового года

В Microsoft считают, что нужно создать более эффективную национальную и глобальную стратегию защиты от кибератак. 

“В мире, где авторитарные страны осуществляют кибератаки против мировых демократий, для демократических правительств как никогда важно работать вместе – обмениваться информацией и передовым опытом и координировать не только защиту кибербезопасности, но и ответные меры”, – заявили в компании.

В отличие от атак прошлого, угрозы кибербезопасности также требуют уникального уровня сотрудничества между государственным и частным секторами. Современная технологическая инфраструктура, от центров обработки данных до волоконно-оптических кабелей, чаще всего принадлежит и управляется частными компаниями. Они представляют собой не только большую часть инфраструктуры, которую необходимо защитить, но и площадку, на которой обычно впервые обнаруживаются новые кибератаки. По этой причине для эффективной киберзащиты требуется не просто коалиция мировых демократий, но коалиция с ведущими технологическими компаниями.

Чтобы добиться успеха, этой коалиции в будущем необходимо будет делать три вещи более эффективно:

Во-первых, нужно сделать важный шаг навстречу в обмене и анализе информации об угрозах. В следующем году будет 20 лет со дня трагедии 11 сентября 2001 года, и в компании считают, что важно помнить один из уроков этого трагического дня. Комиссия, которая занималась этим делом, констатировала неспособность правительственных ведомств накапливать коллективные знания путем соединения точек данных. Поэтому главной их рекомендацией стало объединение стратегической разведки и переход от “необходимости знать” к “необходимости делиться”.

Во-вторых, по мнению Microsoft, необходимо укрепить международные правила, чтобы положить конец безрассудному поведению национальных государств и обеспечить, чтобы внутренние законы препятствовали росту экосистемы кибератак. 

“Хотя в мире существуют важные международные нормы и законы для борьбы с атаками на национальные государства, мы по-прежнему считаем важным заполнить пробелы и продолжить разработку четких и обязывающих юридических обязательств для киберпространства. Это должно основываться на уроках 2020 года и расставлять приоритеты в ключевых и конкретных областях. Например, он должен включать постоянную разработку правил, прямо запрещающих широкую и безрассудную деятельность, используемую против SolarWinds и ее клиентов, которая вмешивается в законное программное обеспечение и угрожает стабильности более широкой цепочки поставок программного обеспечения”, – говорится в заявлении.

В Microsoft также считают, что нужны более решительные шаги для привлечения к ответственности национальных государств за кибератаки. 

“В последние годы правительства и частные компании предприняли более решительные шаги по привлечению к публичной ответственности национальных государств за кибератаки. Нам необходимо развивать этот курс и продолжать продвигаться вперед, при этом правительства должны гарантировать, что эти нападения будут иметь более серьезные реальные последствия, чтобы способствовать стабильности и препятствовать конфликтам”, – заявили в компании.

Microsoft прогнозирует, что предстоящие недели будет наблюдаться рост числа атак. 

“Становится еще яснее, что они отражают не только новейшие технологии, применяемые в традиционном шпионаже, но и безрассудную и серьезную угрозу цифровой цепочке поставок и нашим важнейшим экономическим, гражданским и политическим институтам. Это тип международного нападения, требующий коллективного ответа. Он показывает, что серьезные нарушения имеют последствия”, – заявляет компания.

  • По информации СМИ, российские хакеры, связанные с иностранным правительством, взломали системы, принадлежащие министерству финансов США и Национальному управлению телекоммуникаций и информации (NTIA).