IT-cтруктура ФСБ объяснила случай с SolarWinds игнорированием уязвимостей
Возможности для хакеров получить доступ к ПО компании появились в даркнете еще в 2017 году, заявили в российской спецслужбе
Москва. 27 апреля. INTERFAX.RU - Замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ), созданного по приказу руководства ФСБ, Николай Мурашов впервые рассказал о результатах российского расследования кибератаки на американскую IT-компанию SolarWinds, на фоне которой Вашингтон недавно ввел новую порцию санкций против Москвы.
В декабре прошлого года стало известно, что SolarWinds подверглась кибератаке, от которой пострадали клиенты компании, в частности, корпорация Microsoft, компания по кибербезопасности FireEye, многие правительственные учреждения США, включая Минфин и Минэнерго. В причастности к кибератаке американские власти заподозрили хакеров, связанных с российскими властями. Эти подозрения в результате стали причиной для новых санкций против РФ, введенных 15 апреля с формулировкой "за вредоносную внешнюю деятельность". Под ограничения, в частности, попали шесть российских IT-компаний, поддерживавших, по мнению США, киберактивность российской разведки.
Даркнет и несоблюдение требований безопасности
"Необходимо отметить, что атакованное программное обеспечение было развернуто без соблюдения требований обеспечения безопасности", - сказал Мурашов журналистам во вторник.
По его словам, благодаря расследованию инцидента стало известно, что еще в 2017 году сотрудник компании SolarWinds Йен Торнтон-Трамп предупреждал о существовавших проблемах с обеспечением кибербезопасности, однако не был услышан.
"Уже тогда данные для доступа к программному обеспечению для дистанционного управления SolarWinds были доступны в даркнете", - подчеркнул замдиректора НКЦКИ.
Примитивный пароль
Кроме того, сообщил он, пароль доступа к серверу обновлений вопреки общеизвестным рекомендациям был примитивным.
"Странно выглядит и рекомендация SolarWinds отключать антивирусные средства при установке обновлений ее программного обеспечения", - заявил замдиректора НКЦКИ.
"Поглотители" стартапов
Мурашов считает, что уязвимость глобального киберпространства "во многом является следствием монополизации рынка информационных технологий" и, в отличие от европейской или китайской стратегии развития, американские корпорации активно борются с конкурентами, поглощают все перспективные инновационные стартапы.
"Главным "поглотителем" является группа ведущих IT-компаний, известная как GAFAM (Google, Amazon, Facebook, Apple и Microsoft). Из-за монополизации информационные технологии становятся все более унифицированными, а цифровая среда – типовой",- отметил он.
По его словам, достаточно просчета или ошибки разработчика, чтобы критическая уязвимость программного обеспечения была растиражирована по всему миру. Мурашов заявил, что риски эксплуатации таких уязвимостей "типовыми эксплойтами" растут экспоненциально, поскольку связанность и взаимозависимость технологий очень высока.
"Безопасность миллионов пользователей поставлена в зависимость от добросовестности и ответственности компаний-производителей. Экономическая выгода для бизнеса стоит на первом месте. Пример с компанией SolarWinds это наглядно продемонстрировал", - заключил он.
О репутации РФ как источника киберугроз
"В геополитических интересах одним из основных источников угроз в информационном пространстве безосновательно называют Российскую Федерацию", - сказал Мурашов журналистам во вторник.
В декабре 2020 года американские СМИ сообщили, что хакеры, связанные с иностранным правительством, взломали системы, принадлежащие министерству финансов США, министерству внутренней безопасности, Национальному управлению телекоммуникаций и информации (NTIA) Минторга США, а также сети Пентагона, Минэнерго и ведомства, курирующего безопасность в ядерной сфере NNSA. Ряд американских официальных лиц заявил, что за кибератаками, вероятно, стоит хакерская группа APT29 или Cozy Bear, якобы связанная с российской разведкой.
Позднее стало известно, что кибератака была нацелена на IT-компанию SolarWinds из Остина (штат Техас). Хакеры использовали для своих целей обновления, выпущенные компанией в период с марта по июнь прошлого года для ее программного обеспечения Orion.
В Службе внешней разведки РФ назвали бредом заявления Вашингтона о причастности службы к кибератаке на SolarWinds.
На просьбу прокомментировать звучащие в Вашингтоне обвинения в адрес СВР в кибератаках и кибершпионаже, Мурашов сказал: "Наши американские коллеги не удосуживаются передачей какой-либо информации, по которой можно было бы судить о том, что к данным атакам причастны те или иные граждане РФ".
Вклад НКЦКИ в борьбу с вредоносными ресурсами
Между тем, по его словам, после обращений НКЦКИ в минувшем году иностранными партнерами было пресечено функционирование более 68 тысяч вредоносных ресурсов.
"Они располагались в зарубежном адресном пространстве, и с них осуществлялись компьютерные атаки на информационные системы Российской Федерации. По запросам иностранных партнеров в информационном пространстве Российской Федерации пресечено функционирование более 9 тысяч вредоносных ресурсов", - сказал Мурашов.
Он отметил, что оценки географического распределения источников компьютерных атак НКЦКИ подтверждаются сведениями зарубежных компаний в сфере информационной безопасности.
Мурашов высказался также за развитие международного сотрудничества в сфере кибербезопасности. Он посетовал, что все призывы на этот счет с российской стороны США оставили без ответа.