Обновили санкции. Как удалось провести одну из самых крупных хакерских атак в истории и при чем тут СВР
Александр Бородихин
Статья
15 апреля 2021, 20:06

Обновили санкции. Как удалось провести одну из самых крупных хакерских атак в истории и при чем тут СВР

Фото: Pavlo Gonchar / SOPA Images / Sipa USA / East News

Автоматические обновления компьютерных приложений считаются хорошим тоном в мире компьютерной безопасности. Тем не менее этот способ внедрения вредоносного кода уже неоднократно использовали хакеры. Атака на сервера компании SolarWinds стала самой масштабной: среди жертв тысячи организаций, в том числе Госдеп и Пентагон. США обвинили в атаке Россию — введенные президентом Джо Байденом новые санкции связаны в том числе и с этим взломом. «Медиазона» рассказывает, как атака через SolarWinds стала возможной, как ее обнаружили и почему она считается беспрецедентной.

«Взломы время от времени случаются»

«Сегодня США официально объявляют, что за широкомасштабной кибератакой с использованием платформы SolarWinds Orion и прочей IT-инфраструктуры стояла российская Служба внешней разведки (СВР), также известная как APT29, Cozy Bear и The Dukes, — говорится в сообщении на сайте Белого дома. — Доступ к системе распространения обновлений программного обеспечения SolarWinds предоставил СВР возможность взломать свыше 16 тысяч компьютерных систем по всему миру с потенциальной возможностью вмешательства в их работу. Эта кибератака затрагивает вопросы национальной безопасности и общественной безопасности». 

В сообщении не утверждается, что все 16 тысяч компаний и ведомств были взломаны — но хакеры могли воспользоваться доступом к этим закрытым системам. Общее число пострадавших от взлома до сих пор выясняется. В опубликованных одновременно с приказом Байдена рекомендациях ФБР, Агентства национальной безопасности и Агентства кибербезопасности и инфраструктурной безопасности (CISA) говорится, что потенциальным жертвам взлома стоит помимо обновления ПО и прочих экстренных мер «исходить из того, что взломы время от времени случаются».

Белый дом подчеркивает, что кибератака на SolarWinds указывает на риски, «связанные с попытками России взламывать компании по всему миру через системы распространения [обновлений]». В связи с этим американские власти предупреждают о рисках сотрудничества с компаниями, которые «работают в России или хранят там пользовательские данные», а также каким-либо образом зависят от разработчиков или специалистов технической поддержки из России.

Британский МИД вслед за США обвинил СВР в причастности к кибератаке — к такому выводу пришли специалисты Центра правительственной связи (GCHQ). Дипломаты подчеркивают, что фактический доступ к внутренним сетям британских организаций удалось подтвердить только «в единичных случаях».

Представительница МИД России Мария Захарова поспешила ответить, что американские власти что-то «наворотили», и теперь «наш ответ неотвратим».

Служба внешней разведки отреагировала на решение Байдена пространным ответом о том, что «читать бред — занятие малоинтересное». «Во всем этом словоблудии самое неприятное вот что: "СВР России, также известная как...". Извините, господа, но СВР России на весь мир известна с 1920 года как Иностранный отдел ВЧК, 5 отдел Первого управления НКВД СССР. С середины прошлого века — Первое главное управление КГБ СССР, а ныне — Служба внешней разведки Российской Федерации. За столетними славными страницами истории отечественной разведки стоит не только высочайший профессионализм, но и умение вести работу честно на благо нашей страны!» — подчеркнуло пресс-бюро СВР.

Жертвы атаки: Госдеп и Пентагон

О крупнейшей хакерской истории последних лет мир узнал с сообщения не самой известной широкой общественности калифорнийской компании FireEye, которая занимается кибербезопасностью: специалисты по взломам обнаружили, что кто-то взломал их самих. Компания остановилась в шаге от прямых обвинений, ограничившись формулировкой «кибершпионаж государственного уровня», однако источники американских газет тут же указали на предполагаемых взломщиков — хакеров, связанных с российской разведкой. 

Вскоре выяснилось, что компания FireEye стала лишь последней целью хакеров, месяцами имевших доступ к внутренним системам американских министерств и компаний. Среди потенциальных пострадавших называли министерства торговли и финансов, компании Intel, VMware, Cisco, Nvidia и прочих IT-гигантов.

Источники Washington Post конкретизировали обвинения: «Российским хакерам, известным как APT29 и Cozy Bear и работающим в структуре российской Службы внешней разведки, удалось в некоторых случаях получить доступ к почтовым ящикам».

Тогда же, в декабре прояснился и «вектор атаки» — способ, использованный хакерами для получения доступа к внутренним системам. Аналитики атакованной FireEye изучили следы хакеров и выяснили, что зараженным оказался программный модуль Orion техасского разработчика SolarWinds — крупнейшего поставщика приложений для внутреннего IT-мониторинга, которые используют системные администраторы множества известных компаний и государственных учреждений. 

Центр исследований и разработок компании FireEye. Фото: Arno Burgi / DPA / AP

«Продуктами конкурентов смехотворно сложно пользоваться, они не выдерживают сравнения. [SolarWinds] предложила первую по-настоящему удобную систему сетевого управления, и она моментально захватила рынок», — описывал положение компании на рынке бывший хакер Агентства национальной безопасности США Джейк Уильямс. 

До взлома дела у SolarWinds шли только в гору — во втором квартале компания заключила крупнейшую в своей истории сделку и ожидала, что ее годовая выручка впервые превысит миллиард долларов.

Доминирующее положение SolarWinds в своей нише рынка в итоге и обеспечило масштабность заражения: хакеры еще весной добавили вредоносный код прямо в обновление к модулю Orion. Клиенты скачали его с официального сервера — в том числе компании FireEye, которая забила тревогу. Всего опасное обновление установили до 18 тысяч клиентов компании.

«Отключение подвергшихся заражению устройств является единственной известной на сегодняшний день мерой противодействия атаке», — напутствовали узнавших о возможном заражении в американском агентстве по кибербезопасности CISA.

Ключевую роль в оперативной реакции на взлом взяла на себя корпорация Microsoft, которая отозвала цифровые сертификаты зараженных файлов, чтобы операционная система Windows не позволяла их запускать, обновила стоп-листы встроенного антивируса Windows Defender и вместе с коллегами перехватила контроль над доменом avsvmcloud[.]com, который использовался хакерами для управления кодом.

Сама Microsoft также оказалась жертвой взлома: через офисное приложение Office 365 хакерам удалось получить доступ к имейлам сотрудников Национального управления информации и связи США (NTIA). Дальнейший список пострадавших американских ведомств только расширялся: Минэнерго, Национальное управление по ядерной безопасности (NNSA), Пентагон, Госдепартамент. 

В Microsoft считают, что разработка уязвимости в SolarWinds потребовала участия «по меньшей мере тысячи очень профессиональных и способных» IT-специалистов.

Получившее всемирную известность благодаря разоблачениям Эдварда Сноудена Агентство национальной безопасности, которое само активно занимается кибершпионажем, также было клиентом SolarWinds и не знало о разворачивающейся атаке.

«Самыми постыдными примерами» New York Times называла беспечность Пентагона и министерства внутренней безопасности США, которые за месяц до скандала успели отчитаться о проведении президентских выборов без иностранного вмешательства. Это было в декабре — а в марте Associated Press узнала, что хакеры получили доступ к электронной почте главы трамповского министерства нацбезопасности Чада Вулфа и его сотрудников, занимавшихся отражением киберугроз.

Сбор данных и оценка полученной хакерами информации продолжаются до сих пор. На фоне расследования в программе SolarWinds был обнаружен второй бэкдор: SUPERNOVA вслед за лазейкой SUNBURST позволяла злоумышленникам запускать собственный код на компьютерах жертв, установивших обновление к модулю Orion — и тоже как минимум с марта прошлого года.

Новый вредоносный код оказался столь качественным и незаметным, что его могли пропустить не только автоматические системы проверки, но и человек. «Интересный поворот событий: расследование инцидента с SolarWinds привело к обнаружению дополнительного вредоносного ПО, которое также задействует Orion, но оно, вероятно, не связано с нынешним взломом и было использовано другим злоумышленником», — отметили в Microsoft. 

Как хакеры проникли в SolarWinds

Взлом SolarWinds произошел давно: в октябре 2019 года клиенты компании впервые получили обновления, отправленные злоумышленниками с официальных серверов, но без вредоносного кода — исследователи пока считают, что это была подготовительная фаза операции.

SolarWinds давно предупреждали, что с безопасностью есть проблемы. В 2017 году руководству тщетно предлагали назначить директора по кибербезопасности, а в 2019-м один из менеджеров хвастался, что «нам везет, и это замечательно».

Компании действительно везло: в том же 2019 году исследователь Винот Кумар обнаружил, что доступ к сервису с обновлениями можно получить по паролю solarwinds123, после чего предупредил компанию и получил ответ, что это была «ошибка конфигурации». Хотя считается, что для нынешнего взлома SolarWinds не использовался именно этот пароль, общая картина идентична: даже после обнаружения вредоносного кода в апдейте Orion компания несколько дней не закрывала к нему доступ.

Более того, до взлома на сайте SolarWinds в разделе с информацией даже была страница, на которой предлагалось отключить сканирование пользовательскими антивирусами папки с файлами Orion «для лучшей работы» приложения; после публикаций о взломе страницу удалили.

Скандал случился на закате карьеры главы SolarWinds Кевина Томпсона, для которого декабрь и без того должен был стать последним месяцем работы после 14 лет во главе компании. «Мы по-прежнему лучшая история в софтвере», — обращался он к коллегам и инвесторам в своем последнем финансовом отчете.

Уходившая администрация Дональда Трампа по поводу взлома высказывалась противоречиво: госсекретарь Майк Помпео и уже уволенный генпрокурор Уильям Барр обвиняли в кибератаке абстрактных «русских», а сам президент намекал, что это «мог быть» Китай. Представители Джо Байдена еще до инаугурации говорили, что собираются предпринять «не только санкции, но и прочие вещи и шаги, которые необходимы для снижения возможностей иностранных акторов для осуществления подобных атак».

«Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, ее национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит "наступательных" операций в виртуальной среде», — заверяли в декабре в российском посольстве в Вашингтоне.

Представительница МИД Мария Захарова тогда называла обвинения в адрес России бездоказательными и ложными — особенно на фоне «киберпандемии». Пресс-секретарь президента Дмитрий Песков безучастно отмечал, что «именно Соединенные Штаты стали жертвой этой хакерской атаки и, определенно, эта дискуссия не имеет к нам никакого отношения, потому что Россия не причастна к таким атакам, в частности, к этой».

Редактор: Дмитрий Трещанин

Оформите регулярное пожертвование Медиазоне!

Мы работаем благодаря вашей поддержке