Բացատրություն. Զանգվածային կիբերհարձակում ԱՄՆ-ում՝ նոր գործիքների օգտագործմամբ

Ամենամեծ կիբերհարձակումներից մեկը, որը ուղղված է եղել ԱՄՆ պետական ​​գործակալություններին և մասնավոր ընկերություններին, «SolarWinds հաքեր»-ը դիտվում է որպես հավանական գլոբալ ջանք: Ինչպե՞ս է դա իրականացվել, և ինչպիսի՞ տվյալներ են խաթարվել։ Ինչո՞ւ են ԱՄՆ կառավարության պաշտոնյաներն ու քաղաքական գործիչները անվանել Ռուսաստան:

Կիբերհարձակման թիրախը եղել է Orion ծրագրային ապահովումը, որը մատակարարվել է SolarWinds ընկերության կողմից։ (Reuters Photo)

«SolarWinds hack»-ը, որը վերջերս հայտնաբերված կիբերհարձակումն է Միացյալ Նահանգներում, հայտնվել է որպես մեկը երբևէ ամենամեծը ուղղված ԱՄՆ կառավարության, նրա գործակալությունների և մի շարք այլ մասնավոր ընկերությունների դեմ: Իրականում, դա ամենայն հավանականությամբ համաշխարհային կիբերհարձակում է:

Այն առաջին անգամ հայտնաբերվել է ԱՄՆ կիբերանվտանգության FireEye ընկերության կողմից, և այդ ժամանակից ի վեր ամեն օր ավելի շատ զարգացումներ են հայտնվում: Կիբերհարձակման զգալի մասշտաբը մնում է անհայտ, թեև ենթադրվում է, որ ազդել են ԱՄՆ Գանձապետարանի, Ներքին անվտանգության, Առևտրի նախարարության և Պենտագոնի մասերի վրա:

Ան–ում կարծիքի կտոր համար գրված The New York Times Թոմաս Պ Բոսերտը, ով նախագահ Դոնալդ Թրամփի ներքին անվտանգության հարցերով խորհրդականն էր, հարձակման համար անվանել է Ռուսաստանը: SolarWinds-ի հարձակման ժամանակ նա ապացույցներ է գրել ռուսական հետախուզական գործակալության վրա, որը հայտնի է որպես SVR, որի առևտրային մեքենան աշխարհում ամենազարգացածներից է: Կրեմլը հերքել է իր մասնակցությունը։

Այսպիսով, ի՞նչ է սա «SolarWinds հաքեր»-ը:

Կիբերհարձակման մասին լուրը տեխնիկապես առաջին անգամ հայտնվեց դեկտեմբերի 8-ին, երբ FireEye-ը հրապարակեց բլոգը, որը հայտնաբերեց հարձակում իր համակարգերի վրա: Ընկերությունն օգնում է մի քանի խոշոր մասնավոր ընկերությունների և դաշնային պետական ​​գործակալությունների անվտանգության կառավարմանը:

FireEye-ի գործադիր տնօրեն Քևին Մանդիան գրել է բլոգային գրառման մեջ, որում ասվում է, որ ընկերությունը հարձակման է ենթարկվել բարձրակարգ սպառնալիքների դերակատարի կողմից՝ այն անվանելով պետության կողմից հովանավորվող հարձակում, թեև այն չի նշել Ռուսաստանի անունը: Հաղորդվում է, որ հարձակումն իրականացվել է մի երկրի կողմից, որն օժտված է հարձակողական բարձր հնարավորություններով, և հարձակվողը հիմնականում փնտրել է որոշակի պետական ​​հաճախորդների հետ կապված տեղեկատվություն: Այն նաև ասում է, որ հարձակվողների կիրառած մեթոդները նոր էին:

Այնուհետև դեկտեմբերի 13-ին FireEye-ն ասաց, որ կիբերհարձակումը, որը նա անվանել է Campaign UNC2452, չի սահմանափակվել ընկերության համար, այլ ուղղված է եղել տարբեր պետական ​​և մասնավոր կազմակերպություններին ամբողջ աշխարհում: Քարոզարշավը, հավանաբար, սկսվել է 2020 թվականի մարտին և շարունակվում է ամիսներ շարունակ, ասվում է գրառման մեջ: Ավելի վատ է, որ գողացված կամ վտանգված տվյալների չափը դեռևս անհայտ է, հաշվի առնելով հարձակման մասշտաբները դեռևս բացահայտվում են: Համակարգերի վտանգի ենթարկվելուց հետո տեղի է ունեցել կողային տեղաշարժ և տվյալների գողություն:

Ինչպե՞ս հարձակման ենթարկվեցին ԱՄՆ-ի այդքան շատ պետական ​​կառույցներ և ընկերություններ:

Սա կոչվում է «մատակարարման շղթայի» հարձակում. դաշնային կառավարության կամ մասնավոր կազմակերպության ցանցի վրա ուղղակիորեն հարձակվելու փոխարեն հաքերները թիրախավորում են երրորդ կողմի վաճառողին, որը նրանց ծրագրային ապահովում է մատակարարում: Տվյալ դեպքում թիրախը եղել է Orion կոչվող ՏՏ կառավարման ծրագրակազմը, որը մատակարարվել է Տեխասի SolarWinds ընկերության կողմից:

Orion-ը եղել է SolarWinds-ի գերիշխող ծրագրակազմ հաճախորդների հետ, որոնք ներառում են ավելի քան 33,000 ընկերություններ: SolarWinds-ն ասում է, որ իր հաճախորդների 18,000-ը տուժել են: Ի դեպ, ընկերությունն իր պաշտոնական կայքերից ջնջել է հաճախորդների ցանկը։

Էջի համաձայն, որը նույնպես մաքրվել է Google-ի վեբ արխիվներից, ցուցակում ներառված են Fortune 500-ի 425 ընկերություններ, որոնք ԱՄՆ-ի հեռահաղորդակցության լավագույն 10 օպերատորներն են: New York Times-ի զեկույցում ասվում է, որ Պենտագոնի, Հիվանդությունների վերահսկման և կանխարգելման կենտրոնների, Պետդեպարտամենտի, Արդարադատության նախարարության և այլ մասերի վրա բոլորը տուժել են:

Microsoft-ը հաստատել է, որ հայտնաբերել է չարամիտ ծրագրի ապացույցներ իրենց համակարգերում, թեև ավելացրել է, որ արտադրության ծառայություններին կամ հաճախորդների տվյալներին հասանելիության ապացույցներ չկան, կամ որ իր համակարգերն օգտագործվել են ուրիշների վրա հարձակվելու համար: Microsoft-ի նախագահ Բրեդ Սմիթն ասել է, որ ընկերությունը սկսել է ավելի քան 40 հաճախորդների տեղեկացնել այն մասին, որ հարձակվողներն ավելի ճշգրիտ են թիրախավորել և փոխզիջման են գնացել:

Reuters-ի զեկույցում ասվում է, որ նույնիսկ ներքին անվտանգության նախարարության աշխատակիցների կողմից ուղարկված էլեկտրոնային նամակները վերահսկվել են հաքերների կողմից:

Ինչպե՞ս են նրանք մուտք գործել:

Ըստ FireEye-ի, հաքերները զոհերին հասանելիություն են ձեռք բերել SolarWinds-ի Orion ՏՏ մոնիտորինգի և կառավարման ծրագրաշարի տրոյականացված թարմացումների միջոցով: Ըստ էության, ծրագրային ապահովման թարմացումն օգտագործվել է «Sunburst» չարամիտ ծրագիրը Orion-ում տեղադրելու համար, որն այնուհետև տեղադրվել է ավելի քան 17,000 հաճախորդների կողմից:

FireEye-ն ասում է, որ հարձակվողները հենվել են բազմաթիվ տեխնիկայի վրա՝ խուսափելու հայտնաբերումից և թաքցնելու իրենց գործունեությունը: Չարամիտ ծրագիրը կարող էր մուտք գործել համակարգի ֆայլեր: Ինչն աշխատեց չարամիտ ծրագրի օգտին այն էր, որ այն կարողացավ միաձուլվել SolarWinds-ի օրինական գործունեությանը, ըստ FireEye-ի:

Տեղադրվելուց հետո չարամիտ ծրագիրը հաքերներին մուտք է գործել SolarWinds-ի հաճախորդների համակարգեր և ցանցեր: Ավելի կարևոր է, որ չարամիտ ծրագիրը կարողացավ նաև խափանել այնպիսի գործիքներ, ինչպիսիք են հակավիրուսները, որոնք կարող էին հայտնաբերել այն:

Որտեղ է մտնում Ռուսաստանը:

NYT-ի իր հոդվածում Բոսերտը անվանել է Ռուսաստանը և նրա գործակալությունը SVR, որն ունի նման հնարամտության և մասշտաբի հարձակում իրականացնելու հնարավորություններ:

Microsoft-ն իր բլոգում նշում է, որ հարձակման այս ասպեկտը ստեղծել է գրեթե գլոբալ նշանակության մատակարարման շղթայի խոցելիություն՝ հասնելով Ռուսաստանից դուրս գտնվող բազմաթիվ խոշոր ազգային մայրաքաղաքներ: Այնուհետև հավելում է, որ Ռուսաստանի կողմից բարդ հարձակումները սովորական են դարձել:

FireEye-ը, սակայն, դեռ չի նշել Ռուսաստանին որպես պատասխանատու և ասել է, որ այն շարունակական հետաքննություն է ՀԴԲ-ի, Microsoft-ի և այլ կարևոր գործընկերների հետ, որոնց անունները չեն նշվում:

Ի՞նչ են ասել SolarWinds-ը և ԱՄՆ կառավարությունը հաքերային հարձակման մասին:

Հենց հիմա SolarWinds-ը խորհուրդ է տալիս բոլոր հաճախորդներին անմիջապես թարմացնել գոյություն ունեցող Orion հարթակը, որն ունի այս չարամիտ ծրագրի համար նախատեսված կարկատ: Եթե ​​հարձակվողի գործունեությունը հայտնաբերվի միջավայրում, մենք խորհուրդ ենք տալիս իրականացնել համապարփակ հետաքննություն և մշակել և իրականացնել վերականգնման ռազմավարություն՝ հիմնված հետաքննության արդյունքների և ազդեցության ենթարկված միջավայրի մանրամասների վրա, ասվում է:

Թարմացնել չկարողացողներին ասվում է, որ պետք է մեկուսացնեն SolarWinds սերվերները, և դա պետք է ներառի արգելափակել ինտերնետի բոլոր արտահոսքը SolarWinds սերվերներից: Նվազագույն առաջարկը գաղտնաբառերի փոփոխությունն է այն հաշիվների համար, որոնք մուտք ունեն դեպի SolarWinds սերվերներ/ենթակառուցվածք:

ԱՄՆ Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալությունը (CISA) թողարկել է Արտակարգ իրավիճակների 21-01 հրահանգ՝ բոլոր դաշնային քաղաքացիական գործակալություններին խնդրելով վերանայել իրենց ցանցերը՝ փոխզիջման ցուցիչների համար: Այն խնդրել է նրանց անհապաղ անջատել կամ անջատել SolarWinds Orion արտադրանքը:

ՀԴԲ-ն, CISA-ն և Ազգային հետախուզության տնօրենի գրասենյակը համատեղ հայտարարություն են տարածել և հայտարարել, որ կոչվում է «Կիբեր միասնական համակարգող խումբ (UCG)՝ ճգնաժամին կառավարության արձագանքը համակարգելու համար: Հայտարարության մեջ սա կոչվում է կիբերանվտանգության կարևոր և շարունակական արշավ:

Սպիտակ տունը և նախագահ Դոնալդ Թրամփը լռել են. Սենատոր Միթ Ռոմնին դա լավագույնս ամփոփել է SiriusXM ռադիոյի լրագրող Օլիվյե Նոքսին տված իր մեկնաբանություններում, որտեղ նա համեմատել է այս հարձակումը ռուսական ռմբակոծիչների համարժեքի հետ, որոնք աննկատ թռչում են ամբողջ երկրով մեկ՝ բացահայտելով ԱՄՆ-ի կիբերպատերազմի թուլությունը: Նա ասաց, որ Սպիտակ տան լռությունն ու անգործությունը աններելի են։

Դեմոկրատ սենատոր Ռիչարդ Բլումենտալը թվիթերյան իր էջում գրել է. Ռուսաստանի կիբերհարձակումը ինձ խորապես անհանգստացրել է, իրականում ուղղակի վախեցրել եմ:

Նորընտիր նախագահ Ջո Բայդենը հայտարարության մեջ ասել է. «Լավ պաշտպանությունը բավարար չէ. Մենք պետք է խանգարենք և հետ պահենք մեր հակառակորդներին զգալի կիբերհարձակումներ ձեռնարկելուց առաջին հերթին:

Կիսվեք Ձեր Ընկերների Հետ: