На прошедшей неделе мы писали о том, что американская  компания, специализирующаяся на кибербезопасности FireEye, сама стала объектом атаки хакеров. Напомним, это именно та компания, которая обнаружила взлом серверов предвыборного штаба демократов еще в 2016 году. Обнаружив взлом системы и оценив метод, которым этот взлом был произведен, генеральный директор Кевин Мандиа заявил о том, что ресурсы, необходимые для такой операции, могут быть только в распоряжении государства, и что таким государством является РФ.

Безусловно, для компании такого профиля инцидент оказался профессиональным вызовом и профи, в отличие от дилетантов, даже такую ситуацию используют по максимуму. Это бестолковые бездельники, коими безусловно является наше правительство, не просто пытаются скрыть проблемы, но соревнуются в том, чтобы сделать вид, мол – все хорошо, хотя на самом деле они даже не понимают, что вообще происходит и что там с эпохой бедности. Профи поступают не так.

Компания отработала всю информацию, которую удалось получить в результате анализа инцидента, и передала ФБР и Агентству по кибербезопасности и инфраструктурной безопасности (CISA) не просто информацию о самом факте атаки, но описала методы атаки и признаки, по которым можно обнаружить взлом. А это дало спецслужбам ключ, применив который, можно провести проверку критической инфраструктуры на предмет взлома.

В результате оказалось, что злоумышленники получили доступ к серверам структур министерства финансов и министерства торговли США. И это пока не все, что удалось обнаружить, поскольку проверка идет прямо в это время. Как стало известно, такая массовая атака произошла потому, что вредоносный код программ, позволявший получить несанкционированный доступ к документам внутреннего характера, был доставлен на машины жертв взлома легальным путем, а именно – с патчем обновления ПО от компании SolarWind, которая обслуживает государственные учреждения США.

Именно поэтому системы безопасности закрытых сетей не обнаружили внедрения чужого кода и таким образом были созданы условия для проникновения в защищенные сети злоумышленника. Пока информация об этой операции строго дозируется, но уже можно понять, что налицо не простая хакерская атака, а комбинированная операция, в которой использовалась и агентура. Причем, речь идет о долгосрочной операции, с очень плотным прикрытием. А сопряжение агентурной и сетевой частей операции может осуществить только государственная структура, способная координировать действия как своей резидентуры, которые сейчас могут себе позволить всего несколько стран мира, так и хакерского центра.

Кроме того, как инструмент, с помощью которого злоумышленники создали условия для проникновения в закрытые сети, называется ПО NTIA, Microsoft Office 365. На сегодня Microsoft отказывается от любых комментариев на эту тему, но похоже на то, что дырявость ее программ однажды сыграет с ней злую шутку, поскольку Microsoft и уязвимость стали почти синонимами.

(Окончание следует)