Заява опублікована на сайті компанії.

Останні тижні цього непростого року виявилися ще важчими через нещодавнє викриття серйозної кібератаки на міністерство фінансів США і Національне управління телекомунікацій та інформації (NTIA). У Microsoft вважають, що ця кібератака фактично являє собою атаку на Сполучені Штати і уряд, а також на інші важливі інститути, включаючи охоронні фірми.

Загрози, що розвиваються 

Одним із головних напрямків кіберзагроз є тривале зростання рішучості і витонченості атак на національні держави. Минулого тижня про це знову заговорили ЗМІ: про атаку на фірму FireEye. Стало відомо, що хакери, які фінансуються іноземним урядом, зламали комп’ютерні мережі американського виробника програмного забезпечення SolarWinds і впровадили шкідливе оновлення для його ПЗ Orion з метою зараження мереж урядових і комерційних організацій, що ним користуються. Клієнтами компанії є підрозділи збройних сил, міністерства юстиції та державного департаменту, Агентства національної безпеки, поштової служби і 425 компаній зі списку американського списку Fortune 500.

У компанії зазначають, що атака є широким і успішним нападом як на конфіденційну інформацію уряду США, так і на технічні інструменти, використовувані компаніями для їхнього захисту. Атака триває, активно розслідується і вирішується групами кібербезпеки в державному і приватному секторах, включаючи Microsoft.

“Хоч уряди століттями і шпигували один за одним, недавні зловмисники використовували метод, який поставив під загрозу ланцюжок поставок технологій для економіки в цілому. За інформацією SolarWinds, зловмисники встановили своє шкідливе ПЗ в оновлений продукт компанії Orion, який, можливо, встановили понад 17 000 клієнтів”, – йдеться у заяві Microsoft.

Характер початкової фази атаки і масштаб уразливості ланцюжка поставок добре показані на карті нижче. Вона заснована на телеметрії антивірусного програмного забезпечення Microsoft Defender. Це дозволяє ідентифікувати клієнтів, які використовують Defender і встановили версії програмного забезпечення SolarWinds Orion, що містять шкідливе ПЗ зловмисників. Як видно, цей аспект атаки створив вразливість ланцюжка поставок майже глобального значення, досягнувши багатьох великих національних столиць за межами Росії. Це також свідчить про підвищений рівень вразливості в Сполучених Штатах.

За інформацією Microsoft, установка цього шкідливого ПЗ дала зловмисникам можливість відстежувати і обирати серед цих клієнтів організації, які вони хотіли атакувати – що, мабуть, вони і зробили в більш вузькій і цілеспрямованій формі.

У той час як розслідування (і самі атаки) тривають, компанія виявила нові докази можливої ​​атаки ще як мінімум 40 клієнтів.

“Незважаючи на те, що 80% цих клієнтів знаходяться в Сполучених Штатах, ця робота також виявила жертви ще в семи країнах. Сюди входять Канада і Мексика в Північній Америці; Бельгія, Іспанія і Великобританія в Європі; а також Ізраїль і ОАЕ на Близькому Сході. Безсумнівно, кількість та місцезнаходження жертв будуть рости”, – заявили в Microsoft.

Додатковий аналіз проливає світло на масштаб цих атак. Початковий список жертв включає не тільки державні установи, а й охоронні та інші технологічні компанії, а також неурядові організації, як показано в таблиці нижче.

“Дуже важливо, щоб ми відступили і оцінили значимість цих атак в їх повному контексті. Це не “звичайне шпигунство” навіть в епоху цифрових технологій. Навпаки, воно являє собою акт нерозсудливості, який створив серйозну технологічну уразливість для Сполучених Штатів і всього світу. По суті, це напад не тільки на конкретні цілі, а й на надійність важливої світової інфраструктури з метою просування розвідувального агентства однієї країни”, – повідомили в компанії.

У Microsoft зазначають, що Кремнієва долина – не єдиний дім геніальних розробників програмного забезпечення. У 2016 році російські інженери виявили слабкі місця в захисті паролем і в платформах соціальних мереж, проникли в американські політичні кампанії і використовували дезінформацію, щоб посіяти розбіжності серед виборців. Вони повторили це і під час президентської кампанії у Франції 2017 року.

За даними Центру аналізу загроз і відділу по боротьбі з цифровими злочинами Microsoft, ці методи торкнулися жертв більш ніж в 70 країнах, включаючи більшість демократичних країн світу. Остання атака відображає невдалу, але настільки ж геніальну здатність виявляти слабкі місця в захисті кібербезпеки і використовувати їх.

“Ці типи витончених атак на національні держави все частіше поглиблюються іншою технологічною тенденцією, яка полягає в розширенні можливостей людини за допомогою штучного інтелекту (ШІ). Однією з найбільш страшних подій цього року стали нові кроки по використанню ШІ для викрадення великих обсягів особистих даних та поширення дезінформації за допомогою текстових повідомлень і додатків для зашифрованих повідомлень. Ми всі повинні зрозуміти, що, такі витончені атаки з Росії теж стануть постійними “, – заявляють в Microsoft.

Все це змінюється через ще одну загрозу, що розвивається – зростаючу приватизацію кібербезпечних атак через нове покоління приватних компаній. Це явище навіть має власний акронім – PSOA, що позначає наступальні суб’єкти приватного сектора.

Однією з показових компаній в цьому новому секторі є NSO Group, що базується в Ізраїлі і наразіьбере участь в судових процесах в США. NSO створила і продала урядам застосунок під назвою Pegasus, який можна було встановити на пристрій, просто зателефонувавши на нього по WhatsApp; власникові пристрою навіть не потрібно було відповідати. За даними WhatsApp, NSO використовувала Pegasus для доступу до більш ніж 1400 мобільних пристроїв, в тому числі і тих, що належать журналістам і правозахисникам.

NSO – зростаюче злиття складних технологій приватного сектора і зловмисників з боку держави. Citizen Lab, дослідницька лабораторія Університету Торонто, виявила понад 100 випадків зловживань тільки щодо НСО. Все частіше ходять чутки про те, що інші компанії приєднуються до нового світового технологічного ринку з оборотом 12 мільярдів доларів.

Була надія, що пандемія COVID-19, яка забрала життя мільйонів людей, призупинить світові кібератаки, але марно. Після короткочасного затишшя в березні кібератаки націлилися на лікарні та органи охорони здоров’я, від місцевих органів влади до Всесвітньої організації охорони здоров’я (ВООЗ). Поки людство прагнуло розробити вакцини, групи безпеки Microsoft виявили трьох суб’єктів в національній державі, націлених на сім відомих компаній, що безпосередньо беруть участь в дослідженнях вакцин і методів лікування COVID-19.

Однак разом узяті ці три тенденції вказують на те, що ситуація в області кібербезпеки ще більш страхітлива, ніж на початку року. Ризики ростуть і поширюються на інші уряди через нові приватні компанії, які допомагають і підбурюють до атак з боку держави. І ніщо, навіть пандемія, не є перепоною для зловмисників.

Більш ефективна стратегія на початку нового року

У Microsoft вважають, що потрібно створити більш ефективну національну і глобальну стратегію захисту від кібератак.

“У світі, де авторитарні країни здійснюють кібератаки проти світових демократій, для демократичних урядів як ніколи важливо працювати разом – обмінюватися інформацією та передовим досвідом та координувати не тільки захист кібербезпеки, а й відповідні заходи”, – заявили в компанії.

На відміну від атак минулого, загрози кібербезпеки також вимагають унікального рівня співпраці між державним і приватним секторами. Сучасна технологічна інфраструктура, від центрів обробки даних до волоконно-оптичних кабелів, найчастіше належить і управляється приватними компаніями. Вони являють собою не тільки більшу частину інфраструктури, яку необхідно захистити, а й майданчик, на якому зазвичай вперше виявляються нові кібератаки. З цієї причини для ефективної кіберзахисту потрібна не просто коаліція світових демократій, а коаліція з провідними технологічними компаніями.

Щоб домогтися успіху, цій коаліції в майбутньому необхідно буде робити три речі більш ефективно:

По-перше, потрібно зробити важливий крок назустріч в обміні і аналізі інформації про загрози. У 2021 буде 20 років з дня трагедії 11 вересня 2001, і в компанії вважають, що важливо пам’ятати один з уроків цього трагічного дня. Комісія, яка займалася цією справою, констатувала нездатність урядових відомств накопичувати колективні знання шляхом з’єднання точок даних. Тому головною їхньою рекомендацією стало об’єднання стратегічної розвідки і перехід від “необхідності знати” до “необхідності ділитися”.

По-друге, на думку Microsoft, необхідно зміцнити міжнародні правила, щоб покласти край необачній поведінці національних держав і забезпечити все, щоб внутрішні закони перешкоджали зростанню екосистеми кібератак.

“Хоча в світі існують важливі міжнародні норми і закони для боротьби з атаками на національні держави, ми як і раніше вважаємо важливим заповнити прогалини і продовжити розробку чітких і зобов’язують юридичних зобов’язань для кіберпростору. Це повинно ґрунтуватися на уроках 2020 року. Наприклад, він повинен включати постійну розробку правил, які прямо забороняють широку і безрозсудну діяльність, яка використовується проти SolarWinds і її клієнтів, яка втручається в законне програмне забезпечення і загрожує стабільності ширшого ланцюжка поставок програмного забезпечення”, – йдеться в заяві.

У Microsoft також вважають, що потрібні більш рішучі кроки для залучення до відповідальності національних держав за кібератаки.

“В останні роки уряди і приватні компанії зробили більш рішучі кроки по залученню до публічної відповідальності національних держав за кібератаки. Нам необхідно розвивати цей курс і продовжувати просуватися вперед, при цьому уряди повинні гарантувати, що ці напади будуть мати більш серйозні реальні наслідки, щоб сприяти стабільності і перешкоджати конфліктам”, – заявили в компанії.

Microsoft прогнозує, що у наступні тижні спостерігатиметься зростання числа атак.

“Тепер ми ще краще розуміємо, що вони відображають не тільки новітні технології, що застосовуються в традиційному шпигунстві, але і безрозсудну і серйозну загрозу цифровому ланцюжку поставок і нашим найважливішим економічним, цивільним і політичним інститутам. Це тип міжнародного нападу, що вимагає колективної відповіді. Він показує, що серйозні порушення мають наслідки”, – заявляє компанія.

  • За інформацією ЗМІ, російські хакери, які пов’язані з іноземним урядом, зламали системи, що належать міністерству фінансів США і Національному управлінню телекомунікацій та інформації (NTIA).