Документы, полученные по FOIA, раскрывают, что взлом SolarWinds скомпрометировал все письма Treasury.gov

Документы, полученные по FOIA, раскрывают, что взлом SolarWinds скомпрометировал все письма Treasury.gov

Документы, полученные в результате судебного иска по Закону о свободе информации (FOIA), добавили тревожную новую главу в историю взлома SolarWinds 2020 года. Согласно вновь появившимся записям, злоумышленники не просто проникли в несколько учетных записей Министерства финансов США. Они получили доступ настолько глубокий, что потенциально могли раскрыть каждый адрес электронной почты, оканчивающийся на treasury.gov. Оказывается, полный масштаб раскрытия государственных данных в результате взлома SolarWinds был даже шире, чем официально признавали власти.

Что именно раскрыли документы FOIA о доступе к системам Минфина

Когда о взломе SolarWinds впервые стало известно в конце 2020 года, правительственные заявления признавали вторжение в общих чертах, избегая подробностей о том, насколько глубоко злоумышленники проникли в федеральные системы. Новые документы FOIA существенно меняют эту картину.

Записи указывают на то, что хакеры, которых повсеместно связывают со Службой внешней разведки России (СВР), достигли такого уровня доступа к инфраструктуре электронной почты Министерства финансов, который позволил бы им просматривать или собирать все адреса, работающие в домене treasury.gov. Это больше, чем компрометация части почтовых ящиков. Это предполагает, что злоумышленники имели видимость на уровне администратора в почтовой среде ведомства, а значит, могли идентифицировать каждый аккаунт и, вероятно, его содержимое, в одном из самых чувствительных ведомств правительства США.

Такой доступ имеет последствия, выходящие далеко за рамки украденной переписки. Каталоги электронной почты способны раскрывать организационные структуры, выявлять ключевых сотрудников и служить картой для последующих фишинговых кампаний или целевого сбора разведданных.

Почему атака на цепочку поставок отличается от обычного взлома

Чтобы понять, почему этот взлом было так трудно обнаружить и настолько масштабным по ущербу, полезно разобраться в методе атаки. Это не был случай, когда хакеры подбирали слабые пароли или эксплуатировали необновленный сервер. Атака SolarWinds была классической атакой на цепочку поставок, то есть противники скомпрометировали доверенного поставщика программного обеспечения и использовали его легитимный механизм обновлений, чтобы доставить вредоносный код напрямую клиентам.

SolarWinds выпускала программное обеспечение для управления сетью под названием Orion, которое широко использовалось как в федеральных агентствах, так и в частных компаниях. Когда злоумышленники внедрили свое вредоносное ПО в рутинное обновление Orion, каждая организация, установившая это обновление, по сути, впустила вторжение через парадный вход. У средств безопасности, которые обычно сигнализируют о подозрительной активности, не было причин поднимать тревогу, поскольку вредоносный код прибыл завернутым в доверенный, подписанный пакет программ.

Именно это делает атаки на цепочку поставок такими опасными по сравнению с обычными взломами. Злоумышленник закрепляется не через брешь в собственной защите цели, а через доверенную третью сторону, которой у цели нет практических причин не доверять.

Как скомпрометированные правительственные системы ставят под угрозу данные граждан

Первая реакция на взлом Министерства финансов может быть такой: считать это проблемой правительства, не связанной с личной приватностью. Такая оценка недооценивает масштаб раскрытия информации.

Федеральные агентства хранят огромные объемы данных граждан: налоговые отчеты, финансовые декларации, сведения о занятости, заявления на получение пособий и многое другое. Когда злоумышленники получают доступ уровня администратора к почтовой среде такого агентства, как Минфин, они могут перехватывать внутренние коммуникации об аудитах, расследованиях и политических решениях. Они могут выяснить, какие чиновники курируют какие программы — информацию, которую можно использовать для создания весьма убедительных целевых фишинговых писем, направленных на другие ведомства или даже на частных лиц, связанных с текущими государственными делами.

Помимо целенаправленных последующих атак, есть еще и разведывательная ценность. Знать, кто работает в Минфине, какие программы они курируют и кто с кем общается, действительно полезно для иностранной разведывательной службы, и для этой ценности злоумышленникам вовсе не обязательно взламывать хотя бы один зашифрованный файл.

Что пользователи, заботящиеся о приватности, могут и чего не могут сделать для своей защиты

Именно здесь раскрытие государственных данных из-за взлома SolarWinds ставит отдельных пользователей перед неудобной реальностью. Частный гражданин по сути ничего не может сделать, чтобы помешать иностранной разведывательной службе скомпрометировать внутреннюю почтовую инфраструктуру федерального агентства.

Использование VPN защищает ваш собственный трафик. Надежные пароли и двухфакторная аутентификация защищают ваши личные аккаунты. Сквозное шифрование сообщений защищает ваши частные разговоры. Ни одна из этих мер никак не влияет на то, был ли скомпрометирован поставщик программного обеспечения, которому доверяет федеральное правительство, или было ли проникнуто в правительственное агентство, хранящее записи о вас, через канал обновлений этого поставщика.

Это не аргумент в пользу фатализма. Это аргумент в пользу ясности о том, для чего на самом деле предназначены разные инструменты. Инструменты личной приватности работают с личными поверхностями атаки. Системные уязвимости в государственной или корпоративной инфраструктуре требуют системных ответов: строгих аудитов безопасности поставщиков, архитектур нулевого доверия, обязательных сроков раскрытия информации о взломах и законодательного надзора с реальными полномочиями.

Для частных лиц наиболее полезный ответ — оставаться в курсе того, какие данные хранят государственные органы, обращать внимание на уведомления о взломах, когда они приходят, и проявлять особую скептичность к незапрошенным сообщениям, которые якобы исходят от государственных источников после любого заявленного взлома.

Что это означает для вас

Вновь раскрытый масштаб взлома Минфина служит напоминанием о том, что защита персональных данных существует внутри более широкой экосистемы, которую отдельные люди не контролируют. Ваши собственные практики безопасности имеют значение. Но не меньшее значение имеет и уровень безопасности каждого учреждения, которое хранит данные о вас.

Взлом SolarWinds не был единичной аномалией. Он обнажил структурную слабость в том, как оказывается доверие цепочкам поставок программного обеспечения и как раскрываются взломы. Понимание этого контекста необходимо каждому, кто отслеживает, как угрозы государственного уровня превращаются в реальные риски для приватности. Начните с формирования прочного понимания того, как работают атаки на цепочку поставок и почему от них так трудно защититься на индивидуальном уровне. Этот фундамент обострит ваше восприятие каждой подобной истории в будущем.