Вашингтон. Хакеров, возможно, связанных со спецслужбами Китая, обвиняют в месячной кампании по взлому некоторых незасекреченных систем электронной почты США, что позволило им получить доступ к небольшому количеству учетных записей в Государственном департаменте США и нескольких других организациях.
Microsoft впервые объявила о вторжении во вторник, приписав атаку на свою почтовую службу Outlook китайским злоумышленникам, которых она назвала Storm-0558.
Компания сообщила в своем блоге, что хакерам удалось подделать токен аутентификации Microsoft и получить доступ к учетным записям электронной почты 25 организаций как в США, так и по всему миру, начиная с середины мая.
Компания заявила, что доступ был отключен после того, как утечка была обнаружена месяц спустя.
«По нашим оценкам, этот противник занимается шпионажем, например, получением доступа к системам электронной почты для сбора разведданных», — заявили в Microsoft. «Этот тип злоумышленников, мотивированных шпионажем, стремится злоупотребить учетными данными и получить доступ к данным, находящимся в секретных системах».
Государственный департамент подтвердил в среду, что обнаружил нарушение и предпринял «немедленные шаги» для защиты своих систем и уведомил Microsoft.
Некоторые официальные лица США, однако, не решались поддержать обвинение Microsoft в атаке, заявив, что США «приложат все усилия, чтобы возложить расходы» на того, кто несет ответственность.
«Изощренность этой атаки, когда злоумышленники могли получить доступ к содержимому почтовых ящиков жертв, свидетельствует о APT. [advanced persistent threat] деятельность, но мы не готовы обсуждать атрибуцию на более конкретном уровне», — заявил в среду журналистам высокопоставленный чиновник ФБР на условиях анонимности.
По словам высокопоставленных чиновников ФБР и Агентства по кибербезопасности и безопасности инфраструктуры (CISA), число жертв взлома Microsoft Outlook в США исчислялось однозначными цифрами, и доступ был получен лишь к небольшому количеству учетных записей.
Они добавили, что, поскольку нарушение было обнаружено быстро, хакеры не имели доступа ни к одной учетной записи электронной почты более месяца и никогда не имели доступа к какой-либо секретной информации или системам. Во многих случаях их доступ длился всего несколько дней.
Тем не менее, официальные лица отметили причины для беспокойства.
«Нападение было преднамеренным», — сказал высокопоставленный чиновник CISA, поговоривший с журналистами на условиях анонимности.
«Похоже, что это была очень целенаправленная, хирургическая кампания, которая не стремилась к широте доступа, которую мы видели в других кампаниях», — добавил чиновник.
Несмотря на нежелание некоторых американских киберчиновников возлагать вину на Китай, в среду ключевые законодатели США не колебались.
«Комитет Сената по разведке внимательно следит за тем, что, по-видимому, является серьезным нарушением кибербезопасности со стороны китайской разведки», — говорится в заявлении председателя Марка Уорнера.
«Понятно, что КНР неуклонно совершенствует свои возможности по сбору информации о киберпреступлениях, направленных против США и наших союзников», — добавил демократ из Вирджинии. «Тесная координация между правительством США и частным сектором будет иметь решающее значение для противодействия этой угрозе».
Высокопоставленные представители американской разведки, службы безопасности и вооруженных сил уже давно предупреждают о растущей угрозе кибербезопасности со стороны хакеров, связанных с Китаем.
Пентагон обещает развернуть киберкампании в случае необходимости
Ранее в этом году директор CISA Джен Истерли предупредила, что Китай «почти наверняка» применит агрессивные кибероперации против США, если напряженность в отношениях между Вашингтоном и Пекином обострится.
Американцы «должны быть готовы» к китайским кибератакам
Отдельная киберстратегия министерства обороны также предупреждала об увеличении инвестиций Китая в военные кибервозможности, а также о расширении возможностей растущего числа киберпрокси.
Но Джон Халтквист, главный аналитик подразделения Google по кибербезопасности Mandiant, сказал, что эта последняя атака показала, что китайская угроза развивается очень опасным образом.
«Китайский кибершпионаж прошел долгий путь», — написал Халтквист в электронном письме. «Они превратили свои возможности из тех, в которых преобладали широкие громкие кампании, которые было гораздо легче обнаружить. Раньше они были дерзкими, но теперь они явно сосредоточены на скрытности».
Корпоративная штаб-квартира Microsoft в Редмонде, штат Вашингтон. (Фото: Диаа Бехит)
«Голос Америки» связался с посольством Китая в Вашингтоне по поводу обвинений в том, что за атакой на Microsoft стоит Пекин.
«Китай выступает против кибератак всех видов и пострадал от киберхакеров», — сообщил «Голосу Америки» по электронной почте официальный представитель китайского посольства Лю Пэнъюй. «Как заявил на очередной пресс-конференции официальный представитель МИД (Министерства иностранных дел), источником заявления Microsoft является информация от государственных органов США».
Далее Лю назвал США «крупнейшей хакерской империей и глобальным кибер-вором», заявив, что «пришло время, чтобы США объяснили свои кибератаки и прекратили распространение дезинформации, чтобы отвлечь внимание общественности».
В своем блоге о последнем взломе во вторник Microsoft сообщила, что ей удалось отремонтировать свои системы для всех своих клиентов.
ФБР и CISA в среду отдельно выпустили рекомендацию по кибербезопасности, призывая организации, использующие Microsoft Exchange Online, предпринять шаги для усиления мер безопасности, а также мониторинга своих систем для обнаружения любой подозрительной активности.