Эксперты ФБР предполагают, что за атакой стоят хакеры из группировки Cozy Bear. Последнюю многие эксперты считают подконтрольной ФСБ и Службе внешней разведки РФ.
Хакеры взломали системы Министерства финансов и Министерства торговли, а также других правительственных учреждений США. Агентство Reuters пишет, что инцидент настолько серьезен, что в субботу в Белом доме для его обсуждения собирался совет национальной безопасности США.
Читайте Bloomchain через любимые соцсети: Telegram, VK, FB
Раскрытые к настоящему моменту взломы могут быть только верхушкой айсберга, рассказали Reuters знакомые с ситуацией источники. Более того, спецслужбы США подозревают, что в деле замешаны хакеры из группировки APT29 (также известна как Cozy Bear), которая, как утверждает газета Washington Post, «является частью Службы внешней разведки» (СВР) России.
Уютный медведь
Cozy Bear специализируется на добыче информации, которая может быть полезна для принятия решений по внешней политике и обороне. Однако иногда хакеры занимаются и промышленным шпионажем — в июне власти Великобритании обвинили группировку в атаках, направленных на фармацевтические компании и НИИ, которые занимаются разработкой вакцин от COVID-19.
Хакеры из Cozy Bear были чрезвычайно активны в 2014-2017 годах. Группировку обвиняли во взломе Национального комитета Демократической партии США в преддверии выборов 2016 года, а также в целом ряде атак на различные правительственные учреждения в Европе и за ее пределами. APT29 была причастна к атакам на почтовую службу Белого дома, Министерство иностранных дел США и Объединенный комитет начальников штабов.
Многие эксперты считают, что группировка связана с ФСБ и органами внешней разведки России, однако прямых доказательств этому нет. Власти РФ любую связь с хакерами отрицают.
Что известно об инциденте
По данным WP, хакеры месяцами могли следить за перепиской сотрудников американских правительственных ведомств. Эксперты ФБР, которые привлечены к расследованию, пришли к выводу, что по всем признакам атака началась еще весной.
Компания FireEye (предоставляет услуги сетевой безопасности), которая и сама была взломана, считает, что среди жертв преступников были государственные организации, а также консалтинговые, технологические, телекоммуникационные и нефтегазовые компании Северной Америки, Европы, Азии и Ближнего Востока. Все организации были взломаны через сервер обновлений системы управления сетями Orion от компании SolarWinds.
SolarWinds занимается разработкой программного обеспечения, которое позволяет предприятиям управлять их корпоративными сетями и инфраструктурой. В воскресенье компания подтвердила, что продукты мониторинга, релиз которых состоялся в марте, возможно использовались в «изощренной, целенаправленной атаке со стороны [внешнего] государства».
Решения SolarWinds используют более 300 тыс. организаций по всему миру. В их число входят Пентагон, Министерство юстиции США, Госдепартамент, НАСА, Администрация президента и Агентство национальной безопасности. Клиентами SolarWinds также являются 10 крупнейших телекоммуникационных компаний США. На своем сайте разработчик пишет, что его ПО использует большинство американских компаний из списка Fortune 500.
Как и ранее, Россия отрицает свою причастность к инциденту. Посольство РФ в США заявило, что атаки в информационном поле «противоречат внешнеполитическим принципам нашей страны, ее национальным интересам».