Российская группа вымогателей получила доступ к данным федеральных агентств, в том числе Министерства энергетики, в ходе атаки, которая использовала программное обеспечение для передачи файлов для кражи и продажи данных пользователей, заявили официальные лица США в четверг.
Джен Истерли, директор Агентства кибербезопасности и безопасности инфраструктуры, назвала утечку в значительной степени «оппортунистической» и не направленной на «конкретную ценную информацию» и не столь разрушительной, как предыдущие кибератаки на правительственные учреждения США.
«Хотя мы очень обеспокоены этой кампанией, она не представляет собой такую кампанию, как SolarWinds, которая представляет собой системный риск», — заявила г-жа Истерли журналистам в четверг, имея в виду масштабную утечку данных, которая скомпрометировала несколько американских спецслужб в 2020 году.
Министерство энергетики заявило в четверг, что записи двух организаций внутри ведомства были скомпрометированы и что оно уведомило Конгресс и CISA об утечке.
«Министерство энергетики предприняло немедленные шаги, чтобы предотвратить дальнейшее воздействие уязвимости», — сказал Чад Смит, заместитель пресс-секретаря Министерства энергетики.
Представители Госдепартамента и ФБР отказались комментировать, пострадали ли их агентства.
По оценке следователей CISA и ФБР, сказал Истерли, взлом был частью более крупной операции по вымогательству, проведенной Clop, российской бандой вымогателей, которая использовала уязвимость в программном обеспечении MOVEit и атаковала множество местных органов власти, университетов и корпораций. .
Ранее в этом месяце официальные лица Иллинойса, Новой Шотландии и Лондона сообщили, что они были среди пользователей программного обеспечения, пострадавших от атаки. British Airways и BBC заявили, что они также пострадали от взлома. Университет Джонса Хопкинса, Университетская система Джорджии и европейский нефтегазовый гигант Shell выступили с аналогичными заявлениями по поводу атаки.
Высокопоставленный чиновник CISA сказал, что пострадало лишь небольшое количество федеральных агентств, но отказался указать, какие именно. Но, добавил чиновник, первоначальные отчеты частного сектора предполагали, что пострадали по меньшей мере несколько сотен компаний и организаций. Чиновник говорил на условиях анонимности, чтобы обсудить нападение.
Согласно данным, собранным компанией GovSpend, программное обеспечение MOVEit закупили ряд государственных учреждений, в том числе НАСА, министерство финансов, службы здравоохранения и социальных служб и подразделения министерства обороны. Но было неясно, сколько агентств активно его использовали.
Clop ранее взял на себя ответственность за предыдущую волну взломов на своем веб-сайте.
Группа заявила, что «не заинтересована» в использовании каких-либо данных, украденных из правительственных или полицейских учреждений, и удалила их, сосредоточившись только на украденной деловой информации.
Роберт Дж. Кэри, президент компании по кибербезопасности Cloudera Government Solutions, отметил, что данные, украденные в результате атак программ-вымогателей, могут быть легко проданы другим незаконным субъектам.
«Любой, кто использует это, вероятно, скомпрометирован», — сказал он, имея в виду программное обеспечение MOVEit.
Ранее CNN сообщал о том, что среди пострадавших есть и федеральные агентства.
Представитель MOVEit, принадлежащего Progress Software, заявил, что компания «взаимодействовала с федеральными правоохранительными органами и другими ведомствами» и будет «бороться со все более изощренными и настойчивыми киберпреступниками, намеревающимися злонамеренно использовать уязвимости в широко используемых программных продуктах». Первоначально компания обнаружила уязвимость в своем программном обеспечении в мае, выпустив исправление, а 2 июня CISA добавила ее в свой онлайн-каталог известных уязвимостей.
На вопрос о возможности того, что Клоп действовал в координации с российским правительством, представитель CISA сказал, что у агентства нет доказательств, позволяющих предположить такую координацию.
Нарушение MOVEit является еще одним примером того, как правительственные учреждения становятся жертвами организованной киберпреступности со стороны российских групп, поскольку кампании программ-вымогателей, нацеленные в основном на западные цели, неоднократно отключали критически важную гражданскую инфраструктуру, включая больницы, энергетические системы и городские службы.
Исторически сложилось так, что некоторые атаки были в первую очередь финансово мотивированы, например, когда в 2021 году до 1500 предприятий по всему миру пострадали от российской атаки программ-вымогателей.
Но в последние месяцы российские группы вымогателей также участвовали в якобы политических атаках с молчаливого одобрения российского правительства, нацеливаясь на страны, которые поддерживали Украину после российского вторжения в прошлом году.
Вскоре после вторжения 27 правительственных учреждений в Коста-Рике подверглись атакам программ-вымогателей со стороны другой российской группы, Conti, что вынудило президента страны объявить чрезвычайное положение в стране.
Кибератаки, исходящие из России, уже были предметом разногласий в американо-российских отношениях еще до войны на Украине. Этот вопрос был в центре внимания Белого дома, когда президент Байден встретился с президентом России Владимиром Путиным в 2021 году.
Атака программы-вымогателя на один из крупнейших бензиновых трубопроводов США со стороны группы, предположительно находящейся в России, вынудила оператора трубопровода заплатить 5 миллионов долларов за восстановление украденных данных всего за месяц до встречи г-на Байдена и г-на Путина. Позже федеральные следователи заявили, что они вернули большую часть выкупа в ходе кибероперации.
Также в четверг аналитики фирмы по кибербезопасности Mandiant выявили атаку на Barracuda Networks, поставщика услуг по обеспечению безопасности электронной почты, которая, по их словам, была частью китайских шпионских усилий. Это нарушение также затронуло ряд как государственных, так и частных организаций, включая Министерство иностранных дел АСЕАН и внешнеторговые представительства в Гонконге и Тайване, пишет Mandiant в своем отчете.
