Вашингтон (AFP). Элитные российские хакеры, получившие доступ к компьютерным системам федеральных агентств в прошлом году, даже не пытались взломать сети каждого ведомства по очереди.
Вместо этого они внедрили вредоносный код в обновление программного обеспечения, которое было разослано тысячам государственных учреждений и частных компаний.
Неудивительно, что хакеры смогли использовать уязвимости в так называемой цепочке поставок, чтобы начать масштабную операцию по сбору разведданных. Американские официальные лица и эксперты по кибербезопасности в течение многих лет били тревогу по поводу проблемы, которая привела к хаосу, включая миллиарды долларов финансовых потерь, но ставила под сомнение простые решения со стороны правительства и частного сектора.
«Нам придется сплотиться вокруг угрозы цепочки поставок и найти решение не только для нас здесь, в Америке как ведущей экономике мира, но и для всей планеты», — заявил Уильям Эванина, который ушел в отставку на прошлой неделе. Представитель государственной контрразведки в интервью. «Нам нужно будет найти способ убедиться, что в будущем у нас будет безрисковая ситуация и мы будем доверять нашим поставщикам».
Вообще говоря, цепочка поставок относится к сети людей и компаний, участвующих в разработке конкретного продукта, и ничем не отличается от проекта строительства дома, в котором задействованы подрядчик и сеть субподрядчиков. Огромное количество шагов в этом процессе, от проектирования до производства и распространения, а также различные вовлеченные организации дают хакеру, стремящемуся проникнуть в компании, агентства и инфраструктуру, множество точек входа.
Это может означать, что ни одна компания или руководитель не несет исключительной ответственности за защиту всей производственной цепочки поставок. И даже если большинство продавцов в цепочке находятся в безопасности, одной уязвимости может быть все, что нужно иностранным правительственным хакерам. С практической точки зрения, домовладельцы, строящие особняк, похожий на замок, могут оказаться жертвами системы сигнализации, которая была взломана еще до ее установки.
Самый последний случай, нацеленный на федеральные агентства, касался хакеров из российского правительства, которые, как предполагалось, проникли в вредоносное ПО, которое отслеживает корпоративные и государственные компьютерные сети. Этот продукт производится компанией SolarWinds из Техаса, у которой тысячи клиентов в федеральном правительстве и частном секторе.
Это вредоносное ПО позволило хакерам получить удаленный доступ к нескольким сетям агентств. Пострадавшие включают министерства торговли, казначейства и юстиции.
Для хакеров имеет смысл бизнес-модель, которая напрямую нацелена на цепочку поставок.
«Если вы хотите взломать 30 компаний на Уолл-стрит, зачем взламывать 30 компаний на Уолл-стрит (по отдельности), когда вы можете перейти на сервер — склад, облако — где все эти компании хранят свои данные?», — сказала Иванина. умнее, эффективнее и эффективнее.
Хотя президент Дональд Трамп проявил небольшой личный интерес к кибербезопасности, даже выслав главу агентства по кибербезопасности Министерства внутренней безопасности за несколько недель до того, как было обнаружено нарушение со стороны России, президент Джо Байден сказал, что сделает это приоритетом и возложит расходы на противников, несущих из атак.
Предполагается, что защита цепочки поставок должна быть ключевой частью этих усилий, и очевидно, что над этим нужно работать. В отчете Счетной палаты правительства, опубликованном в декабре, говорится, что обзор 23 агентских протоколов для оценки и управления рисками цепочки поставок показал, что только несколько агентств внедрили каждую из семи «основных практик», а 14 агентств не внедрили ни одной.
Официальные лица США заявляют, что ответственность не может лежать только на правительстве и должна включать координацию с частным сектором.
Но правительство пыталось предпринять шаги, в том числе через указы и правила. Положение Закона о разрешении на национальную оборону запрещает федеральным агентствам заключать контракты с компаниями, которые используют товары или услуги пяти китайских компаний, включая Huawei. Официальная правительственная стратегия контрразведки сделала снижение угроз для цепочки поставок одним из пяти ее ключевых столпов.
Возможно, самым известным проникновением в цепочку поставок до SolarWinds была атака NotPetya, в ходе которой вредоносный код, внедренный российскими военными хакерами, был выпущен через автоматическое обновление программы подготовки налогов на Украине под названием MeDoc. Эти вредоносные программы заразили своих клиентов, и в результате атаки общий ущерб по всему миру составил более 10 миллиардов долларов.
В сентябре министерство юстиции предъявило обвинение пяти китайским хакерам, которые, по его словам, взломали поставщиков программного обеспечения, а затем изменили исходный код, чтобы обеспечить больше нарушений для клиентов поставщика. В 2018 году администрация объявила о возбуждении аналогичного дела против китайских хакеров, обвиняемых во взломе поставщиков облачных услуг и внедрении вредоносного ПО.
«Никто не был удивлен сюрпризом SolarWinds», — сказал представитель Джим Лэнгвин, демократ из Род-Айленда и член Комитета по киберпространству солярия, двухпартийной группы, которая выпустила белую книгу, призывающую к защите цепочки поставок с помощью лучший интеллект. И поделитесь информацией.
Отчасти привлекательность атаки на цепочку поставок заключается в том, что это «висящий плод», — сказал Брэндон Валериано, эксперт по кибербезопасности из Университета морской пехоты. Старший консультант Комиссии по соляриям говорит, что на самом деле неизвестно, насколько рассредоточены сети, и что сбои в цепочке поставок встречаются нечасто.
«Проблема в том, что мы практически не знаем, что есть». — сказал Валериано. «А потом иногда оказывается, что мы чем-то задыхаемся — а часто мы задыхаемся от вещей».
___
Следите за сообщениями Эрика Такера на Twitter http://www.twitter.com/etuckerAP