«Открытых атак США на инфраструктуру России ждать не стоит — это сродни объявлению войны»
Эксперты опровергли связь между сбоем правительственных сайтов России и угрозами ответных кибератак со стороны США
Масштабный сбой информационных ресурсов органов власти России, который случился накануне, в Совете Федерации могут связать с кибератаками из США. «Прямые угрозы в отношении сайтов российских госструктур из Вашингтона звучали не раз, в том числе совсем недавно, поэтому исключать такой вероятности я не могу», — заявил в интервью журналистам сенатор Андрей Климов. Поводом для такого заявления послужила воскресная статья в The New York Times об ответных кибератаках США в адрес России. «Реальное время» предлагает ознакомиться с переводом нашумевшей публикации и мнением российских экспертов по кибербезопасности, которые опровергают вероятность такого сценария. По мнению IT-специалистов, если атаки со стороны Америки и будут, то скрытые и не такие масштабные.
В США готовят кибератаки в адрес России?
Резонансная воскресная статья в NYT о том, что, по данным источников издания, в Америке готовят ряд ответных кибератак на российские правительственные сайты, накануне вновь приковала к себе внимание. Многие гадали, стало это совпадением или нет, что сайты госструктур в России накануне на несколько часов были недоступны. Вот о чем писало американское издание:
«Распространение кибератак со стороны конкурентов представляет собой проблему для администрации Байдена, стремящейся предотвратить вторжения в правительственные и корпоративные системы.
Как раз в тот момент, когда администрация Байдена планирует начать ответные действия против России за крупномасштабный взлом американских правительственных учреждений и корпораций, обнаруженный в конце прошлого года, администрация Байдена сталкивается с новой кибератакой, которая ставит вопрос о том, придется ли ей нанести ответный удар по другому крупному противнику — Китаю.
Взятые вместе, ответы начнут определять, как президент Байден вместе с новой администрацией сформируют ответ на эскалацию киберконфликта и сможет ли он найти способ наложить более суровое наказание на соперников, которые регулярно используют уязвимости в правительственной и корпоративной сети для шпионажа, кражи информации и повреждения критических компонентов национальной инфраструктуры.
Первый шаг может случиться в течение следующих трех недель, дают понять официальные лица, намекая на возможную серию деструктивных действий направленных на сети российского государства, которые должны быть очевидны как главе государства, так и разведывательным службам, но не всему миру.
Чиновники заявили, что эти действия будут сочетаться с некоторыми экономическими санкциями, хотя по-настоящему эффективных санкций осталось немного, и исполнительным приказом г-на Байдена по ускорению укрепления сетей федерального правительства после российского взлома, который оставался незамеченным в течение нескольких месяцев, пока его не обнаружила частная фирма по кибербезопасности.
Эта проблема приобрела особую актуальность в Белом доме, Пентагоне и разведывательных службах в последние дни после публичного разоблачения крупного нарушения в системах электронной почты Microsoft, используемых малым бизнесом, местными органами власти и, по некоторым данным, военными подрядчиками.
Microsoft определила злоумышленников как «спонсируемую государством китайскую группу» и быстро приступила к выпуску патча, позволяющего пользователям закрыть уязвимость.
Но это вызвало гонку между теми, кто отвечает за исправление систем, и множеством новых злоумышленников, включая, по словам Microsoft, несколько других китайских хакерских групп, которые начали использовать тот же эксплойт на этой неделе.
Правительство США не обнародовало официального определения того, кто несет ответственность за взлом, но в Белом доме и в кампусе Microsoft в Редмонде, штат Вашингтон, опасаются, что шпионаж и воровство могут стать началом гораздо более разрушительных действий, например, изменения данных или их удаления.
Белый дом подчеркнул серьезность ситуации в заявлении Совета национальной безопасности, сделанном в воскресенье.
«Белый дом предпринимает правительственный ответ по оценке и устранению последствий вторжения в Microsoft», — говорится в заявлении. В нем сообщается, что ответом руководит Энн Нойбергер, бывший высокопоставленный сотрудник Агентства национальной безопасности, которая первой заняла недавно созданный пост «заместителя советника по национальной безопасности по кибернетике и новым технологиям». В заявлении говорилось, что представители национальной безопасности в течение выходных работали над решением проблемы взлома и что «это активная угроза, которая все еще развивается, и мы призываем сетевых операторов отнестись к ней очень серьезно».
Джейк Салливан, советник Байдена по национальной безопасности, заявил в четверг в «Твиттере», что Белый дом «внимательно отслеживает» сообщения об использовании уязвимостей в Microsoft Exchange для «потенциально уязвимых американских аналитических центров и предприятий оборонной промышленности».
Это открытие произошло, когда команда национальной безопасности г-на Байдена, возглавляемая г-ном Салливаном и г-жой Нойбергер, выдвинула на первое место своей повестки дня усилия по сдерживанию атак, будь то кража, изменение данных или полное отключение сетей. Для президента, который пообещал, что российская атака «не останется без ответа», реакция администрации в ближайшие недели станет проверкой его способности утвердить американскую власть в невидимой, но все более рискованной битве между крупными державами в киберпространстве.
Сочетание государственных санкций и частных действий является наиболее вероятным верным действием, чтобы вызвать «широкую стратегическую дискуссию с русскими», сказал г-н Салливан в интервью в четверг, прежде чем масштабы китайского нападения стали ясны.
«Я действительно считаю, что комплекс мер, которые понятны россиянам, но могут быть невидимы для более широкого мира, на самом деле, вероятно, будут наиболее эффективными мерами с точки зрения разъяснения того, что, по мнению Соединенных Штатов, находится в границах и за пределами границ, и что мы готовы сделать в ответ», — добавил он.
С первого дня работы новой администрации г-н Салливан реорганизовал Белый дом, чтобы выработать такие ответы. Тот же приказ, который он издал 20 января, требуя от военных советоваться с Белым домом перед нанесением ударов беспилотниками за пределами военных зон, содержал пункт с отдельными инструкциями по борьбе с крупными кибероперациями, которые могут привести к эскалации конфликта.
Однако приказ оставил в силе все еще секретный документ, подписанный президентом Дональдом Трампом в августе 2018 года, дающий киберкомандованию Соединенных Штатов более широкие полномочия, чем это было во времена администрации Обамы, для проведения повседневных, кратковременных стычек в киберпространстве, часто без явного президентского разрешения.
Американские официальные лица пытаются лучше понять масштабы и ущерб, нанесенный китайским нападением, но каждый день с момента его разоблачения наводит на мысль, что оно больше и потенциально более вредно, чем считалось вначале.
«Это безумный огромный взлом», — написал в пятницу в Twitter Кристофер К. Кребс, бывший директор Агентства кибербезопасности и инфраструктурной безопасности.
По первоначальным оценкам, пострадали около 30 000 систем, в основном тех, которые эксплуатируются компаниями или правительственными учреждениями, использующими программное обеспечение Microsoft и запускающими свои системы электронной почты собственными силами. (Электронная почта и другие системы, работающие в облаке Microsoft, не пострадали.)
Но масштабы вторжения и личности жертв до сих пор неясны. И хотя китайцы широко развернули атаку, они могли бы попытаться получить информацию только от узкой группы целей, в которых они имеют наибольший интерес.
Нет никаких сомнений в том, что размах атаки заставил американских чиновников задуматься о том, придется ли им также мстить Китаю. Это поставило бы их в положение потенциально обостряющегося конфликта с двумя странами, которые также являются крупнейшими ядерными противниками США.
В последние дни становится все более очевидным, что хакерская атака, которую Microsoft приписывает Пекину, создает многие из тех же проблем, что и атака SolarWinds, проведенная русскими, хотя цели и методология значительно различаются.
Как и русские, китайские злоумышленники начали свою кампанию против Microsoft с компьютерных серверов — по сути, облачных сервисов, — которые они арендовали под вымышленными именами в Соединенных Штатах. Обе страны знают, что американское законодательство запрещает разведывательным службам заглядывать в системы, базирующиеся в Соединенных Штатах, и они используют это юридическое ограничение.
В результате и в случае с SolarWinds, и в более поздних китайских хакерских атаках американские спецслужбы, казалось, упускали доказательства того, что происходит, пока частная компания не увидела это и не предупредила власти.
Белый дом занимается спорами о том, как на это ответить. Г-н Салливан служил советником г-на Байдена по национальной безопасности, когда он был вице-президентом, поскольку администрация Обамы изо всех сил пыталась отреагировать на серию нападений.
К ним относятся усилия Китая, которые украли 22,5 миллиона записей о допусках из Управления кадровой службы в 2014 году, и российское нападение на президентские выборы 2016 года.
В своих письмах и переговорах за последние 4 года г-н Салливан ясно дал понять, что, по его мнению, традиционные санкции сами по себе недостаточно повышают стоимость, чтобы заставить такие державы, как Россия или Китай, начать говорить о новых правилах поведения в киберпространстве.
Но правительственные чиновники часто опасаются, что слишком сильная реакция чревата эскалацией.
Это вызывает особую озабоченность в связи с российскими и китайскими атаками, когда обе страны явно заложили «задние двери» для американских систем, которые могут быть использованы в более разрушительных целях.
Американские официальные лица публично заявляют, что нынешние данные свидетельствуют о том, что российское намерение в атаке SolarWinds было просто кражей данных. Но несколько высокопоставленных чиновников, говоря не об атрибуции, заявили, что, по их мнению, размер, масштабы и расходы операции предполагают, что у русских могли быть гораздо более широкие мотивы.
«Я поражен тем, как многие из этих атак подрывают доверие к нашим системам, — сказал г-н Берт, — точно так же, как предпринимаются усилия, чтобы заставить страну не доверять инфраструктуре голосования, которая является ключевым компонентом нашей демократии».
Россия взломала Демократический национальный комитет и государственные системы регистрации избирателей в 2016 году в основном путем угадывания или получения паролей. Но они использовали гораздо более сложный метод взлома SolarWinds, вставляя код в обновления программного обеспечения компании, что привело их глубоко за 18 000 систем, которые использовали программное обеспечение для управления сетью. Оказавшись внутри, русские получили доступ к системам высокого уровня без каких-либо паролей.
Точно так же 4 года назад подавляющее большинство китайских правительственных хакерских атак проводилось с помощью кампаний по фишингу электронной почты. Но за последние несколько лет китайские военные хакерские подразделения консолидировались в новые силы стратегической поддержки, подобные киберкомандованию Пентагона. Некоторые из наиболее важных хакерских операций проводятся скрытным Министерством государственной безопасности, главным разведывательным управлением Китая, которое поддерживает спутниковую сеть подрядчиков.
Пекин также начал накапливать так называемые «уязвимости нулевого дня», недостатки в коде, неизвестные поставщикам программного обеспечения, для которых не существует патча.
В августе 2019 года исследователи безопасности получили первое представление о том, как использовались эти нераскрытые уязвимости нулевого дня: исследователи безопасности в Google Project Zero и Volexity — той же компании в Рестоне, штат Вирджиния, которая обнаружила атаку Microsoft, — обнаружили, что китайские хакеры использовали уязвимость программного обеспечения, чтобы шпионить за каждым, кто посещал веб-сайт, читаемый уйгурами, этническим меньшинством, преследование которого вызвало международное осуждение.
В течение 2 лет, пока кампания не была раскрыта, каждый, кто посещал сайты, невольно загружал китайские имплантаты на свои смартфоны, позволяя Пекину следить за их коммуникациями.
Китайская атака на серверы Microsoft использовала четыре уязвимости нулевого дня в программном обеспечении электронной почты. В пятницу эксперты по безопасности подсчитали, что от взлома пострадали около 30 000 организаций. Об этом впервые сообщил автор по безопасности Брайан Кребс. Но есть некоторые свидетельства того, что это число могло быть намного больше».
«Открытых широкомасштабных атак ждать не стоит»
В Совете Федерации накануне тоже не стали исключать вероятность того, что американцы исполнили свою угрозу. Впрочем, российские специалисты по кибербезопасности иного мнения. Руководитель сервиса киберзащиты Innostage Владимир Дмитриев прокомментировал «Реальному времени» произошедшее и добавил, что связи между этими событиями прослеживать не нужно:
Какие-то специфичные рекомендации на этот счет, кроме типовых советов типа «установить последние обновления и и сложные пароли», дать сложно. Но это еще раз говорит о важности вопросов киберзащиты в современных реалиях, что доказал последний сбой в сети «Ростелеком», когда стали недоступны сайты правительства, Госдумы и других органов власти. Нужно быть готовыми к таким ситуациям и уметь с ними справляться.