В хакерской атаке на республиканцев в США увидели русский след

Предполагается, что за взломом могла стоять хакерская группировка APT29 или Cozy Bear, которой в США приписывают связь со Службой внешней разведки России. Атака была совершена на минувшей неделе на фоне более масштабной операции русскоязычной хакерской группировки REvil.

Хакерская группировка, которую подозревают в связях с российской Службой внешней разведки, взломала компьютерные сети Национального комитета Республиканской партии (RNC). Об этом сообщает Bloomberg со ссылкой на двух собеседников, знакомых с ходом расследования кибератаки. 

По их словам, взлом произошел примерно в то же время, когда другая хакерская группа начала атаку программ-вымогателей на сети компаний по всему миру. Источники агентства утверждают, что за взломом систем республиканского Национального комитета стоит группа, известная как APT 29 или Cozy Bear. В 2016 году именно эта группировка обвинялась во взломе компьютеров Национального комитета Демократической партии. В конце прошлого года ей приписали организацию кибератаки с использованием софта компании SolarWinds, тогда хакерам удалось проникнуть в сети девяти правительственных учреждений США. Неизвестно, какие данные просмотрели или украли хакеры. Представитель RNC во вторник отрицал, что системы комитета были взломаны. «Microsoft сообщила нам, что системы одного из наших поставщиков Synnex, возможно, были скомпрометированы», — сказал представитель RNC Майк Рид. «Нет никаких признаков того, что RNC был взломан или какая-либо информация RNC была украдена. Мы расследуем это дело и проинформировали Министерство внутренних дел и ФБР», — отметил он. 

Пока неясно, связана ли атака на RNC каким-либо образом с атаками программ-вымогателей, которые использовали множество ранее неизвестных уязвимостей в программном обеспечении компании Kaseya из Майами. По словам источников агентства, хакеры атаковали RNC через программное обеспечение Synnex из калифорнийского Фримонта. Synnex сообщила, что ей известно «о нескольких случаях, когда внешние субъекты пытались получить доступ через Synnex к клиентским приложениям в облачной среде Microsoft». «Поскольку наше расследование продолжается, мы не можем предоставить никаких конкретных подробностей», — сказал агентству Майкл Урбан, президент отдела распространения глобальных технологических решений Synnex. По его словам, окончательные выводы будут сделаны только после полного исследования «всех компаний, систем, сторонних приложений и связанных с ними IT-решений». 

Российские хакеры воспользовались хаосом, созданным глобальной кампанией вымогателей, чтобы атаковать ценные разведывательные цели, сказал один из собеседников. Атака вымогателей, которую эксперты по кибербезопасности приписали связанной с Россией группе под названием REvil, возможно, затронула более 1000 жертв. Kaseya предоставляет программное обеспечение для управляемых поставщиков услуг, которые, в свою очередь, предлагают IT-услуги малому и среднему бизнесу. REvil потребовала $70 млн в биткоине, чтобы разблокировать компьютеры жертв, согласно экспертам по кибербезопасности, которые изучили объявление на сайте группы. По данным Kaseya, атакой были скомпрометированы менее 60 клиентов, они использовали локальный продукт VSA. «В то время как многие из этих клиентов предоставляют IT-услуги нескольким другим компаниям, мы понимаем, что общее влияние до сих пор было менее чем на 1500 предприятий нижнего уровня», — заявила компания.

Старший вице-президент Mandiant (входит в компанию по кибербезопасности FireEye) Чарльз Кармакал сказал, что его эксперты наблюдали за хакерами, совершавшими взломы в последние дни, хотя он отказался идентифицировать жертв. Кармакал сообщил, что у него нет непосредственных сведений о взломе RNC.  «Без сомнения, российское правительство абсолютно выигрывает от того, что охранные компании и разведывательные организации сейчас так сосредоточены на вымогателях. Но вопрос в том, дает ли российское правительство молчаливое одобрение операторам вымогателей или они дают инструкции? Я не знаю», — рассказал собеседник агентства. Он отказался связать взлом RNC и кибератаку: «Я знаю, что происходит и то, и другое, это факт, я просто не знаю почему».