Reuters: хакеры из России или Китая могли получить данные чиновников США

Хакеры, связанные с Китаем или Россией, проникли в сеть Национального финансового центра США, который начисляет заработную плату федеральным чиновникам. В числе его клиентов — ФБР, Государственный департамент, Министерство финансов.и другие правительственные структуры

Хакеры из России или Китая могли проникнуть в сети Национального финансового центра (NFC) при министерстве сельского хозяйства США и получить доступ к данным тысяч государственных служащих, в том числе сотрудниках ФБР, Государственного департамента и других правительственных учреждениях. Об этом сообщает Reuters со ссылкой на двух собеседников, знакомых с ходом расследования хакерской атаки на федеральные структуры, обнаруженной в конце 2020 года. 

По словам собеседников агентства, следователи выяснили, что одним из объектов взлома стал Национальный финансовый центр. Это федеральное агентство при министерстве сельского хозяйства. Бывшие чиновники отметили, что NFC отвечает за обработку заработной платы нескольких правительственных учреждений, в том числе нескольких, занимающихся вопросами национальной безопасности. Это Федеральное бюро расследований, Государственный департамент, департамент внутренней безопасности и министерство финансов. В NFC хранятся такие данные служащих, как номера соцстрахования, телефоны, личные адреса электронной почты и банковская информация. На сайте центра сообщается, что он обслуживает 160 различных правительственных структур, в которых начисляет зарплату более чем 600 000 федеральных служащих. «В зависимости от того, какие данные были скомпрометированы, это может быть чрезвычайно серьезным нарушением безопасности. Это позволит противникам узнать больше об американских чиновниках, тем самым улучшив их способность собирать разведданные», — сказал агентству бывший высокопоставленный чиновник министерства внутренней безопасности Том Уоррик. 

Хакерская атака на министерства и ведомства США могла направляться из России

Пятеро собеседников Reuters сообщили, что помимо атаки на правительственные сети со стороны хакеров, связанных с российским спецслужбами, взломами занимались и хакеры, связанные с Китаем. Китайская хакерская группа, отметили собеседники, действовала отдельно от российской группировки, но одновременно с ней, и воспользовалось другим дефектом в программном обеспечении SolarWinds. Источники на условиях анонимности заявили, что злоумышленники использовали компьютерную инфраструктуру и хакерские инструменты, ранее развернутые поддерживаемыми государством китайскими кибершпионами. Четыре собеседника, расследовавшие атаки, и внешние эксперты, которые изучали вредоносный код, используемый хакерами, отметили, что китайская и российская атаки были разными операциями, но нацеленными на правительство США. 

Трамп заявил о возможной причастности Китая к кибератаке на правительство США

Источники агентства рассказали, что предполагаемые российские хакеры проникли глубоко в сеть SolarWinds и спрятали возможность доступа в обновлениях программного обеспечения Orion, которые затем были отправлены клиентам. Подозреваемая же китайская группа использовала отдельную ошибку в коде Orion, чтобы помочь распространиться по сетям, которые они уже скомпрометировали. «По-видимому, SolarWinds был важной целью для более чем одной группы», — сказала Джен Миллер-Осборн, заместитель директора отдела разведки угроз в подразделении Palo Alto Networks 42. По словам бывшего главного офицера информационной безопасности США Грегори Тохилла, отдельные группы хакеров, нацеленные на один и тот же программный продукт, не являются чем-то необычным: одна группировка получает преимущество, внимательно следя за другой. Согласно данным аналитиков кибербезопасности, связь второй атаки именно с китайскими хакерами была обнаружена только в последние недели.

Байден пообещал ответить на кибератаки против правительства США

14 декабря The Washington Post и Reuters со ссылкой на собственные источники сообщили о взломе сетей Минфина и одного из подразделений Министерства торговли. Собеседники американских изданий называли программу Orion от SolarWinds тем уязвимым местом, через которую хакеры проникли в сети. В SolarWinds сообщили Reuters, что клиенты загрузили скомпрометированное обновление программного обеспечения, которое позволяло хакерам незаметно шпионить за ведомствами на протяжении почти девяти месяцев. В компании также оценили число клиентов, у которых установлена программа Orion, содержащая уязвимость, в 18 000. Один из источников Reuters заявил, что взлом оказался настолько серьезным, что пришлось созвать собрание Совета национальной безопасности (СНБ). Оно прошло в Белом доме 12 декабря. Позже Washington Post сообщила со ссылкой на источники, что за атакой стоит хакерская группа APT29 (также известна как Cozy Bear), которая, как утверждает газета, «работает на Службу внешней разведки России».

Эксперты увидели сходство в инструментах «российских хакеров» и взломщиков ведомств США

Трамп, на тот момент занимавший пост президента США, в своем Twitter 20 декабря заявил, что СМИ преувеличивают масштабы атаки, и из корыстных побуждений не говорят о причастности к ней Китая. ФБР, Агентство национальной безопасности, Нацразведка и Служба кибербезопаcности в опубликованном 5 января совместном заявлении указали, что атака ставила своей целью получение разведывательных данных и могла происходить из России. В Москве и Пекине причастность к кибератакам категорически отрицали. Пресс-секретарь президента Дмитрий Песков отверг обвинения в адрес России и напомнил, что «именно президент Путин предложил американской стороне согласовать и заключить соглашение о сотрудничестве в области кибербезопасности и информационной безопасности».