Развлечения

Российская хакерская атака агентств США выявила слабые места в цепочке поставок

ВАШИНГТОН (АП) – Элита российских хакеров тем, кто в прошлом году имел доступ к компьютерным системам федеральных агентств, не нужно было тщательно разбивать их по одной на сети каждого департамента, чтобы нанести ущерб.

Вместо этого они проникли внутрь, вставив вредоносный код в обновления программного обеспечения, разосланные тысячам государственных учреждений и частных компаний.

Неудивительно, что хакеры смогли использовать уязвимости в цепочке поставок для запуска масштабной операции по сбору разведданных. Официальные лица США и эксперты по кибербезопасности в течение многих лет били тревогу в отношении проблемы, вызвавшей хаос, включая миллиарды долларов финансовых потерь, при этом игнорируя простые решения со стороны правительства и частного сектора.

«Нам придется обнять угрозу цепочки поставок и найти решение не только для нас здесь, в Америке, как крупнейшей экономике мира, но и для всей планеты», – сказал Уильям Эванина, который на прошлой неделе ушел в отставку Об этом заявил в интервью чиновник контрразведки правительства США. «Нам нужно будет найти способ убедиться, что в будущем мы сможем придерживаться нулевого риска и доверять нашим поставщикам».

В общих чертах, цепочка поставок относится к сети людей и компаний, участвующих в разработке конкретного продукта, в отличие от проекта строительства дома, в котором задействованы подрядчик и сеть субподрядчиков. Большое количество этапов этого процесса, от проектирования до производства и распространения, а также различные вовлеченные организации дают хакеру, стремящемуся проникнуть в бизнес, агентства и инфраструктуры, множество точек входа.

Это может означать, что ни одна компания или руководитель не несет единоличной ответственности за защиту всей цепочки поставок отрасли. И хотя большинство поставщиков в цепочке безопасны, одна уязвимая точка может быть всем, что нужно иностранным правительственным хакерам. На практике владельцы, которые строят особняк, похожий на крепость, все еще могут оказаться жертвами системы охранной сигнализации, которая была взломана до ее установки.

В самом последнем деле, направленном против федеральных агентств, хакеры из российского правительства якобы внедрили вредоносный код в популярное программное обеспечение, отслеживающее корпоративные и государственные компьютерные сети. Этот продукт производится техасской компанией SolarWinds, которая имеет тысячи клиентов в федеральном правительстве и частном секторе.

Вредоносная программа предоставила хакерам удаленный доступ к сетям нескольких агентств. Известно, что пострадали министерства торговли, казначейства и юстиции.

Для хакеров бизнес-модель прямого нацеливания на цепочку поставок имеет смысл.

«Если вы хотите изнасиловать 30 компаний на Уолл-стрит, зачем насиловать 30 компаний на Уолл-стрит (по отдельности), когда вы можете получить доступ к серверу – хранилищу, облаку – где все эти компании хранят свои данные? Это просто умнее, эффективнее и продуктивнее », – сказала Эванина.

Хотя президент Дональд Трамп проявил небольшой личный интерес к кибербезопасности, даже уволив главу агентства по кибербезопасности Министерства внутренней безопасности Всего за несколько недель до раскрытия информации о взломе со стороны России президент Джо Байден заявил, что сделает это приоритетом и возложит расходы на оппонентов, осуществляющих атаки.

Защита цепочки поставок, вероятно, будет ключевой частью этих усилий, и очевидно, что над этим нужно работать. А Отчет Счетной палаты правительства По состоянию на декабрь обзор 23 агентских протоколов для оценки и управления рисками цепочки поставок показал, что лишь немногие внедрили каждую из семи «основных практик», а 14 не внедрили ни одной.

Официальные лица США заявляют, что ответственность не может лежать только на правительстве и должна включать координацию с частным сектором.

Но правительство пыталось принять меры, в том числе посредством указов и правил.

Положение Закона о государственной обороне на 2019 финансовый год запрещает федеральным агентствам заключать контракты с компаниями, которые используют товары или услуги пяти китайских компаний, включая Huawei. Официальная правительственная стратегия контрразведки на 2020-2022 годы сделала снижение угроз для основных цепочек поставок США одним из пяти основных столпов.

Пожалуй, самым известным вторжением в цепочку поставок до SolarWinds была атака NotPetya, в которой вредоносный код, предположительно имплантированный российскими военными хакерами, был вызван автоматическим обновлением программного обеспечения при подготовке украинских налоговых деклараций под названием MeDoc. Это вредоносное ПО заразило своих клиентов, и в результате атаки ущерб во всем мире составил более 10 миллиардов долларов.

Минюст предъявил обвинение пятерым китайским хакерам в сентябре который, по его словам, скомпрометировал поставщиков программного обеспечения, а затем изменил исходный код, чтобы позволить дальнейшие взломы со стороны клиентов поставщиков. В 2018 году ведомство объявило аналогичное дело против двух китайских хакеров. обвиняется во взломе поставщиков облачных услуг и внедрении вредоносного ПО.

«Любой, кто удивлен SolarWinds, не обратил внимания», – сказал член палаты представителей Джим Ланжевен, демократ из Род-Айленда и член Комиссии по киберпространству солярий, двухпартийной группы, которая выпустила официальный документ, призывающий к защите канала. разведка и обмен информацией.

Отчасти привлекательность атаки на цепочку поставок для хакеров заключается в том, что это «плод, который легко повесить», поскольку Соединенные Штаты часто не осознают и не понимают, насколько на самом деле разбросаны их сети, – сказал Брэндон Валериано, эксперт по кибербезопасности из Корпуса морской пехоты. Университет и старший советник комиссии по соляриям.

«Проблема в том, что мы не знаем, что едим». Сказал Валериано. «А потом бывает, что мы чем-то задыхаемся.

___

Автор Associated Press Франк Баяк из Бостона внес свой вклад в этот отчет.

___

Следите за сообщениями Эрика Такера в Twitter по адресу http://www.twitter.com/etuckerAP.

Related Articles

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Close
Close