Подозреваемые китайские хакеры воспользовались изъяном в программном обеспечении SolarWinds, чтобы помочь взломать правительственные компьютеры США в прошлом году, сообщили Агентству Reuters пять человек, знакомых с этим вопросом, отметив новый поворот в распространяющемся нарушении кибербезопасности, которое американские законодатели назвали чрезвычайной ситуацией в области национальной безопасности.
Два человека, проинформированные об этом деле, сказали, что следователи ФБР недавно обнаружили, что Национальный финансовый центр, федеральное агентство по заработной плате в Министерстве сельского хозяйства США, был среди пострадавших организаций, что вызвало опасения, что данные о тысячах государственных служащих могут быть скомпрометированы.
Дефект программного обеспечения, эксплуатируемый подозреваемой китайской группой, отличается от того, который Соединенные Штаты обвиняют российских правительственных оперативников в использовании для компрометации до 18 000 клиентов SolarWinds, включая чувствительные федеральные агентства, путем захвата программного обеспечения мониторинга сети Orion компании.
Исследователи безопасности ранее заявляли, что вторая группа хакеров злоупотребляла программным обеспечением SolarWinds в то же время, что и предполагаемый российский взлом, но о предполагаемой связи с Китаем и последующем взломе правительства США ранее не сообщалось.
Агентство Reuters не смогло установить, сколько организаций было скомпрометировано в результате предполагаемой китайской операции.
Источники, которые говорили на условиях анонимности, чтобы обсудить текущие расследования, заявили, что злоумышленники использовали компьютерную инфраструктуру и хакерские инструменты, ранее развернутые государственными китайскими кибершпионами.
Министерство иностранных дел Китая заявило, что приписывание кибератак является “сложным техническим вопросом”, и любые утверждения должны быть подкреплены доказательствами.
“Китай решительно выступает против любых форм кибератак и киберугроз и борется с ними”, — говорится в заявлении.
SolarWinds заявила, что ей известно об одном клиенте, который был скомпрометирован второй группой хакеров, но что она “не нашла ничего убедительного”, чтобы показать, кто несет ответственность.
Компания добавила, что злоумышленники не получили доступа к ее собственным внутренним системам и что в декабре она выпустила обновление для исправления эксплуатируемой ошибки программного обеспечения.
Представитель Министерства сельского хозяйства США признал, что произошла утечка данных, но отказался от дальнейших комментариев. В ФБР отказались от комментариев.
Хотя эти две шпионские операции пересекаются и обе нацелены на правительство США, они были отдельными и совершенно разными операциями, согласно четырем людям, которые расследовали атаки, и внешним экспертам, которые изучали код, используемый обеими группами хакеров.
В то время как предполагаемые российские хакеры проникли глубоко в сеть SolarWinds и спрятали “черный ход” в обновлениях программного обеспечения Orion, которые затем были отправлены клиентам, предполагаемая китайская группа использовала отдельную ошибку в коде Orion, чтобы помочь распространиться по сетям, которые они уже скомпрометировали, сообщили источники.
«Чрезвычайно серьезное нарушение»
Параллельные миссии показывают, как хакеры сосредотачиваются на слабых сторонах малоизвестных, но важных программных продуктов, которые широко используются крупными корпорациями и правительственными учреждениями.
“Очевидно, SolarWinds был важной целью для более чем одной группы”,-сказала Джен Миллер-Осборн, заместитель директора по разведке угроз в подразделении Palo Alto Networks 42.
Бывший главный специалист по информационной безопасности США Грегори Таухилл сказал, что отдельные группы хакеров, нацеленные на один и тот же программный продукт, не являются чем-то необычным.
“Это не первый раз, когда мы видим актера национального государства, занимающегося серфингом позади кого-то другого, это похоже на” черчение «в NASCAR», — сказал он, где один гоночный автомобиль получает преимущество, внимательно следуя за другим.
Связь между второй серией атак на клиентов SolarWinds и предполагаемыми китайскими хакерами была обнаружена только в последние недели, по данным аналитиков безопасности, проводивших расследование вместе с правительством США.
Агентство Reuters не смогло определить, какую информацию злоумышленники смогли украсть из Национального финансового центра (NFC) или как глубоко они зарылись в его системы.
Но потенциальное воздействие может быть “массовым”, заявили Reuters бывшие правительственные чиновники США.
По словам бывших чиновников, НФК отвечает за обработку заработной платы нескольких правительственных учреждений, в том числе нескольких, занимающихся вопросами национальной безопасности, таких как ФБР, Госдепартамент, Министерство внутренней безопасности и Министерство финансов.
Записи, хранящиеся в NFC, включают номера социального страхования федеральных служащих, номера телефонов и личные адреса электронной почты, а также банковскую информацию.
На своем веб-сайте NFC сообщает, что она “обслуживает более 160 различных агентств, предоставляя услуги по начислению заработной платы более чем 600 000 федеральных служащих.”
Представитель Министерства сельского хозяйства США сообщил по электронной почте: “Министерство сельского хозяйства США уведомило всех клиентов (включая частных лиц и организации), чьи данные были затронуты.”
“В зависимости от того, какие данные были скомпрометированы, это может быть чрезвычайно серьезным нарушением безопасности”, — сказал Том Уоррик, бывший высокопоставленный чиновник Министерства внутренней безопасности США.
“Это может позволить противникам узнать больше об американских чиновниках, улучшив их способность собирать разведданные.”