«Русские хакеры», проникшие в серверы органов власти США в прошлом году, искали информацию о санкциях и противодействии сетевым атакам. Но главное в том, что эти попытки не прекратились.
Что произошло
Крупнейшая кибератака на частные компании и федеральные ведомства США через ПО SolarWinds и Microsoft произошла в 2020 году, тем не менее информации о том, что именно интересовало хакеров, до сих пор было крайне мало. Накануне она поступила сразу из двух источников.
О том, что хакеры получили информацию о санкциях против России и российских граждан, о контрразведке и противодействии кибератакам, а также о борьбе с пандемией, сообщило агентство Reuters со ссылкой на участников расследования. Один из них рассказал, что худшей потерей стали контрразведывательные данные, другой — что хакеры напрямую искали слово «санкции» на взломанных серверах.
Microsoft в отчете о кибербезопасности за прошлый год отвела хакерам российских группировок Strontium (APT28, Fancy Bear) и Nobelium (UNC2452) внеконкурентное первое место в мире по числу атак. Хакеры, проникшие в системы через ПО SolarWinds и Microsoft Office 365, искали информацию о санкциях, противодействии кибератакам, политике на российском направлении и исходные коды. А уже в 2021 году Nobelium перешла от целей в IT к атакам преимущественно на госучреждения, следует из отчета.
Отдельно о том, что российские хакеры в этом году «в последние месяцы» продолжили атаки на госучреждения США и Европы, сообщило CNN со ссылкой на работающую с госорганами США компанию кибербезопасности Mandiant. В статье говорится, что новые кибератаки стали предметом обсуждения на недавних заседаниях Совета национальной безопасности США.
Что нужно знать об атаке через SolarWinds
Хакерская атака через обновления ПО управления сетями Orion от SolarWinds и через облачный офис Microsoft стала одной из самых крупных в истории — и, вероятно, одной из самых успешных. Из 18 тысяч организаций, куда хакеры получили доступ, активно «разрабатывались» немногим более 100, однако в это число вошли минфин, минторг и министерство внутренней безопасности США, причем сообщалось, что скомпрометирована была даже электронная почта министра внутренней безопасности. О схеме проникновения на примере минфина можно почитать здесь.
Спецслужбы США однозначно связали атаки с хакерами российской СВР, российская сторона связь традиционно отрицала. А в апреле этого года кибератака стала обоснованием для очередных санкций против России, в том числе против российского рынка первичного госдолга (ОФЗ).
Почему это важно
Прекращение кибератак и активное противодействие хакерам на территории России было одним из главных пунктов переговоров президентов Владимира Путина и Джо Байдена в Женеве в июне этого года. Байден передал России список секторов (охватывающий практически всю экономику), атака на которые повлечет жесткий ответ в киберпространстве. Также президент США пообещал применить в отношении России «принцип пудинга», гласящий, что о процессе нужно судить по результатам.
Если подтвердятся подозрения в том, что атаки, которые в США считают российскими, продолжились, у администрации США будут развязаны руки. В Конгресс уже внесен законопроект о санкциях против вторичного госдолга России, последствия которых будут значительно тяжелее. Важной точкой при рассмотрении новых санкций может стать саммит G20, запланированный на 30–31 октября. Это ближайшая как минимум формальная встреча президентов России и США.