Россию вновь обвиняют во взломе компьютерных систем, на этот раз — Агентства по международному развитию США (USAID).
В Microsoft сообщили, что обнаружили признаки взлома и характерный почерк хакеров, ответственных за предыдущие компьютерные атаки SolarWinds.
В четверг корпорация Microsoft сообщила, что хакеры, возможно, связанные с российской Службой внешней разведки (СВР), тайно взломали систему рассылки электронной почты, используемую Агентством по международному развитию, для проникновения в компьютерные сети правозащитных групп и других организаций, в том числе оппозиционных.
«На этой неделе мы наблюдали кибератаки со стороны группы Nobelium, целью которых стали государственные учреждения, аналитические центры, консультанты и неправительственные организации», — говорится в блоге Microsoft.
В компании считают, что именно Nobelium стояла и за атаками на IT-компанию SolarWinds в прошлом году.
Пресс-секретарь российского президента сказал, что не располагает информацией о новой кибератаке.
Почему USAID?
В этот раз хакеры взломали системы, используемые федеральным правительством, и разослали электронные письма более чем на 3000 учетных записей в более чем 150 организациях, которые регулярно получают сообщения от Агентства по международному развитию. Эти письма были отправлены на этой неделе и содержали все обычные логотипы организации.
В письма был встроен код, который открывал хакерам неограниченный доступ к компьютерным системам получателей, от «кражи данных до заражения других компьютеров в сети», написал в четверг вечером вице-президент Microsoft Том Берт.
В данном случае, как утверждает Microsoft, целью хакеров был не само Агентство по международному развитию, а возможность проникнуть в системы грантополучателей, часть из которых российская власть считает враждебными своим интересам.
«По меньшей мере четверть организаций, подвергшихся нападению, имели отношение к международному развитию, гуманитарной деятельности и деятельности в области защиты прав человека», — написал Берт.
Представитель Агентства по кибербезопасности и безопасности инфраструктуры министерства внутренней безопасности США заявил в четверг, что агентство «осведомлено о потенциальной уязвимости» в Агентстве по международному развитию и предпринимает меры по ее нейтрализации.
Microsoft считает, что за атакой стоит российская группа Nobelium — как считается, именно эта группа ответственна и за атаку на SolarWinds. Американское правительство утверждает, что взлом SolarWinds — это работа Службы внешней разведки России. Ее также обвиняют во взломе Национального комитета Демократической партии в 2016 году (но считается, что более тяжелые последствия имел взлом его же хакерами из ГРУ), а до этого — в атаках на Пентагон, систему электронной почты Белого дома и Госдепартамента.
«Изощренные атаки»
По словам федеральных чиновников и экспертов, атаки становятся все более агрессивными и изощренными. О взломе SolarWinds в правительстве США стало известно спустя девять месяцев после кибератаки — ее обнаружили сторонние коммерческие специалисты по кибербезопасности.
Взлом был осуществлен с помощью кода, внедренного в программное обеспечение для управления корпоративными компьютерными сетями, которое широко используется американскими ведомствами и частными компаниями. В числе пострадавших оказались министерства энергетики и внутренней безопасности, а также несколько научных ядерных лабораторий.
В Microsoft отметили, что кибератака на Агентство по международному развитию заметно отличается от взлома SolarWinds — в ней применялись новые инструменты и приемы, явно направленные на то, чтобы избежать обнаружения. В компании считают, что атака все еще продолжается и что хакеры продолжают рассылать фишинговые письма все чаще и больше. Вот почему Microsoft пошла на необычный шаг, назвав пострадавшее агентство, и обнародовала образцы поддельного электронного письма.
Напряженные отношения
В апреле президент США Джо Байден объявил о серии новых санкций в отношении России и высылке дипломатов в ответ на взлом SolarWinds. Байден заявил, что мог бы отреагировать гораздо более решительно, но не хотел запускать новый цикл эскалации в отношениях с Россией и потому предпочел «соразмерный ответ».
Взлом почты Агентства по международному развитию случился всего за три недели до запланированной встречи президента Байдена с Владимиром Путиным в Женеве. Отношения между странами остаются напряженными — в том числе и из-за серии все более изощренных кибератак, в которых США обвиняют Россию.
В апреле Байден обсуждал атаку SolarWinds с Путиным по телефону. Президент России отверг утверждения о причастности к ней России, а некоторые российские СМИ заявили, что ее осуществили сами Соединенные Штаты.
После этого возможная связь России с группировками хакеров вновь оказалась в повестке дня, когда кибератаке подверглись структуры компании Colonial Pipeline. Атака кибервымогателей вынудила компанию закрыть трубопровод, по которому на Восточное побережье США идет почти половина бензина, дизельного топлива и авиакеросина, что вызвало скачок цен и паническую скупку топлива на автозаправках.
«Докажите!»
В Кремле заявили, что не располагают информацией о кибератаке и что Microsoft должна продемонстрировать связь хакеров с Россией.
Отвечая на вопросы журналистов, не повлияет ли это на предстоящий саммит глав двух государств, пресс-секретарь президента России Дмитрий Песков сказал: «Чтобы ответить на ваш вопрос, нужно ответить: какие группы, почему они связаны с Россией, на что, кто напал, к чему это привело, в чем заключалось нападение и откуда об этом известно Microsoft? Если ответить на все эти вопросы, то можно подумать над ответом».
По его словам, Кремль не может прокомментировать эти вопросы, поскольку не располагает информацией о кибератаках. «Я не могу никак их прокомментировать, мы не располагаем такой информацией. Это же утверждает Microsoft. Соответственно, Microsoft должен прояснить эти вопросы», — добавил он.
Песков также усомнился в том, что заявление Microsoft каким-то образом отразится на предстоящем саммите президентов РФ и США.