Главные новости

Что русские взломали в прошлом году, и что США планируют двигаться дальше

Вашингтон

Элитным российским хакерам, получившим доступ к компьютерным системам федеральных агентств в прошлом году, не нужно было тщательно взламывать сети каждого ведомства, чтобы сеять хаос.

Вместо этого они проникли внутрь, вставив вредоносный код в обновления программного обеспечения, разосланные тысячам государственных учреждений и частных компаний.

То, что хакеры смогли использовать уязвимости в цепочке поставок для запуска масштабной операции по сбору разведданных, не было особенно удивительным.

Официальные лица США и эксперты по кибербезопасности в течение многих лет били тревогу в отношении проблемы, вызвавшей хаос, включая миллиарды долларов финансовых потерь, при этом игнорируя простые решения со стороны правительства и частного сектора.

«Нам придется обнять угрозу цепочки поставок и найти решение не только для нас здесь, в Америке, как крупнейшей экономике мира, но и для всей планеты», – сказал Уильям Эванина, который на прошлой неделе ушел в отставку Об этом заявил в интервью чиновник контрразведки правительства США.

«Нам нужно будет найти способ убедиться, что в будущем мы сможем придерживаться нулевого риска и доверять нашим поставщикам».

В общих чертах, цепочка поставок относится к сети людей и компаний, участвующих в разработке конкретного продукта, в отличие от проекта строительства дома, в котором задействованы подрядчик и сеть субподрядчиков. Количество шагов в этом процессе, от проектирования до производства и распространения, а также различные участвующие субъекты дают хакеру, стремящемуся проникнуть в предприятия, агентства и инфраструктуру, множество точек входа.

Это может означать, что ни одна компания или руководитель не несет единоличной ответственности за защиту всей цепочки поставок отрасли. И хотя большинство поставщиков в цепочке безопасны, одна уязвимая точка может быть всем, что нужно иностранным правительственным хакерам. На практике владельцы, которые строят особняк, похожий на крепость, все еще могут оказаться жертвами системы охранной сигнализации, которая была взломана до ее установки.

В самом последнем деле, направленном против федеральных агентств, хакеры из российского правительства якобы внедрили вредоносный код в популярное программное обеспечение, отслеживающее корпоративные и государственные компьютерные сети. Этот продукт производится техасской компанией SolarWinds, которая имеет тысячи клиентов в федеральном правительстве и частном секторе.

Вредоносная программа предоставила хакерам удаленный доступ к сетям нескольких агентств. Известно, что пострадали министерства торговли, казначейства и юстиции.

Для хакеров бизнес-модель прямого нацеливания на цепочку поставок имеет смысл.

«Если вы хотите изнасиловать 30 компаний на Уолл-стрит, зачем изнасиловать 30 компаний на Уолл-стрит? [individually] когда вы можете перейти на сервер – склад, облако – где все эти компании хранят свои данные? Это просто умнее, эффективнее и действеннее », – сказал г-н Эванина.

Хотя бывший президент Дональд Трамп проявил небольшой личный интерес к кибербезопасности, даже уволив главу агентства по кибербезопасности Министерства внутренней безопасности всего за несколько недель до того, как стало известно о российском взломе, президент Джо Байден заявил, что это сделает его приоритетом и повлечет за собой издержки для противников. . кто совершает нападения.

Защита цепочки поставок, вероятно, будет ключевой частью этих усилий, и очевидно, что над этим нужно работать. В декабрьском отчете Счетной палаты правительства говорится, что обзор протоколов 23 агентств по оценке и управлению рисками цепочки поставок показал, что лишь немногие внедрили каждую из семи основных практик. А 14 не реализовали ни одной.

Официальные лица США заявляют, что ответственность не может лежать только на правительстве и должна включать координацию с частным сектором.

Но правительство пыталось принять меры, в том числе посредством указов и правил.

Положение Закона о государственной обороне на 2019 финансовый год запрещает федеральным агентствам заключать контракты с компаниями, которые используют товары или услуги пяти китайских компаний, включая Huawei. Официальная правительственная стратегия контрразведки на 2020-2022 годы сделала снижение угроз для основных цепочек поставок США одним из пяти основных столпов.

Пожалуй, самым известным вторжением в цепочку поставок до SolarWinds была атака NotPetya, в которой вредоносный код, предположительно имплантированный российскими военными хакерами, был вызван автоматическим обновлением программного обеспечения при подготовке украинских налоговых деклараций под названием MeDoc. Это вредоносное ПО заразило своих клиентов, и в результате атаки ущерб во всем мире составил более 10 миллиардов долларов.

В сентябре Министерство юстиции предъявило обвинение пяти китайским хакерам, которые, по его словам, скомпрометировали поставщиков программного обеспечения, а затем изменили исходный код, чтобы позволить дальнейшие взломы клиентов поставщиков. В 2018 году департамент объявил аналогичное дело против двух китайских хакеров, обвиняемых во взломе поставщиков облачных услуг и внедрении вредоносного ПО.

«Любой, кто удивлен SolarWinds, не обратил внимания», – сказал член палаты представителей Джим Ланжевен, демократ из Род-Айленда и член Комиссии по киберпространству солярий, двухпартийной группы, которая выпустила официальный документ, призывающий к защите канала. разведка и обмен информацией.

Отчасти привлекательность атаки на цепочку поставок для хакеров заключается в том, что это «плод, который легко повесить», поскольку Соединенные Штаты часто не осознают и не понимают, насколько на самом деле разбросаны их сети, – сказал Брэндон Валериано, эксперт по кибербезопасности из Корпуса морской пехоты. Университет и старший советник комиссии по соляриям.

«Проблема в том, что мы не знаем, что едим», – сказал Валериано. «А потом бывает, что мы чем-то задыхаемся.

Об этом сообщает Associated Press. Писатель AP Фрэнк Баяк из Бостона внес свой вклад в этот отчет.

Related Articles

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button
Close
Close