Microsoft: хакеры из России, взломавшие SolarWinds, теперь взломали Агентство по международному развитию США

Россию вновь обвиняют во взломе компьютерных систем, на этот раз – Агентства по международному развитию США (USAID).

В Microsoft сообщили, что обнаружили признаки взлома и характерный почерк хакеров, ответственных за предыдущие компьютерные атаки SolarWinds.

В четверг корпорация Microsoft сообщила, что хакеры, возможно, связанные с российской Службой внешней разведки (СВР), тайно взломали систему рассылки электронной почты, используемую Агентством по международному развитию, для проникновения в компьютерные сети правозащитных групп и других организаций, в том числе оппозиционных.

«На этой неделе мы наблюдали кибератаки со стороны группы Nobelium, целью которых стали государственные учреждения, аналитические центры, консультанты и неправительственные организации», –  говорится в блоге Microsoft.

В компании считают, что именно Nobelium стояла и за атаками на IT-компанию SolarWinds в прошлом году.

Пресс-секретарь российского президента сказал, что не располагает информацией о новой кибератаке.

Почему USAID?

В этот раз хакеры взломали системы, используемые федеральным правительством, и разослали электронные письма более чем на 3000 учетных записей в более чем 150 организациях, которые регулярно получают сообщения от Агентства по международному развитию. Эти письма были отправлены на этой неделе и содержали все обычные логотипы организации.

В письма был встроен код, который открывал хакерам неограниченный доступ к компьютерным системам получателей, от «кражи данных до заражения других компьютеров в сети», написал в четверг вечером вице-президент Microsoft Том Берт.

В данном случае, как утверждает Microsoft, целью хакеров был не само Агентство по международному развитию, а возможность проникнуть в системы грантополучателей, часть из которых российская власть считает враждебными своим интересам.

«По меньшей мере четверть организаций, подвергшихся нападению, имели отношение к международному развитию, гуманитарной деятельности и деятельности в области защиты прав человека», – написал Берт.

Представитель Агентства по кибербезопасности и безопасности инфраструктуры министерства внутренней безопасности США заявил в четверг, что агентство «осведомлено о потенциальной уязвимости» в Агентстве по международному развитию и предпринимает меры по ее нейтрализации.

Microsoft считает, что за атакой стоит российская группа Nobelium – как считается, именно эта группа ответственна и за атаку на SolarWinds. Американское правительство утверждает, что взлом SolarWinds – это работа Службы внешней разведки России. Ее также обвиняют во взломе Национального комитета Демократической партии в 2016 году (но считается, что более тяжелые последствия имел взлом его же хакерами из ГРУ), а до этого – в атаках на Пентагон, систему электронной почты Белого дома и Госдепартамента.

«Изощренные атаки»

По словам федеральных чиновников и экспертов, атаки становятся все более агрессивными и изощренными. О взломе SolarWinds в правительстве США стало известно спустя девять месяцев после кибератаки – ее обнаружили сторонние коммерческие специалисты по кибербезопасности.

Взлом был осуществлен с помощью кода, внедренного в программное обеспечение для управления корпоративными компьютерными сетями, которое широко используется американскими ведомствами и частными компаниями. В числе пострадавших оказались министерства энергетики и внутренней безопасности, а также несколько научных ядерных лабораторий.

В Microsoft отметили, что кибератака на Агентство по международному развитию заметно отличается от взлома SolarWinds – в ней применялись новые инструменты и приемы, явно направленные на то, чтобы избежать обнаружения. В компании считают, что атака все еще продолжается и что хакеры продолжают рассылать фишинговые письма все чаще и больше. Вот почему Microsoft пошла на необычный шаг, назвав пострадавшее агентство, и обнародовала образцы поддельного электронного письма.

Microsoft: хакеры из России, взломавшие SolarWinds, теперь взломали Агентство по международному развитию США
Microsoft обнародовала скриншоты поддельных электронных писем USAID

Напряженные отношения

В апреле президент США Джо Байден объявил о серии новых санкций в отношении России и высылке дипломатов в ответ на взлом SolarWinds. Байден заявил, что мог бы отреагировать гораздо более решительно, но не хотел запускать новый цикл эскалации в отношениях с Россией и потому предпочел «соразмерный ответ».

Взлом почты Агентства по международному развитию случился всего за три недели до запланированной встречи президента Байдена с Владимиром Путиным в Женеве. Отношения между странами остаются напряженными – в том числе и из-за серии все более изощренных кибератак, в которых США обвиняют Россию.

В апреле Байден обсуждал атаку SolarWinds с Путиным по телефону. Президент России отверг утверждения о причастности к ней России, а некоторые российские СМИ заявили, что ее осуществили сами Соединенные Штаты.

После этого возможная связь России с группировками хакеров вновь оказалась в повестке дня, когда кибератаке подверглись структуры компании Colonial Pipeline. Атака кибервымогателей вынудила компанию закрыть трубопровод, по которому на Восточное побережье США идет почти половина бензина, дизельного топлива и авиакеросина, что вызвало скачок цен и паническую скупку топлива на автозаправках.

«Докажите!»

В Кремле заявили, что не располагают информацией о кибератаке и что Microsoft должна продемонстрировать связь хакеров с Россией.

Отвечая на вопросы журналистов, не повлияет ли это на предстоящий саммит глав двух государств, пресс-секретарь президента России Дмитрий Песков сказал: «Чтобы ответить на ваш вопрос, нужно ответить: какие группы, почему они связаны с Россией, на что, кто напал, к чему это привело, в чем заключалось нападение и откуда об этом известно Microsoft? Если ответить на все эти вопросы, то можно подумать над ответом».

По его словам, Кремль не может прокомментировать эти вопросы, поскольку не располагает информацией о кибератаках. «Я не могу никак их прокомментировать, мы не располагаем такой информацией. Это же утверждает Microsoft. Соответственно, Microsoft должен прояснить эти вопросы», – добавил он.

Песков также усомнился в том, что заявление Microsoft каким-то образом отразится на предстоящем саммите президентов РФ и США.