Американские официальные лица заявили в четверг, что российская группа вымогателей получила доступ к данным федеральных агентств, в том числе Министерства энергетики, в ходе атаки, в ходе которой использовалось программное обеспечение для передачи файлов для кражи и перепродажи пользовательских данных.

Джен Истерли, директор Агентства кибербезопасности и безопасности инфраструктуры, назвала утечку в значительной степени «оппортунистической» и не направленной на «конкретную ценную информацию» и не столь разрушительной, как предыдущие кибератаки на правительственные учреждения США.

«Хотя мы очень обеспокоены этой кампанией, такая кампания, как SolarWinds, не представляет системного риска», — заявила г-жа Истерли журналистам в четверг, имея в виду масштабную утечку, которая скомпрометировала несколько американских спецслужб в 2020 году.

Министерство энергетики заявило в четверг, что записи двух организаций в министерстве были скомпрометированы и что оно уведомило Конгресс и CISA об утечке.

«Министерство энергетики приняло незамедлительные меры, чтобы предотвратить дальнейшее воздействие уязвимости», — сказал Чад Смит, заместитель пресс-секретаря Министерства энергетики.

Представители Госдепартамента и ФБР отказались сообщить, пострадали ли их агентства.

Согласно оценке следователей CISA и ФБР, Истерли сказал, что взлом был частью более крупной операции по вымогательству Clop, российской банды вымогателей, которая использовала уязвимость в программном обеспечении MOVEit и атаковала ряд местных органов власти, университеты и предприятия. .

Ранее в этом месяце официальные лица из Иллинойс, Новая Шотландия И Лондон показали, что они были среди пользователей программного обеспечения, пострадавших от атаки. British Airways и BBC заявили, что они также пострадали от взлома. Университет Джонса Хопкинса, Университетская система Джорджии и европейский нефтегазовый гигант Shell выступили с аналогичными заявлениями по поводу атаки.

Высокопоставленный чиновник CISA сказал, что пострадало лишь небольшое количество федеральных агентств, но отказался назвать, какие именно. Но, добавил чиновник, ранние сообщения частного сектора свидетельствуют о том, что пострадали по меньшей мере несколько сотен компаний и организаций. Чиновник говорил на условиях анонимности, чтобы обсудить нападение.

Согласно данным, собранным GovSpend, ряд государственных учреждений приобрели программное обеспечение MOVEit, в том числе НАСА, Министерство финансов, здравоохранение и социальные службы, а также подразделения Министерства обороны. Но было неясно, сколько агентств активно его использовали.

Clop ранее взял на себя ответственность за предыдущую волну нарушений на своем сайте.

Группа заявила, что «не заинтересована» в добыче данных, украденных из правительственных или полицейских учреждений, и удалила их, сосредоточившись только на украденной бизнес-информации.

Роберт Дж. Кэри, президент компании Cloudera Government Solutions, занимающейся кибербезопасностью, отметил, что данные, украденные в результате атак программ-вымогателей, могут быть легко проданы другим незаконным субъектам.

«Любой, кто его использует, скорее всего, скомпрометирован», — сказал он, имея в виду программное обеспечение MOVEit.

Открытие того, что федеральные агентства также были среди пострадавших, было ранее сообщал CNN.

Представитель MOVEit, принадлежащего Progress Software, сказал, что компания «взаимодействовала с федеральными правоохранительными органами и другими агентствами» и «будет бороться со все более изощренными и настойчивыми киберпреступниками, которые намерены злонамеренно использовать уязвимости в широко используемых программных продуктах». . Первоначально компания выявила уязвимость в своем программном обеспечении в мае, выпустив исправление, а CISA добавила его в свой список. онлайн-каталог известные уязвимости 2 июня.

Отвечая на вопрос о возможности действий Клопа в координации с российским правительством, представитель CISA сказал, что у агентства нет доказательств, позволяющих предположить такую ​​координацию.

Нарушение MOVEit — еще один пример того, как правительственные учреждения становятся жертвами киберпреступлений, организованных российскими группировками, поскольку кампании программ-вымогателей, в основном нацеленные на западные цели, неоднократно приводили к отключению критически важной гражданской инфраструктуры, включая больницы, энергетические системы и муниципальные службы.

Некоторые атаки всегда казались в первую очередь финансово мотивированными, например, когда в 2021 году до 1500 предприятий по всему миру пострадали от российской атаки программ-вымогателей.

Но в последние месяцы российские группы вымогателей также участвовали в якобы политических атаках с молчаливого одобрения российского правительства, нацеленных на страны, которые поддержали Украину после российского вторжения в прошлом году.

Вскоре после вторжения 27 правительственных учреждений в Коста-Рике подверглись атакам программ-вымогателей со стороны другой российской группы, Conti, что вынудило президента страны объявить чрезвычайное положение в стране.

Кибератаки из России уже были предметом разногласий в американо-российских отношениях еще до войны на Украине. Этот вопрос занимал важное место в повестке дня Белого дома, когда президент Байден встретился с президентом России Владимиром Путиным в 2021 году.

Атака программы-вымогателя на один из крупнейших газопроводов в Соединенных Штатах группой, предположительно находящейся в России, вынудила оператора трубопровода заплатить 5 миллионов долларов за восстановление украденных данных всего за месяц до встречи г-на Байдена и г-на Путина. Позже федеральные следователи заявили, что они вернули большую часть выкупа в ходе кибероперации.

Также в четверг аналитики фирмы по кибербезопасности Mandiant выявили атаку на Barracuda Networks, провайдера безопасности электронной почты, которая, по их словам, является частью китайских шпионских усилий. Нарушение также затронуло ряд государственных и частных организаций, в том числе Министерство иностранных дел АСЕАН и внешнеторговые представительства в Гонконге и Тайване, написал Мандиант в своем письме. отчет.