В американских СМИ опасных хакеров из Китая быстро меняют на русских
В США заявили о том, что китайская группа хакеров спонсируемая китайским правительством не была замечена во взломе какой-либо избирательной ИТ-инфраструктуры. Группировка уже давно находится под наблюдением американских спецслужб, но сама деятельность этой группы все еще не ясна. Возможно, опять русские во всем виноваты.
Без вины виновен
Хакерская группа, связанная с центральным правительством Китая и прославившаяся проникновением в американскую критическую ИТ-инфраструктуру, не была замечена в проникновении в избирательные системы. Об этом в начале августа 2024 г. заявила директор Агентства по кибербезопасности и безопасности инфраструктуры (CISA) в США Джен Истерли (Jen Easterly).
По словам Джен Истерли, возглавляющей CISA Министерства национальной безопасности США, организация, которую чиновники разведки и национальной безопасности окрестили группировку Volt Typhoon, не продемонстрировала никаких признаков того, что может получить доступ к основной избирательной ИТ-инфраструктуре, которая считается важной для голосования.
В феврале этого года все американские СМИ трубили о том, что кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет. Об этом говорилось в совместном заявлении CISA, Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Про китайскую группу хакеров из Volt Typhoon изначально аналитики CISA сообщили тогда, когда заметили, что группировка проникает в инфраструктурные среды, не представляющие непосредственной разведывательной ценности для них. Это противоречит стратегиям прошлых китайских киберпреступлений связанных с шпионажам. Напомним, что китайская хак-группа атакует и взламывает критическую инфраструктуру США как минимум с середины 2021 г., согласно отчету Microsoft, опубликованному в 2023 г. В ходе этих атак хакеры использовали ботнет из сотен SOHO-роутеров и других устройств, разбросанных по всей территории США, чтобы скрыть вредоносную активность и избежать обнаружения.
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих кибератаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
Хакеры Volt Typhoon используют методы, которые позволяют им прятаться внутри ИТ-систем и обходить обнаружение, говорится в американских отчетах CISA. По данным CISA, хакеры Volt Typhoon взломали американские объекты на Гуаме и другие жизненно важные объекты инфраструктуры США как внутри страны, так и за ее пределами. Их тайная деятельность связана с техникой, которую сложно раскрыть, поскольку группировка использует украденные учетные данные системных администраторов, что позволяет им легче маскировать свои действия. Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации, но названия пострадавших организаций не раскрываются.
В CISA полагают, что и в феврале этого года, когда проходила кибератака на американскую критическую ИТ-инфраструктуру были виноваты именно русские хакеры, а группировка Volt Typhoon в деле появилась, как ложный след.
Кибератаки российских хакеров
Летом 2023 г. в США взломаны оказались сразу несколько государственных учреждений. В беседе с CNN исполнительный помощник директора CISA Эрик Гольдштейн (Eric Goldstein), комментируя кибератаку, признался, что ведомство оказывает поддержку нескольким федеральным агентствам, которые столкнулись с вторжениями» в их ИТ-инфраструктуру. Агентство Reuters добавило, что в списке пострадавших оказались британский нефтегазовый гигант Shell, а также Университет Джона Хопкинса. В Shell проблему признали, однако не стали говорить о масштабах нанесенного урона.
Западные СМИ полагают, что за кибератакой стоят хакеры из группировки вымогателей под названием Clop. В нее входят в том числе русскоговорящие члены, поэтому в западных СМИ их считают «русскими хакерами». Clop позиционирует себя командой, преследующей исключительно финансовые цели: они заражают ИТ-системы, чтобы затем получить выкуп. Однако американские официальные лица отмечают, что пока ни одно из зараженных государственных учреждений страны требований о выкупе не получало.
Осенью 2023 г. сразу несколько хакерских группировок объявили о планах провести масштабную кибератаку на европейскую банковскую систему. Свои усилия для достижения этой цели объединили группировка Killnet, представители считавшейся разгромленной Revil, а также члены Anonymous Sudan. Эту кибератаку в Европейском союзе (ЕС) назвали сильнейшей кибератакой в новейшей истории мира. Киберактивисты дали понять, что считают деньги основной проблемой современного мира, и в частности, их смущает, что европейские государства финансируют Киев.
В апреле 2024 г., по данным CISA, хакерская группировка Midnight Blizzard, которую связывают с Россией, получила доступ к переписке ряда федеральных ведомств США с Microsoft, взломав учетные записи электронной почты. Взлом был обнаружен еще в январе этого года. CISA назвало произошедшее серьезным и неприемлемым риском для ведомств. Им рекомендовано изучить содержимое украденных электронных писем, сбросить скомпрометированные учетные данные, а также принять дополнительные меры по обеспечению безопасности инструментов аутентификации для привилегированных учетных записей Microsoft Azure.
Microsoft и CISA уведомили все федеральные ведомства, чья переписка с Microsoft была украдена Midnight Blizzard. В январе в Microsoft заявили, что обнаружили взлом: хакеры получили доступ к устаревшей тестовой учетной записи, в результате смогли проникнуть в аккаунты корпоративной электронной почты руководства и сотрудников компании, в том числе отвечающих за кибербезопасность. Взломщики украли электронные письма и прикрепленные к ним документы.
По информации Microsoft, группировку Midnight Blizzard связывают со Службой внешней разведки России (СВР). По их данным, хакеры занимаются шпионажем и поиском разведывательных данных как минимум с 2018 г. Целями хакеров в Microsoft называли правительства, дипломатические учреждения, неправительственные организации и поставщиков ИТ-услуг в США и Европе.