Проникновение российских агентств в США выявило слабые места в цепочке поставок

Вашингтон (AFP). Элитные российские хакеры, получившие доступ к компьютерным системам федеральных агентств в прошлом году, даже не пытались взломать сети каждого ведомства по очереди.

Вместо этого они внедрили вредоносный код в обновление программного обеспечения, которое было разослано тысячам государственных учреждений и частных компаний.

Неудивительно, что хакеры смогли использовать уязвимости в так называемой цепочке поставок, чтобы начать масштабную операцию по сбору разведданных. Американские официальные лица и эксперты по кибербезопасности в течение многих лет били тревогу по поводу проблемы, которая привела к хаосу, включая миллиарды долларов финансовых потерь, но ставила под сомнение простые решения со стороны правительства и частного сектора.

«Нам придется сплотиться вокруг угрозы цепочки поставок и найти решение не только для нас здесь, в Америке как ведущей экономике мира, но и для всей планеты», — заявил Уильям Эванина, который ушел в отставку на прошлой неделе. Представитель государственной контрразведки в интервью. «Нам нужно будет найти способ убедиться, что в будущем у нас будет безрисковая ситуация и мы будем доверять нашим поставщикам».

Вообще говоря, цепочка поставок относится к сети людей и компаний, участвующих в разработке конкретного продукта, и ничем не отличается от проекта строительства дома, в котором задействованы подрядчик и сеть субподрядчиков. Огромное количество шагов в этом процессе, от проектирования до производства и распространения, а также различные вовлеченные организации дают хакеру, стремящемуся проникнуть в компании, агентства и инфраструктуру, множество точек входа.

Это может означать, что ни одна компания или руководитель не несет исключительной ответственности за защиту всей производственной цепочки поставок. И даже если большинство продавцов в цепочке находятся в безопасности, одной уязвимости может быть все, что нужно иностранным правительственным хакерам. С практической точки зрения, домовладельцы, строящие особняк, похожий на замок, могут оказаться жертвами системы сигнализации, которая была взломана еще до ее установки.

READ  Москва: В результате украинского ракетного обстрела погибли 63 российских солдата | национальные новости

Самый последний случай, нацеленный на федеральные агентства, касался хакеров из российского правительства, которые, как предполагалось, проникли в вредоносное ПО, которое отслеживает корпоративные и государственные компьютерные сети. Этот продукт производится компанией SolarWinds из Техаса, у которой тысячи клиентов в федеральном правительстве и частном секторе.

Это вредоносное ПО позволило хакерам получить удаленный доступ к нескольким сетям агентств. Пострадавшие включают министерства торговли, казначейства и юстиции.

Для хакеров имеет смысл бизнес-модель, которая напрямую нацелена на цепочку поставок.

«Если вы хотите взломать 30 компаний на Уолл-стрит, зачем взламывать 30 компаний на Уолл-стрит (по отдельности), когда вы можете перейти на сервер — склад, облако — где все эти компании хранят свои данные?», — сказала Иванина. умнее, эффективнее и эффективнее.

Хотя президент Дональд Трамп проявил небольшой личный интерес к кибербезопасности, даже выслав главу агентства по кибербезопасности Министерства внутренней безопасности за несколько недель до того, как было обнаружено нарушение со стороны России, президент Джо Байден сказал, что сделает это приоритетом и возложит расходы на противников, несущих из атак.

Предполагается, что защита цепочки поставок должна быть ключевой частью этих усилий, и очевидно, что над этим нужно работать. В отчете Счетной палаты правительства, опубликованном в декабре, говорится, что обзор 23 агентских протоколов для оценки и управления рисками цепочки поставок показал, что только несколько агентств внедрили каждую из семи «основных практик», а 14 агентств не внедрили ни одной.

Официальные лица США заявляют, что ответственность не может лежать только на правительстве и должна включать координацию с частным сектором.

Но правительство пыталось предпринять шаги, в том числе через указы и правила. Положение Закона о разрешении на национальную оборону запрещает федеральным агентствам заключать контракты с компаниями, которые используют товары или услуги пяти китайских компаний, включая Huawei. Официальная правительственная стратегия контрразведки сделала снижение угроз для цепочки поставок одним из пяти ее ключевых столпов.

READ  Биатлонистку Коклину в прошлом году проверили как самую допинговую спортсменку России - спорт

Возможно, самым известным проникновением в цепочку поставок до SolarWinds была атака NotPetya, в ходе которой вредоносный код, внедренный российскими военными хакерами, был выпущен через автоматическое обновление программы подготовки налогов на Украине под названием MeDoc. Эти вредоносные программы заразили своих клиентов, и в результате атаки общий ущерб по всему миру составил более 10 миллиардов долларов.

В сентябре министерство юстиции предъявило обвинение пяти китайским хакерам, которые, по его словам, взломали поставщиков программного обеспечения, а затем изменили исходный код, чтобы обеспечить больше нарушений для клиентов поставщика. В 2018 году администрация объявила о возбуждении аналогичного дела против китайских хакеров, обвиняемых во взломе поставщиков облачных услуг и внедрении вредоносного ПО.

«Никто не был удивлен сюрпризом SolarWinds», — сказал представитель Джим Лэнгвин, демократ из Род-Айленда и член Комитета по киберпространству солярия, двухпартийной группы, которая выпустила белую книгу, призывающую к защите цепочки поставок с помощью лучший интеллект. И поделитесь информацией.

Отчасти привлекательность атаки на цепочку поставок заключается в том, что это «висящий плод», — сказал Брэндон Валериано, эксперт по кибербезопасности из Университета морской пехоты. Старший консультант Комиссии по соляриям говорит, что на самом деле неизвестно, насколько рассредоточены сети, и что сбои в цепочке поставок встречаются нечасто.

«Проблема в том, что мы практически не знаем, что есть». — сказал Валериано. «А потом иногда оказывается, что мы чем-то задыхаемся — а часто мы задыхаемся от вещей».


___

Следите за сообщениями Эрика Такера на Twitter http://www.twitter.com/etuckerAP

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *