Сначала это была SolarWinds, российская хакерская кампания, которая, как сообщается, длилась почти год и привела к уничтожению как минимум девяти государственных агентств США и бесчисленного количества частных компаний. Теперь это Hafnium, китайская группа, которая атакует уязвимость в Microsoft Exchange Server, чтобы проникнуть в почтовые ящики жертв и не только. Коллективные потери в этих шпионских кулисах все еще не раскрываются. Возможно, это никогда не будет полностью известно.
Страны шпионят друг за другом, везде и все время. Так было всегда. Но масштабы и изощренность последних усилий России и Китая по-прежнему шокируют. И краткосрочные последствия обоих подчеркивают, насколько сложно может быть полное измерение кампании даже после того, как вы ее понюхали.
К настоящему моменту вы, вероятно, уже знакомы с основами атака SolarWinds: вероятно, российские хакеры взломали сети компании, занимающейся управлением ИТ, и изменили версии ее инструмента мониторинга сети Orion, обнажив 18 000 организаций. Предполагается, что фактическое число жертв SolarWinds намного меньше, хотя аналитики безопасности пока оценивают его как минимум в несколько сотен. И, как генеральный директор SolarWinds Судхакар Рамакришна охотно указал всем, кто будет слушать, его компания была не единственной компанией, занимающейся поставками программного обеспечения, которую русские взломали в ходе этой кампании, что подразумевает гораздо более широкую экосистему жертв, чем кто-либо еще мог представить. >
«Стало ясно, что есть еще много интересного, что нужно узнать об этом инциденте, его причинах, масштабе, масштабе и дальнейших направлениях», — заявил Сенат. Председатель комитета по разведке Марк Уорнер (демократ от штата Вирджиния) на слушаниях по поводу взлома SolarWinds на прошлой неделе. Брэндон Уэльс, исполняющий обязанности директора Агентства по кибербезопасности и инфраструктуре США, оценил в интервью MIT Technology Review на этой неделе, что только правительственным системам США может потребоваться до 18 месяцев, чтобы оправиться от взлома, не говоря уже о частном секторе.
Это отсутствие ясности вдвойне подходит для китайской хакерской кампании, о которой Microsoft сообщила во вторник. Впервые обнаруженная компанией по безопасности Volexity, группа национального государства, которую Microsoft называет Hafnium, использовала несколько эксплойтов нулевого дня, атакующих ранее неизвестные уязвимости в программном обеспечении, для взлома серверов Exchange, которые управляют почтовыми клиентами, включая Outlook. Там они могли незаметно читать электронные письма важных целей.
«Вы никого не вините за то, что упустили это», — говорит основатель Veloxity Стивен Адэр, который говорит, что активность, которую они наблюдали, началась в январе 6 числа этого года. «Они очень целенаправленны и мало что делают, чтобы вызывать тревогу».
Однако в минувшие выходные Veloxity заметила заметный сдвиг в поведении, поскольку хакеры начали использовать свои плацдармы Exchange Server, чтобы агрессивно проникать глубже в сети жертв. «Раньше это было действительно серьезно; если кто-то имеет неограниченный доступ к вашей электронной почте по своему желанию, это в некотором смысле наихудший сценарий », — говорит Адэр. «Их способность также взламывать вашу сеть и записывать файлы делает шаг вперед на ступеньку выше с точки зрения того, что кто-то может получить и насколько сложной может быть очистка».
Ни SolarWinds, ни атаки Hafnium не прекратились, а это означает, что сама концепция очистки, по крайней мере в широком смысле, остается далекой мечтой. Это все равно, что пытаться зачистить нефтеналивной танкер. «Очевидно, что эти атаки все еще продолжаются, и злоумышленники активно сканируют Интернет в режиме« спрей и молись », нацеливаясь на все, что выглядит уязвимым», — говорит Джон Хаммонд, старший исследователь безопасности в отделе обнаружения угроз. фирмы Huntress о кампании Hafnium.
Microsoft выпустила исправления, которые защитят от нападения любого, кто использует Exchange Server. Но это лишь вопрос времени, когда другие хакеры перепроектируют исправление, чтобы выяснить, как самостоятельно использовать уязвимости; вы можете ожидать, что группы программ-вымогателей и криптоджекинга незамедлительно примутся за дело.
«Это может стать совершенно бесплатным для всех», — говорит Адэр. «Я предполагаю, что для кого-то может быть тривиальным выяснить компоненты этого сейчас, когда патч вышел».
Патч защитит любого, кто его установит, но если прошлое — пролог, этот список будет далеко не исчерпывающий. Microsoft выпустила патч для уязвимости EternalBlue в марте 2017 года; два месяца спустя вирус WannaCry использовал просочившийся инструмент АНБ для проникновения в Интернет. Спустя полных два года более миллиона устройств во всем мире все еще оставались уязвимыми. Это означает, что у Гафниума и вдохновляемых им преступных группировок есть очень длинный пояс, к которому они могут добавить отметок.
«Воздействие будет продолжительным»
В то же время ни одного этой деятельности должно вызывать удивление. «Определенно всегда существует фоновый уровень спонсируемого государством шпионажа, который происходит через киберпространство», — говорит Дж. Майкл Дэниел, который ранее работал координатором по кибербезопасности в администрации Обамы, а в настоящее время является президентом и главным исполнительным директором некоммерческой организации Cyber Threat Alliance. Хакеров SolarWinds и Hafnium просто случайно поймали. И хотя США все более охотно предъявляют обвинения хакерам из национальных государств, в том числе из России и Китая, они обычно делают это за кражу интеллектуальной собственности или другие вопиющие нарушения международных норм. Шпионаж? Не так много. Это также немного усложняет сдерживание; во времена холодной войны вы могли просто выгнать шпионов из своей страны — вариант, который недоступен, когда они сидят за клавиатурой за тысячи миль от вас.
Это означает, что вы можете ожидать нитей SolarWinds и Hafnium. продолжать раскручивание, вероятно, в течение многих лет, так и не дойдя до конца.
