Как сообщают источники, знакомые с ситуацией, те самые российские шпионы, которые несколько лет назад взломали системы Белого дома и Госдепартамента и попытались украсть данные исследования по разработке вакцины от коронавируса, осуществили еще одну дерзкую атаку, на этот раз взломав серверы одной из ведущих в мире компаний по обеспечению кибербезопасности — компании FireEye.
Об этой кибератаке представители FireEye сообщили во вторник, 8 декабря, однако компания не стала связывать ее непосредственно с российской службой внешней разведки. Эта атака была обнаружена в последние несколько недель, о чем сообщил один из источников, который согласился дать интервью на условиях анонимности, поскольку расследование все еще продолжается.
Глава FireEye Кевин Мандиа (Kevin Mandia) сказал, что злоумышленники украли хакерские инструменты, которые компания использует для обнаружения слабых мест в компьютерных сетях своих клиентов и которые можно использовать против тех же самых клиентов или других систем. По словам Мандиа, злоумышленники охотились в первую очередь за информацией, касающейся определенных государственных заказчиков.
«Мы наблюдаем атаку со стороны страны, обладающей высококлассными наступательными средствами, — сказал Мандиа. — Нападавшие настроили свои средства таким образом, чтобы атаковать именно компанию FireEye».
Представители компании сообщили об этой атаке, чтобы уведомить о ней 9600 своих клиентов по всему миру и всю индустрию кибербезопасности, чтобы те в свою очередь могли принять соответствующие меры и не позволить злоумышленникам взломать их системы с помощью украденных инструментов. Компания FireEye использует эти инструменты Red Teams для проверки систем безопасности своих клиентов.
В настоящее время ФБР ведет расследование этой хакерской атаки.
«Предварительные данные свидетельствуют о злоумышленнике, обладающем высокой квалификацией, соответствующей государственному уровню», — сказал Мэтт Горэм (Matt Gorham), помощник директора киберотдела ФБР.
В 2015 году хакеры, связанные с российской Службой внешней разведки, взломали серверы национального комитета Демократической партии. Эта группа хакеров, известная под именами APT29 или Cozy Bear, также взломала системы Госдепартамента США и Белого дома в период работы администрации Обамы.
Однако СВР не стала сливать в сеть материалы, украденные у национального комитета Демократической партии. Как говорят американские чиновники, российская военная разведка ГРУ провела собственную хакерскую атаку на системы национального комитета и отправила украденные электронные письма организации WikiLeaks — в рамках операции, призванной повлиять на ход президентских выборов 2016 года.
Между тем СВР проводит хакерские атаки с традиционными шпионскими целями, то есть пытается украсть секреты, которые могут помочь Кремлю понять планы и мотивы политиков. Агенты СВР крадут промышленные секреты, взламывают системы министерств иностранных дел и пытаются достать данные о разработках вакцины от коронавируса.
По словам Мандиа, в ходе этой атаки, хотя злоумышленники сумели получить доступ к внутренним системам, фирма FireEye не нашла доказательств того, что они смогли украсть данные из систем, на которых хранится информация клиентов. По словам одного источника, знакомого с ситуацией, среди правительств, оказавшихся мишенями хакеров, вовсе не обязательно было правительство Соединенных Штатов.
По словам Мандиа, хакеры «действовали незаметно, используя методы, которые позволяют обходить механизмы безопасности и механизмы проведения экспертизы». «Они применили новую комбинацию техник и методов, которые ни мы, ни наши партнеры ранее не видели», — добавил он.
Как сказал один из источников, это можно было назвать эквивалентом «снайперского выстрела».
Он добавил, что хакерам удалось украсть значительное количество, но не все инструменты компании.
По словам Мандиа, FireEye пока не увидела свидетельств того, что какой-либо хакер применил эти украденные инструменты. Тем не менее фирма уже разработала более 300 инструментов, которые позволят их клиентам защититься от атак.
Опытные специалисты в компании FireEye разработали свои инструменты Red Team на основании тех техник и методов, которые применялись в более ранних атаках, и на основе тех инструментов, которые есть в открытом доступе. Ни в одном из этих инструментов не использовались «уязвимости нулевого дня» или ранее неизвестные эксплойты, помогающие хакерам компрометировать систему. «Это те системы, которые, как мы видели, были ранее использованы хакерами и которые мы хотим имитировать», — сказал этот источник.
«Компании, занимающиеся кибербезопасностью, являются одной из главных мишеней для игроков государственного уровня, и за эти годы многие из них подверглись успешным атакам, включая Kaspersky, RSA и Bit9», — сказал Дмитрий Альперович, сооснователь крупной компании CrowdStrike и председатель аналитического центра Silverado Policy Accelerator.
«Обычно главная цель таких операций — получить доступ к тех инструментам, которые позволят им взламывать системы компаний по всему миру, — продолжил он. — Меня впечатлило то, как открыто FireEye рассказала о взломе своих систем, как она сообщила подробности произошедшего, и как она предоставила средства противодействия своим инструментам Red Team, чтобы минимизировать вероятность взлома других систем в результате этой атаки».
Мотивы, которые стояли за этой хакерской атакой на FireEye, пока не известны. Помимо кражи хакерских инструментов, некий государственный субъект, возможно, также хотел узнать, что компании FireEye известно о его собственных инструментах, и хотел скорректировать их соответствующим образом. Кроме того, он, вероятно, хотел изучить эти инструменты на предмет уязвимых мест, которые можно использовать, как сказал Грегори Тоухилл (Gregory Touhill), президент AppGate Federal Group и бывший главный чиновник федерального уровня по кибербезопасности.
Мандиа основал фирму Mandiant, которую в 2014 году купила компания FireEye. Фирма Mandiant попала в заголовки в 2013 году благодаря своему докладу, в котором были изложены подробности деятельности хакерской группы китайских вооруженных сил, совершавшей атаки на системы по всему миру, в том числе в Соединенных Штатах.
Компания Microsoft помогает FireEye в проведении расследования.
Chechenews.com
09.12.20.