21 июля 2021 г.
Администрация Байдена официально обвинила в массированной кибератаке на Microsoft Exchange Server хакеров, связанных с Министерством государственной безопасности Китая (MSS).
Правительство США вместе с Европейским союзом, Великобританией и НАТО обвинило Китай в злонамеренных кибердействиях, включающих использование вирусов-шифровальщиков против частных компаний с требованием многомиллионных выкупов. Но, в отличие от истории с Россией после атаки через SolarWinds, каких-либо санкций или других официальных мер против Китая не последовало.
«Никакая отдельная мера не может изменить поведение Китая в киберпространстве, и никакая отдельно взятая страна не может действовать здесь в одиночку, — пояснил высокопоставленный чиновник администрации Байдена в ходе общения с прессой по телефону. — Вначале мы намерены подключить к этому другие страны. И мы не исключаем дальнейшие действия по привлечению КНР к ответственности».
Следующим шагом должно стать введение санкций против китайских акторов за их ничем не сдерживаемый и угрожающий всем взлом серверов Microsoft Exchange, говорит Дмитрий Альперович, соучредитель и бывший директор по технологии компании CrowdStrike. «Санкции уже применялись практически против всех других государств, угрожающих международной кибербезопасности, и неиспользование их против Китая является очевидным упущением», — написал Альперович в своем Твиттере в понедельник.
Microsoft приписывала атаку на локальные экземпляры Exchange Server в марте китайской хакерской группе Hafnium, спонсируемой государством. Используя уязвимости Microsoft Exchange, хакеры скомпрометировали десятки тысяч компьютеров и сетей по всему миру, что привело к значительным затратам на устранение причиненного вреда, главным образом компаниям частного сектора, заявляет администрация Байдена.
«Эти заявления, указывающие на источник атак, помогут международному сообществу привлечь к ответственности тех, кто стоит за атаками, — заявил Том Бёрт (Tom Burt), корпоративный вице-президент Microsoft по безопасности и доверию клиентов. — Правительства стран, участвующих в расследовании, сделали важный и позитивный шаг, который внесет вклад в нашу коллективную безопасность».
По словам чиновника из администрации Байдена, Министерство госбезопасности Китая нанимает хакеров для кибервымогательства, кибервзлома и киберворовства по всему миру. Акторы, связанные с министерством, уже потребовали большую сумму выкупа у американской компании, сообщил он.
«Ответственные государства не ставят под угрозу всю глобальную сетевую безопасность и не укрывают заведомых киберпреступников, не говоря уже о том, чтобы их финансировать или сотрудничать с ними, — заявил Госсекретарь США Энтони Блинкен. — Эти нанятые государством хакеры обходятся правительствам стран и компаниям в миллиарды долларов украденной интеллектуальной собственности, выплат выкупа и мер по снижению киберрисков».
В рамках совместных рекомендаций Агентство национальной безопасности США (АНБ), Агентство кибербезопасности и инфраструктурной безопасности США (CISA) и ФБР раскрыли более 50 тактик, приемов и процедур, использованных китайскими акторами на службе государства в ходе прицельных атак на сети организаций в США и их союзников.
Финансируемые китайским правительством акторы нацеливают свои атаки на персонал и организации в политической, экономической, военной и образовательной сфере и на критически важную инфраструктуру в США, говорится в документе, опубликованном в понедельник. Акторы, связанные с властями Китая, в течение уже нескольких лет пытаются завладеть интеллектуальной собственностью американских ИТ-компаний и передать ее властям Китая, указывает CISA.
Китайские акторы пытаются замаскировать свои действия, используя серию чередуемых виртуальных частных серверов (VPS) и обычные свободные или коммерческие инструменты проникновения, сказано в рекомендациях. Киберакторы используют VPS в качестве зашифрованного прокси, а также устройства домашнего/малого офиса (SOHO) в качестве рабочих узлов, чтобы избежать обнаружения, говорится в документе.
Акторы методично сканируют целевые сети на предмет критических и существенных уязвимостей в течение нескольких дней после публичного сообщения о таковых, говорится в отчете. Во многих случаях китайские акторы стремятся использовать уязвимости в важных приложениях, таких как Pulse Secure, Apache, F5, Big-IP и продукты Microsoft, сообщает CISA.
Чтобы защититься от киберакторов, спонсируемых властями Китая, федеральные органы США призывают компании оперативно устанавливать патчи, устраняющие критические и существенные уязвимости, которые позволяют осуществить удаленное выполнение кода или DoS-атаку на доступном извне оборудовании. Необходимо также анализировать сигнатуры в сети и признаки целенаправленных атак, отслеживать новые темы и тактики фишинга и соответственно корректировать правила электронной почты, говорится в рекомендациях.
Организациям нужно придерживаться лучших практик по ограничению вложений в электронной почте и блокированию URL-адресов и доменов на основе их репутации, сказано в рекомендациях. Наконец, власти призвали установить антивирусное ПО и другие средства защиты клиентских устройств для автоматического обнаружения и предотвращения запуска вредоносных файлов.
«По оценке разведсообщества США, КНР представляет собой обширную и весьма реальную угрозу кибершпионажа, обладает значительными возможностями кибератак и являет собой угрозу растущего влияния, — подчеркивает CISA. — Китай использует кибероперации для достижения своих целей политического и экономического развития».
© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США