Документи FOIA свідчать: злам SolarWinds викрив усі адреси електронної пошти Treasury.gov

Документи FOIA свідчать: злам SolarWinds викрив усі адреси електронної пошти Treasury.gov

Документи, отримані в результаті позову за Законом про свободу інформації, додали тривожну нову сторінку до історії зламу SolarWinds 2020 року. Згідно з новиними записами, зловмисники не просто проникли в кілька облікових записів Міністерства фінансів США. Вони отримали доступ настільки глибокий, що потенційно міг викрити кожну адресу електронної пошти, що закінчується на treasury.gov. Повний масштаб витоку урядових даних через злам SolarWinds виявився ще ширшим, ніж офіційно визнавали посадовці.

Що насправді розкрили документи FOIA про доступ до систем Міністерства фінансів

Коли про злам SolarWinds вперше стало відомо наприкінці 2020 року, урядові заяви визнавали вторгнення в загальних рисах, не уточнюючи, наскільки глибоко зловмисники проникли в федеральні системи. Нові документи FOIA суттєво змінюють цю картину.

Записи свідчать, що хакери, яких переважно пов’язують зі Службою зовнішньої розвідки Росії (СЗР), отримали такий рівень доступу до поштової інфраструктури Міністерства фінансів, який дозволяв їм переглядати або збирати всі адреси, що використовують домен treasury.gov. Це виходить далеко за межі компрометації частини поштових скриньок. Це вказує на те, що зловмисники мали видимість на рівні адміністратора в поштове середовище відомства, тобто могли ідентифікувати кожен обліковий запис і, ймовірно, його вміст в одному з найчутливіших агентств уряду США.

Такий вид доступу має наслідки далеко за межами викраденого листування. Каталоги електронної пошти можуть розкривати організаційні структури, визначати ключових співробітників і слугувати картою для подальших фішингових кампаній або цілеспрямованого збору розвідувальної інформації.

Чому атака на ланцюг постачання відрізняється від звичайного зламу

Щоб зрозуміти, чому це порушення було настільки важко виявити і настільки руйнівним за масштабом, варто розібратися в методі атаки. Це не був випадок, коли хакери вгадували слабкі паролі або використовували невиправлену вразливість сервера. Атака SolarWinds стала хрестоматійним прикладом атаки на ланцюг постачання, тобто зловмисники скомпрометували довіреного постачальника програмного забезпечення і використали його легітимний механізм оновлень, щоб доставити шкідливий код безпосередньо клієнтам.

SolarWinds випускала програмне забезпечення для управління мережами Orion, яке широко використовувалося як у федеральних установах, так і в приватних компаніях. Коли зловмисники впровадили своє шкідливе програмне забезпечення в чергове оновлення Orion, кожна організація, яка встановила це оновлення, фактично відчинила двері для вторгнення. Засоби безпеки, які зазвичай сповіщають про підозрілу активність, не мали підстав для тривоги, оскільки шкідливий код надійшов у вигляді довіреного, підписаного пакета програмного забезпечення.

Саме це робить атаки на ланцюг постачання настільки небезпечними порівняно зі звичайними зламами. Плацдарм зловмисника створюється не через пролом у власному захисті цілі, а через довірену третю сторону, якій ціль не має практичних підстав не довіряти.

Як скомпрометовані урядові системи наражають на ризик дані громадян

Інстинктивною реакцією на злам Міністерства фінансів може бути ставлення до нього як до проблеми уряду, відокремленої від повсякденної приватності. Така оцінка недооцінює масштаб витоку.

Федеральні установи зберігають величезні обсяги даних громадян: податкові записи, фінансові звіти, інформацію про працевлаштування, заявки на отримання допомоги тощо. Коли зловмисники отримують доступ на рівні адміністратора до поштового середовища такого агентства, як Міністерство фінансів, вони можуть перехоплювати внутрішню комунікацію про аудити, розслідування та політичні рішення. Вони можуть визначити, які посадовці курують які програми, — інформацію, яку можна використати для створення надзвичайно переконливих фішингових електронних листів, націлених на інші агентства або навіть на приватних осіб, пов’язаних із поточними урядовими справами.

Окрім цілеспрямованих подальших атак, є ще й розвідувальна цінність. Знання того, хто працює в Міністерстві фінансів, якими програмами вони керують і хто з ким спілкується, є справді корисним для іноземної розвідувальної служби, і для отримання цієї цінності зловмисникам навіть не потрібно розшифровувати жодного зашифрованого файлу.

Що можуть і чого не можуть зробити свідомі щодо приватності користувачі, щоб захистити себе

Саме тут витік урядових даних через злам SolarWinds ставить індивідуальних користувачів перед неприємною реальністю. Приватний громадянин практично нічого не може зробити, щоб завадити іноземній розвідувальній службі скомпрометувати внутрішню поштову інфраструктуру федерального агентства.

VPN захищає ваш власний трафік. Надійні паролі та двофакторна автентифікація захищають ваші особисті облікові записи. Наскрізне шифрування повідомлень захищає ваші приватні розмови. Жоден із цих заходів жодним чином не впливає на те, чи було скомпрометовано постачальника програмного забезпечення, якому довіряє федеральний уряд, або чи проникли до урядового агентства, яке зберігає ваші дані, через канал оновлень цього постачальника.

Це не аргумент на користь фаталізму. Це аргумент на користь чіткого розуміння того, для чого насправді призначені різні інструменти. Інструменти особистої приватності вирішують проблеми особистої поверхні атаки. Системні вразливості в урядовій або корпоративній інфраструктурі потребують системних заходів: суворого аудиту безпеки постачальників, архітектур із нульовою довірою, обов’язкових термінів розкриття інформації про витоки та законодавчого нагляду з реальними важелями впливу.

Для окремих осіб найкориснішою реакцією є бути поінформованим про те, які дані зберігають урядові установи, звертати увагу на повідомлення про витоки, коли вони надходять, і бути особливо скептичним щодо небажаних повідомлень, які з’являються нібито з урядових джерел після будь-якого повідомленого зламу.

Що це означає для вас

Нововиявлений масштаб зламу Міністерства фінансів нагадує, що захист персональних даних існує в ширшій екосистемі, яку окремі особи не контролюють. Ваші власні практики безпеки мають значення. Але так само має значення й рівень безпеки кожної установи, яка зберігає дані про вас.

Злам SolarWinds не був одноразовою аномалією. Він оголив структурну слабкість у тому, як довіряють ланцюгам постачання програмного забезпечення та як розкривають інформацію про витоки. Розуміння цього контексту є важливим для всіх, хто відстежує, як загрози державного рівня перетворюються на реальні ризики для приватності. Почніть із формування міцного розуміння того, як працюють атаки на ланцюг постачання і чому їх так важко відбити на рівні окремої особи. Це знання зробить ваше сприйняття гострішим під час читання кожної подібної історії, що з’явиться в майбутньому.