Как российские военные используют “грубую силу” для взлома компьютерных сетей правительства и компаний США

By Frank Bajak, Nomaan Merchan and Eric Tucker | July 8, 2021

Службы безопасности США и Великобритании раскрыли на прошлой неделе подробности методов «грубой силы», которые, по их словам, использовались российской разведкой для взлома облачных сервисов сотен правительственных агентств, энергетических компаний и других организаций.

В сообщении, выпущенном Агентством национальной безопасности США, описываются атаки оперативников  ГРУ, российской военной разведки, которую  ранее  связывали  с крупными кибератаками за рубежом и попытками сорвать американские выборы 2016 и 2020 годов.

В своем заявлении директор по кибербезопасности АНБ Роб Джойс сказал, что эта  кампания [взлома облачных сервисов]  «вероятно, продолжается в глобальном масштабе».

Атаки методом “грубой силы” включают автоматический  “обстрел” сайтов потенциальными паролями до тех пор, пока хакеры не получат к ним доступ. Консультативный совет призывает компании применять методы, которые давно рекомендуются экспертами как общепринятые принципы кибергигиены, включая использование многофакторной аутентификации и обязательное использование надежных паролей.

Выпущенный во время разрушительной волны атак программ-вымогателей на правительства и ключевую инфраструктуру, этот информационный бюллетень не раскрывает конкретных объектов атак  или  предполагаемых  целей кампании, говоря только о том, что хакеры атаковали сотни организаций по всему миру.

АНБ заявляет, что, по крайней мере, с середины 2019 до начала этого года,  связанные с ГРУ сотрудники пытались проникнуть в сети с помощью Kubernetes, инструмента с открытым исходным кодом, изначально разработанного Google для управления облачными сервисами. В то время как «значительная часть» попыток взлома была нацелена на организации, использующие облачные сервисы Microsoft Office 365, хакеры также преследовали других облачных провайдеров и почтовые серверы, сообщает АНБ.

Русские всё  отрицают

США давно обвиняют Россию в использовании или,  по  меньшей мере,  терпимости к кибератакам в целях шпионажа, распространения дезинформации и нарушения работы правительств и ключевой инфраструктуры.

Посольство РФ в Вашингтоне в четверг «полностью» отвергло  причастность российских государственных структур к кибератакам на правительственные учреждения или частные компании  США.

В заявлении посольства, размещенном в Facebook, говорится: «Мы надеемся, что американская сторона откажется от практики необоснованных обвинений и сосредоточится на профессиональной работе с российскими экспертами для укрепления международной информационной безопасности».

Джо Словик, аналитик угроз из компании Gigamon, занимающейся мониторингом сетей, сказал, что действия, описанные АНБ в четверг, показывают, что ГРУ еще больше усовершенствовало и без того популярную технику взлома сетей. Он сказал, что это, похоже, частично совпадает с отчетом Министерства энергетики о попытках взлома с использованием “грубой силы” в конце 2019 и начале 2020 года, нацеленных на энергетический и государственный сектор США, и правительство США, по-видимому, было осведомлено  об  этом  в течение некоторого времени.

Словик сказал, что использование Kubernetes «определенно в  какой-то  мере  уникально, хотя само по себе это не вызывает беспокойства». Он сказал, что метод “грубой силы” и горизонтальное движение внутри сетей, описанные АНБ, распространены среди поддерживаемых государством хакеров и преступных банд вымогателей, что позволяет ГРУ сливаться с другими участниками.

Джон Халтквист, вице-президент по анализу компании Mandiant, занимающейся кибербезопасностью, охарактеризовал деятельность, описанную в информационном бюллетене, как «рутинный сбор средств против политиков, дипломатов, военных и оборонной промышленности».

«Это хорошее напоминание о том, что ГРУ остается “нависающей”  угрозой, что особенно важно с учетом предстоящих Олимпийских игр, события, которое они вполне могут попытаться сорвать», – говорится в заявлении Халтквиста.

К консультациям присоединились ФБР и Агентство по кибербезопасности и безопасности инфраструктуры, а также Британский национальный центр кибербезопасности.

Обвинения против ГРУ

В последние годы официальные лица США неоднократно связывали ГРУ с серией хакерских инцидентов. В 2018 году, офис специального советника Роберта Мюллера обвинил 12 офицеров военной разведки во взломе электронных писем демократов, которые затем были опубликованы WikiLeaks в попытке нанести ущерб президентской кампании Хиллари Клинтон и увеличить шансы  Дональда Трампа.

Совсем недавно,  прошлой осенью,  министерство юстиции выдвинуло обвинения против офицеров ГРУ в кибератаках, направленных против президентских выборов во Франции, против  зимних Олимпийских игр в Южной Корее и американского бизнеса.

В отличие от Службы внешней разведки РФ СВР, которая обвиняется в хакерской кампании SolarWinds и старается не быть обнаруженной в своих кибероперациях, ГРУ провело самые разрушительные кибератаки в истории, в том числе две на энергосистему Украины и “запуск” вируса  NotPetya в  2017 году, ущерб  от  которого  во всем мире, составил более 10 миллиардов долларов.

Как утверждают официальные лица США, оперативники ГРУ также участвовали в распространении дезинформации, связанной с пандемией коронавируса. А согласно оценке американской разведки, проведенной в марте, ГРУ пыталось отслеживать людей в политике США в 2019 и 2020 годах и организовало фишинговую кампанию против дочерних компаний украинской энергетической компании Burisma, вероятно, для сбора информации, наносящей ущерб президенту Джо Байдену, сын которого ранее состоял  в  совете директоров этой компании.

В апреле администрация Байдена наложила санкции на Россию, связав ее с вмешательством в выборы и атакой SolarWinds.