Согласно данным, опубликованным в Microsoft в четверг, российские хакеры, поддерживаемые государством, добиваются большего успеха во взломе целей в Соединенных Штатах и других странах, поскольку правительственные организации становятся основным объектом их атак.
По данным Microsoft, на государственные организации приходилось более половины плановых показателей для хакерских групп, связанных с Москвой, (на период до июня 2021 года) по сравнению с 3% в предыдущем году. В то же время, как говорится в отчете технологического гиганта, посвященного государственной и киберпреступной деятельности, показатель успешности российских вторжений в государственные и негосударственные объекты увеличился с 21% до 32% в годовом исчислении.
Этот отчет появился в связи с тем, что администрация Байдена стремилась укрепить защиту правительства США от кибершпионажа из России и публично разоблачить эту деятельность вместе с союзниками США. Европейский Союз в прошлом месяце раскритиковал предполагаемые российские операции по взлому и утечке информации, которые, по словам блока, были направлены на вмешательство в демократию.
Но, несмотря на то, что США и их союзники осуждают поведение России и Китая в киберпространстве, эти страны «все еще чувствуют себя комфортно, склоняясь к атакам на национальные государства, — сказала Кристин Гудвин, заместитель генерального юрисконсульта и глава подразделения цифровой безопасности Microsoft. — И мы наблюдаем это увеличение».
Эти данные включают российскую шпионскую операцию, в результате которой в 2020 году было взломано как минимум девять федеральных агентств США с использованием программного обеспечения, созданного компанией SolarWinds, расположенной в Техасе. В среду CNN сообщил, что та же самая российская группа в последние месяцы продолжала попытки взлома правительственных организаций США и Европы.
В апреле администрация Байдена обвинила в этой шпионской кампании Службу внешней разведки России (СВР). Москва отрицает причастность к взлому.
Следующими по активности идут Северная Корея, Иран и Китай.
Microsoft также сообщила в четверг, что 58% попыток взлома, связанных с правительством, были совершены в России, за ней следуют 23% из Северной Кореи, 11% из Ирана и 8% из Китая.
Данные идут с оговорками. Например, множество безуспешных попыток угадать пароли целевых организаций считаются отдельными попытками взлома. И Microsoft не сообщала о спецслужбах США, которые также проводят кампании кибершпионажа.
Но с более чем миллиардом устройств, использующих программное обеспечение Microsoft по всему миру, поставщик технологий имеет более широкое представление о злонамеренной киберактивности, чем большинство других организаций. И данные говорят сами за себя.
Киберактивность, например, часто коррелирует с большей геополитической динамикой и напряженностью.
Согласно данным Microsoft, в то время как Россия усилила присутствие своих войск на границе с Украиной в начале этого года, та же хакерская группа, которая осуществила взломы SolarWinds, «серьезно нацелилась на интересы правительства Украины». Число клиентов Microsoft в Украине, «пострадавших» от российской хакерской группы, в финансовом году, закончившемся в июне, выросло до 1200 пользователей, а годом ранее их было всего шесть.
«Исторически нападения на национальные государства имеют тенденцию происходить там, где для страны находится геополитический приоритет», — сказал Гудвин CNN.
В четверг Google объявил, что российская хакерская группа APT28, вмешавшаяся в выборы 2016 года, в конце сентября отправила пользователям Gmail по всему миру около 14 000 вредоносных писем. По данным Google, фишинг был направлен, в частности, против государственных служащих, журналистов и оборонных компаний. Американские организации были среди жертв.
Шейн Хантли, директор группы анализа угроз Google, сказал, что все электронные письма были классифицированы как спам и заблокированы Gmail.
Большая часть общественного внимания к предполагаемым российским кибероперациям в прошлом году была сосредоточена на группе, которая взламывала программное обеспечение SolarWinds. Но, как утверждают аналитики, в распоряжении Москвы есть целый ряд хакерских команд, которые выполняют различные миссии против ценных целей в США и странах-союзниках.
По мнению некоторых официальных лиц США и экспертов из частного сектора, некоторые из этих групп специализируются на проникновении в критически важные инфраструктурные компании, как для сбора информации, так и, возможно, для того, чтобы закрепиться в сетях в случае конфликта.
Атаки на критически важную инфраструктуру
«Беспокойство вызывает то, что мы видели, что российские группы активно используют разрушительные эффекты по всему миру, — сказал глава Управления кибербезопасности Агентства национальной безопасности Роб Джойс на кибер-саммите в Аспене на прошлой неделе. — И мы видели доказательства того, что они заранее позиционируются против критической инфраструктуры США. Итак, все, что нельзя терпеть, и с чем нам нужно бороться».
Одна из таких групп, известная как Berserk Bear в индустрии кибербезопасности, была связана со взломами промышленного программного обеспечения на электроэнергетических предприятиях США, в которых Министерство внутренней безопасности обвинило российских хакеров в 2018 году.
Группа, которую некоторые аналитики связали с российским разведывательным управлением ФСБ, за последние три года продемонстрировала устойчивый интерес к сбору данных, хранящихся у компаний, занимающихся критически важной инфраструктурой, в США, Украине и Западной Европе.
По словам бывшего специалиста по кибербезопасности ВМС США Джо Словика, который сейчас работает в охранной фирме Gigamon, сюда входят взломы веб-сайтов одной из крупнейших энергетических компаний Украины и международного аэропорта Сан-Франциско, произошедших в 2019 и 2020 годах соответственно.
За более чем десятилетний период операций, нарушающих критически важные инфраструктурные компании, Berserk Bear «почти наверняка способствовал существенному сбору разведывательной информации, развитию возможностей и потенциально влиял на предварительное позиционирование в высокочувствительных сетях», — сказал Словик в документе, который будет представлен на конференции Virus Bulletin на этой неделе.
Перевод статьи CNN «Russian state-backed hackers having greater success at breaching foreign government targets, Microsoft says»