Автоматические обновления компьютерных приложений считаются хорошим тоном в мире компьютерной безопасности. Тем не менее этот способ внедрения вредоносного кода уже неоднократно использовали хакеры. Атака на сервера компании SolarWinds стала самой масштабной: среди жертв тысячи организаций, в том числе Госдеп и Пентагон.
США обвинили в атаке Россию — введенные президентом Джо Байденом новые санкции связаны в том числе и с этим взломом. Издание «Медиазона» рассказывает, как атака через SolarWinds стала возможной, как ее обнаружили и почему она считается беспрецедентной.
«Взломы время от времени случаются»
«Сегодня США официально объявляют, что за широкомасштабной кибератакой с использованием платформы SolarWinds Orion и прочей IT-инфраструктуры стояла российская Служба внешней разведки (СВР), также известная как APT29, Cozy Bear и The Dukes, — говорится в сообщении на сайте Белого дома. — Доступ к системе распространения обновлений программного обеспечения SolarWinds предоставил СВР возможность взломать свыше 16 тысяч компьютерных систем по всему миру с потенциальной возможностью вмешательства в их работу. Эта кибератака затрагивает вопросы национальной безопасности и общественной безопасности».
В сообщении не утверждается, что все 16 тысяч компаний и ведомств были взломаны — но хакеры могли воспользоваться доступом к этим закрытым системам. Общее число пострадавших от взлома до сих пор выясняется. В опубликованных одновременно с приказом Байдена рекомендациях ФБР, Агентства национальной безопасности и Агентства кибербезопасности и инфраструктурной безопасности (CISA) говорится, что потенциальным жертвам взлома стоит помимо обновления ПО и прочих экстренных мер «исходить из того, что взломы время от времени случаются».
Белый дом подчеркивает, что кибератака на SolarWinds указывает на риски, «связанные с попытками России взламывать компании по всему миру через системы распространения [обновлений]». В связи с этим американские власти предупреждают о рисках сотрудничества с компаниями, которые «работают в России или хранят там пользовательские данные», а также каким-либо образом зависят от разработчиков или специалистов технической поддержки из России.
Британский МИД вслед за США обвинил СВР в причастности к кибератаке — к такому выводу пришли специалисты Центра правительственной связи (GCHQ). Дипломаты подчеркивают, что фактический доступ к внутренним сетям британских организаций удалось подтвердить только «в единичных случаях».
Представительница МИД России Мария Захарова поспешила ответить, что американские власти что-то «наворотили», и теперь «наш ответ неотвратим».
Служба внешней разведки отреагировала на решение Байдена пространным ответом о том, что «читать бред — занятие малоинтересное». «Во всем этом словоблудии самое неприятное вот что: «СВР России, также известная как…». Извините, господа, но СВР России на весь мир известна с 1920 года как Иностранный отдел ВЧК, 5 отдел Первого управления НКВД СССР. С середины прошлого века — Первое главное управление КГБ СССР, а ныне — Служба внешней разведки Российской Федерации. За столетними славными страницами истории отечественной разведки стоит не только высочайший профессионализм, но и умение вести работу честно на благо нашей страны!», — подчеркнуло пресс-бюро СВР.
Жертвы атаки: Госдеп и Пентагон
О крупнейшей хакерской истории последних лет мир узнал с сообщения не самой известной широкой общественности калифорнийской компании FireEye, которая занимается кибербезопасностью: специалисты по взломам обнаружили, что кто-то взломал их самих. Компания остановилась в шаге от прямых обвинений, ограничившись формулировкой «кибершпионаж государственного уровня», однако источники американских газет тут же указали на предполагаемых взломщиков — хакеров, связанных с российской разведкой.
Вскоре выяснилось, что компания FireEye стала лишь последней целью хакеров, месяцами имевших доступ к внутренним системам американских министерств и компаний. Среди потенциальных пострадавших называли министерства торговли и финансов, компании Intel, VMware, Cisco, Nvidia и прочих IT-гигантов.
Источники Washington Post конкретизировали обвинения: «Российским хакерам, известным как APT29 и Cozy Bear и работающим в структуре российской Службы внешней разведки, удалось в некоторых случаях получить доступ к почтовым ящикам».
Аббревиатура с номером в американской официальной номенклатуре присваивается так называемым «перспективным устойчивым угрозам» кибернападений, сокращенно APT: APT28 — группировка Fancy Bear, APT29 — Cozy Bear. Моду на названия, связанные с медведями, ввела компания CrowdStrike, которая занимается предотвращением компьютерных атак и активно участвовала в расследовании взлома серверов Демократической партии США в 2015–2016 годах.
«Животные означают страну происхождения: русские — медведи, китайцы — панды, иранцы — котята, а северокорейцы — “чоллимы”, в честь мифического крылатого коня, — пересказывал Esquire в профайле основателя CrowdStrike, уроженца Москвы с американским гражданством Дмитрия Альперовича. — В компании есть традиция: аналитик, обнаруживший нового хакера, подбирает ему первую часть псевдонима. Группировка Cozy Bear получила свое название, потому что в их коде использовалось словечко coz. Код Fancy Bear в свою очередь содержал слово Sofacy, которое напомнило изучавшему их активность сотруднику песню Игги Азалии Fancy».
В FireEye присвоили нынешним взломщикам SolarWinds собственный идентификатор — UNC2452, а встроенному в обновление Orion коду — SUNBURST.
Тогда же, в декабре прояснился и «вектор атаки» — способ, использованный хакерами для получения доступа к внутренним системам. Аналитики атакованной FireEye изучили следы хакеров и выяснили, что зараженным оказался программный модуль Orion техасского разработчика SolarWinds — крупнейшего поставщика приложений для внутреннего IT-мониторинга, которые используют системные администраторы множества известных компаний и государственных учреждений.
«Продуктами конкурентов смехотворно сложно пользоваться, они не выдерживают сравнения. [SolarWinds] предложила первую по-настоящему удобную систему сетевого управления, и она моментально захватила рынок», — описывал положение компании на рынке бывший хакер Агентства национальной безопасности США Джейк Уильямс.
До взлома дела у SolarWinds шли только в гору — во втором квартале компания заключила крупнейшую в своей истории сделку и ожидала, что ее годовая выручка впервые превысит миллиард долларов.
Доминирующее положение SolarWinds в своей нише рынка в итоге и обеспечило масштабность заражения: хакеры еще весной добавили вредоносный код прямо в обновление к модулю Orion. Клиенты скачали его с официального сервера — в том числе компании FireEye, которая забила тревогу. Всего опасное обновление установили до 18 тысяч клиентов компании.
«Отключение подвергшихся заражению устройств является единственной известной на сегодняшний день мерой противодействия атаке», — напутствовали узнавших о возможном заражении в американском агентстве по кибербезопасности CISA.
Ключевую роль в оперативной реакции на взлом взяла на себя корпорация Microsoft, которая отозвала цифровые сертификаты зараженных файлов, чтобы операционная система Windows не позволяла их запускать, обновила стоп-листы встроенного антивируса Windows Defender и вместе с коллегами перехватила контроль над доменом avsvmcloud[.]com, который использовался хакерами для управления кодом.
Сама Microsoft также оказалась жертвой взлома: через офисное приложение Office 365 хакерам удалось получить доступ к имейлам сотрудников Национального управления информации и связи США (NTIA). Дальнейший список пострадавших американских ведомств только расширялся: Минэнерго, Национальное управление по ядерной безопасности (NNSA), Пентагон, Госдепартамент.
В Microsoft считают, что разработка уязвимости в SolarWinds потребовала участия «по меньшей мере тысячи очень профессиональных и способных» IT-специалистов.
Получившее всемирную известность благодаря разоблачениям Эдварда Сноудена Агентство национальной безопасности, которое само активно занимается кибершпионажем, также было клиентом Solarwinds и не знало о разворачивающейся атаке.
Новости по теме: Очнуться после гипноза США. Меркель заставила задуматься Прибалтику
«Самыми постыдными примерами» New York Times называла беспечность Пентагона и министерства внутренней безопасности США, которые за месяц до скандала успели отчитаться о проведении президентских выборов без иностранного вмешательства. Это было в декабре — а в марте Associated Press узнала, что хакеры получили доступ к электронной почте главы трамповского министерства нацбезопасности Чада Вулфа и его сотрудников, занимавшихся отражением киберугроз.
Сбор данных и оценка хакерами информации продолжаются до сих пор. На фоне расследования в программе SolarWinds был обнаружен второй бэкдор: SUPERNOVA вслед за лазейкой SUNBURST позволяла злоумышленникам запускать собственный код на компьютерах жертв, установивших обновление к модулю Orion — и тоже как минимум с марта прошлого года.
Новый вредоносный код оказался столь качественным и незаметным, что его могли пропустить не только автоматические системы проверки, но и человек. «Интересный поворот событий: расследование инцидента с SolarWinds привело к обнаружению дополнительного вредоносного ПО, которое также задействует Orion, но оно, вероятно, не связано с нынешним взломом и было использовано другим злоумышленником», — отметили в Microsoft.
Как хакеры проникли в SolarWind
Взлом SolarWinds произошел давно: в октябре 2019 года клиенты компании впервые получили обновления, отправленные злоумышленниками с официальных серверов, но без вредоносного кода — исследователи пока считают, что это была подготовительная фаза операции.
Solarwinds давно предупреждали, что с безопасностью есть проблемы. В 2017 году руководству тщетно предлагали назначить директора по кибербезопасности, а в 2019-м один из менеджеров хвастался, что «нам везет, и это замечательно».
Компании действительно везло: в том же 2019 году исследователь Винот Кумар обнаружил, что доступ к сервису с обновлениями можно получить по паролю solarwinds123, после чего предупредил компанию и получил ответ, что это была «ошибка конфигурации». Хотя считается, что для нынешнего взлома Solarwinds не использовался именно этот пароль, общая картина идентична: даже после обнаружения вредоносного кода в апдейте Orion компания несколько дней не закрывала к нему доступ.
Более того, до взлома на сайте Solarwinds в разделе с информацией даже была страница, на которой предлагалось отключить сканирование пользовательскими антивирусами папки с файлами Orion «для лучшей работы» приложения; после публикаций о взломе страницу удалили.
Скандал случился на закате карьеры главы SolarWinds Кевина Томпсона, для которого декабрь и без того должен был стать последним месяцем работы после 14 лет во главе компании. «Мы по-прежнему лучшая история в софтвере», — обращался он к коллегам и инвесторам в своем последнем финансовом отчете.
Уходившая администрация Дональда Трампа по поводу взлома высказывалась противоречиво: госсекретарь Майк Помпео и уже уволенный генпрокурор Уильям Барр обвиняли в кибератаке абстрактных «русских», а сам президент намекал, что это «мог быть» Китай. Представители Джо Байдена еще до инаугурации говорили, что собираются предпринять «не только санкции, но и прочие вещи и шаги, которые необходимы для снижения возможностей иностранных акторов для осуществления подобных атак».
«Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, ее национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит «наступательных» операций в виртуальной среде», — заверяли в декабре в российском посольстве в Вашингтоне.
Представительница МИД Мария Захарова тогда называла обвинения в адрес России бездоказательными и ложными — особенно на фоне «киберпандемии». Пресс-секретарь президента Дмитрий Песков безучастно отмечал, что «именно Соединенные Штаты стали жертвой этой хакерской атаки, и определенно, эта дискуссия не имеет к нам никакого отношения, потому что Россия не причастна к таким атакам, в частности, к этой».
