Алиса Горбунова

Текст

В конце 2020 года на США была совершена крупная хакерская атака. Злоумышленники внедрили вредоносный код в пакет обновлений программного обеспечения для управления предприятиями SolarWinds. Зараженное ПО разослали всем клиентам компании. Жертвами хакеров стали Госдепартамент США, Министерство внутренней безопасности США и другие структуры. Вирус получил название Sunburst

Первыми атаку заметили в FireEye — ​компании, которая занимается сетевой безопасностью. Ее классифицировали как APT — ​advanced persistent threat, или «развитая устойчивая угроза»: так называют кибернападения, которые в несколько этапов совершаются группами со значительными ресурсами и уровнем знаний. По словам главы FireEye Кевина Мэндиа, «мы стали свидетелями атаки со стороны государства, которое обладает первоклассными орудиями нападения».

Такие атаки изменили лицо геополитической конкуренции: в прошлом за секретной информацией отправляли шпионов, а чтобы завладеть чужими богатствами, развязывали войну. Теперь дотянуться до национального достояния можно с помощью компьютерного кода. APT-атаки приводят к утрате уникальных сведений, экономическим и политическим потерям, а заказчикам дают преимущество над страной-конкурентом. Достаточно собрать группу профессиональных хакеров.

Слабое место

На первом этапе кибератаки хакеры изучают дос­тупную информацию о целевом программном обес­печении и ищут в нем уязвимости. Разработчики ПО стремятся защитить систему так, чтобы поиск брешей занял у противника очень долгое время. Но APT-атаки тем и знамениты, что их участники имеют ресурсы на месяцы и годы трудоемкой работы. При APT нередко используют «уязвимости нулевого дня» — ​такие бреши в системе, о существовании которых не знает и сам разработчик. Найдя конкретные уязвимости, хакеры могут создать вредоносный код под собственные цели.

2021. США и другие страны. Цель: разведданные. Хакеры атаковали почтовый сервис Microsoft Exchange. Нападению подверглось более 60 тысяч серверов по всему миру. Microsoft связывает взлом с китайской хакерской группировкой Hafnium. Атака, целью которой, предположительно, были разведданные, переросла в глобальный кризис кибербезопасности

2021. США и другие страны. Цель: разведданные. Хакеры атаковали почтовый сервис Microsoft Exchange. Нападению подверглось более 60 тысяч серверов по всему миру. Microsoft связывает взлом с китайской хакерской группировкой Hafnium. Атака, целью которой, предположительно, были разведданные, переросла в глобальный кризис кибербезопасности

Доставить вирус в структуру компании, которая использует это ПО, помогает социальная инженерия, или, проще говоря, человеческий фактор. Например, с помощью флешки и одного обманутого сотрудника можно распространить код по сети между связанными компьютерами и найти ключевые для нападения узлы. Еще один способ проникновения — ​фишинг: это рассылка электронных писем со ссылками и файлами, которые содержат вредоносный код.

Иногда «точка входа» оказывается еще более банальной. Говоря об атаке Sunburst, программист Винот Кумар сообщил в своем Twitter, что учетные данные от сервера обновлений SolarWinds еще в 2018 году были свободно доступны на GitHub, причем пароль от сервера был solarwinds123. Он заметил утечку и сообщил об этом компании. Официально эта версия проникновения в систему подтверждена не была. И не будет: даже если история правдива, ни одна IT-компания не станет признавать, что допустила такую глупую ошибку.

Дальше модуль или шпионит, как Sunburst, или даже манипулирует атакованной структурой. Так, в 2016 году в Бангладеш была совершена громкая кибератака, при которой из центрального банка страны похитили 81 миллион долларов США. Зло­умышленники задумывали вывести почти 1 миллиард долларов, но ошибка в платежном документе им помешала. Нападение приписывают северокорейским хакерам из группы Lazarus.

2014. США. Цель: киностудия. Компании Sony Pictures пришлось отменить премьеру фильма «Интервью», в котором показана попытка покушения на лидера Северной Кореи Ким Чен Ына. Мероприятие было сорвано из-за хакерской атаки на компьютерную сеть компании. Американские власти обвинили во взломе КНДР и ввели против страны санкции

2014. США. Цель: киностудия. Компании Sony Pictures пришлось отменить премьеру фильма «Интервью», в котором показана попытка покушения на лидера Северной Кореи Ким Чен Ына. Мероприятие было сорвано из-за хакерской атаки на компьютерную сеть компании. Американские власти обвинили во взломе КНДР и ввели против страны санкции

Не только цифра

С помощью кода можно нанести ущерб не только электронным устройствам. В 2010 году вирус Stuxnet атаковал около 30 тысяч компьютеров в Иране. Они были связаны с рядом промышленных объектов, в том числе с атомной электростанцией в Бушере — ​первой АЭС на Ближнем Востоке.

Stuxnet проникал в компьютер, предположительно, через USB-флешку и начинал его изучать. На первом этапе вирус распознавал, встроен ли компьютер в автоматизированную систему управления технологическими процессами (АСУ ТП) Simatic, разработанную компанией Siemens. Simatic использовался в Иране для обслуживания центрифуг на заводах по обогащению урана. Если цель верная, вирус перехватывал управление за счет уязвимостей в Windows, отдавал команду разгонять центрифуги до предела и выводил их из строя. Нападение отбросило иранскую ядерную программу на несколько лет назад, а против нее активно выступали США и Израиль.

Основатель Kaspersky Lab Евгений Касперский комментировал эту атаку: «Stuxnet не крадет деньги, не шлет спам и не ворует конфиденциальную информацию. Этот зловред создан для того, чтобы контролировать производственные процессы, в буквальном смысле управлять огромными производственными мощностями. В недалеком прошлом мы боролись с киберпреступниками и интернет-хулига­нами, теперь, боюсь, наступает время кибертерроризма, кибероружия и кибервойн».

2015. Канада. Цель: золотодобывающее предприятие. Группа хакеров FIN10 атаковала золотодобывающую компанию Detour Gold Corp. Злоумышленники украли около 100 ГБ информации, из них 18 ГБ разместили на торрент-трекере. Это были личные данные сотрудников компании и ее клиентов, информация о заработных платах и другие документы

2015. Канада. Цель: золотодобывающее предприятие. Группа хакеров FIN10 атаковала золотодобывающую компанию Detour Gold Corp. Злоумышленники украли около 100 ГБ информации, из них 18 ГБ разместили на торрент-трекере. Это были личные данные сотрудников компании и ее клиентов, информация о заработных платах и другие документы

Открытый, доступный, опасный

Руководитель Spyglass Security Джеки Сингх, работавшая в предвыборной кампании Байдена главным экспертом по кибербезопасности, объясняла, что у правительств нет возможности развивать сложные программные продукты своими силами. Государственные структуры используют в работе коммерческие ПО: Windows, Linux, SolarWinds и другие. Они доступны всем, в том числе и хакерам, а это открывает дорогу для изучения программы и разработки атаки на систему.

Создание закрытых программных продуктов в государственных целях — ​практика реальная, но не очень частая. На разработку с нуля уходят долгие годы, в то время как покупка готового решения занимает несколько дней. А специалисты по безопасности понимают, что при желании хакеры могут атаковать даже закрытую систему: в любой структуре работают сотни людей, каждого из которых можно обмануть.

2015. Украина. Цель: система управления электрическими подстанциями. Первую в мире атаку на электросеть хакеры совершили в 2015 году. С помощью вируса BlackEnergy они перехватили управление компьютерами нескольких предприятий и отключили подачу электроэнергии. Ивано-Франковская область оставалась без света 3–8 часов.

2015. Украина. Цель: система управления электрическими подстанциями. Первую в мире атаку на электросеть хакеры совершили в 2015 году. С помощью вируса BlackEnergy они перехватили управление компьютерами нескольких предприятий и отключили подачу электроэнергии. Ивано-Франковская область оставалась без света 3–8 часов.


По этой причине лучшим способом повышения защиты считается образование в области цифровых технологий и банальная бдительность. Чем лучше сотрудник знаком с приемами, которые используют хакеры и чем внимательнее он относится к рабочим данным, тем сложнее злоумышленникам достигать своих целей. Но никакая тактика не поможет на 100 % избежать кибератак.

Реагируя на свежие события, президент США Джозеф Байден неоднократно сообщал о том, что одна из главных задач страны в будущие годы — ​защита от кибернападений. Что это означает технологически, ​не уточнялось. В ближайшее время специа­листы по кибербезопасности в США будут заняты изучением вируса Sunburst: оценка потерь и масштабов взлома займет несколько месяцев.

2019. Венесуэла. Цель: ГЭС. В 21 из 23 штатов Венесуэлы произошло массовое отключение электричества: ​вышла из строя гидроэлектростанция «Эль-гури». В столице Каракас была обесточена часть мет­рополитена, без света остался местный аэропорт

2019. Венесуэла. Цель: ГЭС. В 21 из 23 штатов Венесуэлы произошло массовое отключение электричества: ​вышла из строя гидроэлектростанция «Эль-гури». В столице Каракас была обесточена часть мет­рополитена, без света остался местный аэропорт

Неизбежная угроза

Но вирус исследуют не только в США: эксперты Kaspersky Lab обнаружили в Sunburst следы кода, который характерен для хакерской группировки Turla. Такая находка не гарантирует ее причастность: возможно, кто-то позаимствовал код или он случайно совпал по характерным чертам, группировку также могла нанять частная компания. Газета The Washington Post со ссылкой на собственные источники сообщала, что за атакой стоят хакеры Cozy Bear.

Зараженные версии SolarWinds могли установить около 18 тысяч пользователей. Среди них оказались американские Министерство финансов, Национальное управление по телекоммуникациям и информации, Государственный департамент, Министерство внутренней безопасности, Министерство энергетики, Национальное управление ядерной безопасности, а также некоторые штаты США (не разглашаются) и компании FireEye, Microsoft, Cisco. По понятным причинам публично никогда не объявят, какие конкретно данные успели утечь и насколько они секретны.

Кибератаки — ​уже устойчивая форма геополитической конкуренции. За последние 2030 лет весь мир ушел в цифру, и теперь даже данные государственной важности хранятся в электронном виде. Поэтому крупные нападения происходят до нескольких десятков раз в год, и далеко не обо всех сообщают официально. Мишенями для хакерских атак становятся правительства, стратегические ведомства и объекты, крупные корпорации.

Государства серьезно относятся к таким угрозам и для защиты самого сокровенного — ​военных систем управления: формируют кибервойска. В России с 2014 года есть войска информационных операций, они находятся в подчинении Министерства обороны РФ. В США аналогичная структура, кибернетическое командование, существует с 2009 года, и в эту новую гонку вооружений вступает все больше стран. Но то военные структуры. А гражданские, как и в реальной жизни, в цифровом мире перед силовыми прие­мами зачастую оказываются беззащитны.

Тим Скоренко
Тим Скоренко, Специалист по информационной безопасности KASPERSKY LAB

Атаки на государственные структуры чаще всего проводят именно государственные структуры, и многие страны прямо или косвенно финансируют хакерские группировки. Это нормально, потому что работа этих группировок чаще направлена не на уничтожение инфраструктуры другой страны, а на банальный сбор данных. А разведка и шпионаж — ​штатная деятельность любого правительства. Эти группировки обычно известны как компаниям, которые занимаются информационной безопасностью, так и международным разведслужбам. Например, на слуху северокорейские хакерские группировки, которые работают на правительство: Lazarus, Kimsuky и так далее. В октябре 2020 года Kimsuky атаковала ряд российских оборонных предприятий — ​похоже, с целью похищения технологий. У большинства группировок есть свой почерк: более или менее постоянные методы атаки, одинаковые участки кода и так далее. По этим маркерам их нередко и опознают.

Материал опубликован в журнале «Цифровой океан» № 5, 2021, DigitalGlobe / Getty Images, Chung Sung-Jun/Getty Images, AFP / East News, Andreua / iStock, AFP / East News, Venezuelan Presidency / AFP / East News, Максим Федоров