16 апреля 2021 г.

Администрация Байдена ввела санкции против шести российских ИТ-компаний за помощь российским спецслужбам в злонамеренной кибердеятельности, включая взлом SolarWinds.

В четверг Министерство финансов США обвинило частные и государственные компании в содействии злонамеренной кибердеятельности российских спецслужб. Речь идет о шести компаниях, предоставляющих поддержку Федеральной службе безопасности (ФСБ), Главному разведывательному управлению (ГРУ) и Службе внешней разведки (СВР), опираясь на экспертные знания, разрабатывая инструменты и инфраструктуру и содействуя злонамеренным кибератакам.

«Министерство финансов США вводит санкции против компаний, которые обеспечивают поддержку злонамеренных действий российских спецслужб, ответственных за взлом SolarWinds и другие недавние киберинциденты, — объявил Госсекретарь США Энтони Блинкен (Antony Blinken) в заявлении для прессы в четверг. — Эти санкции позволят ограничить российские ресурсы, доступные для осуществления такой злонамеренной деятельности».

Шесть российских организаций, попавших под санкции США, это компания Positive Technologies, АО «Передовые системные технологии», ООО «Необит», АО «Пасит», ФГАНУ НИИ «Спецвузавтоматика» и технополис «ЭРА».

Positive Technologies включена в санкционный список за проведение крупных конференций, используемых ФСБ и ГРУ для вербовки акторов атак, и предоставление решений в сетевой безопасности иностранным государствам, российским компаниям и российским государственным органам, включая ФСБ, указывает Минфин США.

Официальное заявление Positive Technologies по санкциям США

Мы, как компания, отвергаем безосновательные обвинения, выдвинутые в наш адрес министерством финансов США: за почти двадцатилетнюю историю нашей работы нет ни одного факта использования результатов исследовательской деятельности Positive Technologies вне традиций этичного обмена информацией с профессиональным ИБ-сообществом и прозрачного ведения бизнеса.

Наша глобальная цель состоит в создании продуктов и технологий, призванных повышать общую киберзащищенность в масштабах всего мира, а также ― в формировании условий для наиболее эффективного противодействия кибератакам в интересах общества, бизнеса и государства вне привязки к геополитике, с максимальной открытостью и ориентированностью на сотрудничество (в том числе международное).

Технологии Positive Technologies используются по всему миру, и сегодня нам доверяют свою безопасность тысячи компаний различных секторов бизнеса и государственные учреждения разных стран. В компании более 1100 сотрудников, по итогам 2020 года мы заработали 5,6 млрд рублей (73 млн долл., по РСБУ) и выросли на 55% по отношению к 2019 году. За последние пять лет средний рост компании составил 41%. Независимые международные аналитические агентства неоднократно отмечали нас в числе наиболее быстрорастущих и визионерских компаний в области решений по безопасности и управлению уязвимостями.

...

Мы искренне считаем, что геополитика не должна являться преградой технологическому развитию общества, и со своей стороны продолжим делать то, что у нас хорошо получается — обеспечивать кибербезопасность и повышать киберзащищенность во всем мире. Поэтому мы продолжаем свою работу в штатном режиме с полным соблюдением всех обязательств перед нашими клиентами, партнерами и сотрудниками.

АО «Передовые системные технологии» оказывало техническую поддержку в кибероперациях, проводимых ФСБ, ГРУ и СВР, при этом Министерство обороны РФ, СВР и ФСБ входят в число его клиентов, сообщает Министерство финансов США. ООО «Необит» проводило исследования и разработки для поддержки киберопераций ФСБ, ГРУ и СВР, и Министерство обороны РФ является его клиентом, указывает Минфин США.

АО «Пасит» и ФГАНУ НИИ «Спецвузавтоматика» проводили исследования и разработки для поддержки злонамеренных киберопераций СВР, указывает Минфин США. ФГАНУ НИИ «Спецвузавтоматика» (полное название: Федеральное государственное автономное научное учреждение «Научно-исследовательский институт „Специализированные вычислительные устройства защиты и автоматика“») специализируется на разработке передовых систем информационной безопасности, сообщает Минфин США.

Наконец, военный инновационный технополис «ЭРА», который подчиняется Министерству обороны РФ, обвиняется в размещении у себя и поддержке групп ГРУ, ответственных за наступательные информационные и кибероперации. Этот исследовательский центр и технопарк использует кадры специалистов и наработки российского ИТ-сектора для создания технологий военного и двойного назначения, сообщает Минфин США.

«Мы продолжим привлекать Россию к ответственности за ее злонамеренные действия в киберпространстве, такие как взлом SolarWinds, используя все имеющиеся политические и государственные рычаги», — говорится в заявлении Белого дома в четверг. Кроме того, Администрация Байдена официально назвала команду СВР, известную как APT 29 или Cozy Bear, виновником хакерской атаки на SolarWinds, которая нарушила работу более 16 тысяч компьютерных систем.

Осуществленный группой СВР взлом SolarWinds подчеркивает риск, создаваемый попытками России нацелить свои атаки на компании по всему миру, используя уязвимости цепочки поставок, сказано в заявлении Белого дома. Колоссальный масштаб нанесенного вреда должен послужить предупреждением о рисках использования технологий, поставляемых компаниями, которые базируются или хранят пользовательские данные в России или полагаются на разработку ПО или удаленную техподдержку от персонала в России.

Правительство США оценивает, следует ли предпринять дальнейшие действия в соответствии с указом Президента от мая 2019 года, чтобы лучше защитить цепочку поставок Америки от возможных эксплойтов со стороны России, сказано в заявлении Белого дома.

«СВР поставила под угрозу глобальную цепочку ИТ-поставок, осуществив установку вредоносного ПО на компьютеры десятков тысяч клиентов SolarWinds, — указывает Министерство финансов США. — Этот инцидент будет стоить компаниям и потребителям в США и во всем мире миллионов долларов мер по устранению всех последствий».

СВР использовала пять известных уязвимостей ПО, чтобы получить первоначальную зацепку на устройствах жертв в сети, а затем провела сканирование систем, выявив уязвимые, чтобы получить учетные данные аутентификации для дальнейшего доступа, говорится в совместных рекомендациях по кибербезопасности, опубликованных в четверг Агентством национальной безопасности США (АНБ), Агентством кибербезопасности и инфраструктурной безопасности США (CISA) и ФБР.

Первая уязвимость, которая активно использовалась акторами СВР, есть в некоторых версиях Fortinet FortiOS и позволяет злоумышленникам без аутентификации загружать системные файлы, используя специально созданные HTTP-запросы ресурсов. Вторая — уязвимость внедрения внешнего объекта (XXE) в пакете Synacor Zimbra Collaboration Suite, говорится в рекомендациях АНБ, CISA и ФБР.

Третья уязвимость имеется в некоторых версиях Pulse Connect Secure; она позволяет удаленным акторам без аутентификации выполнять произвольное чтение файлов. Четвертая имеется в некоторых версиях Citrix Application Delivery Controller & Gateway и позволяет обход каталога. И пятая — это возможность внедрения команд в VMware Workspace One Access, Access Connector и Identity Manager.

«Устранение этих уязвимостей критически важно, так как сети США и их союзников постоянно сканируются, атакуются и подвергаются эксплойтам со стороны финансируемых государством российских кибервзломщиков, — указывает ФБР в пресс-релизе в четверг. — Мы публикуем этот отчет, чтобы подчеркнуть дополнительные тактики, приемы и процедуры, используемые СВР, чтобы ответственные за защиту сети могли принять меры для противодействия им».

Представитель Fortinet сказал CRN, что безопасность ее клиентов это главный приоритет компании. «Если клиенты еще не сделали этого, мы побуждаем их немедленно внедрить обновление и меры защиты», — сказал он.

Ivanti купила Pulse Secure в декабре 2020 года за 530 млн долл. и говорит, что регулярно взаимодействует с клиентами Pulse Secure, чтобы быстро установить выпущенные патчи, устраняющие известные уязвимости. VMware сообщила, что 3 декабря 2020 года выпустила обновление защиты для Workspace ONE и призывает всех клиентов устанавливать новейшие обновления продукта, исправления защиты и меры противодействия.

Synacor и Citrix не ответили на запросы CRN.

© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.


Источник: Майкл Новинсон, CRN/США, crn.ru