Об ответственности России за взлом SolarWinds

Декабрьская история со взломом программного продукта Orion для обеспечения безопасности IT-систем американской компании SolarWinds ожидаемо закончилась тем же, чем и началась – бездоказательными обвинениями в адрес России. Спустя два с лишним месяца не появилось ничего нового, всё то же «likely of Russian origin» («вероятно, это русские»), зато новая администрация рассматривает санкции против РФ.

Видимость убедительности обвинениям придают эксперты, в частности, Брэд Смит (Brad Smith), президент Microsoft, человек весьма компетентный в юриспруденции и политике. Он авторитетно заявляет: «Мы увидели важные доказательства, указывающие на российскую разведку, и не нашли никаких доказательств, которые ведут куда-либо ещё», добавляя про «как минимум 1000 инженеров», «за атакой стоит правительство» и т.п. с выводом «виновата Россия».

Сами доказательства не предъявляются. Попробуем восполнить пробел.

Пароль «solarwinds123» знаешь? Проходи!

Известно, что SolarWinds взломали, подменив обновления ПО (dll-файл) на сервере компании. Для этого не требовалось ни социальной инженерии, ни «1000 инженеров». Достаточно было посетить GitHub (ресурс для разработчиков, с 2018 года принадлежит Microsoft), где в течение полутора лет вплоть до ноября 2020 в открытом доступе лежал пароль доступа к FTP-серверу SolarWinds. Информация на сей счёт опубликована в декабре и не опровергалась.

Пароль оказался недопустимо слаб: solarwinds123. И это в компании, специализирующейся на кибербезопасности.

Среди пользователей продуктов SolarWinds 300 тысяч государственных, консалтинговых, телекоммуникационных, нефтегазовых и иных компаний в Северной Америке, Европе, Азии и на Ближнем Востоке. Из них пострадали 18 тысяч. В США Orion используют все виды вооружённых сил, АНБ, Госдепартамент, администрация президента.

Представитель ещё одной ИБ-компании, FireEye, ставшей жертвой взлома и обнаружившей его, заявляет: сложная техника нападения «заставила нас поверить (курсив наш – ред.), что это была атака, спонсируемая государством».

Reuters, однако, утверждает со ссылкой на свои источники, что доступ к серверам SolarWinds предлагался на подпольных форумах задолго до открытий, сделанных FireEye.

Россию в торговле паролями пока не обвинили.

Сообщается также о взломе учётных записей SolarWinds в сервисе Microsoft Office 365 и о том, что вредоносного кода в репозитории на взломанном сервере нет. Более всего это похоже на оправдание собственной халатности при выборе пароля для доступа к репозиторию и объяснение того, зачем к расследованию подключилась Microsoft.

Они знали

Не обвиняют Россию также и в нечестной торговле акциями FireEye, которое, весьма вероятно, имело место.

Сразу после того, как об инциденте с SolarWinds стало известно, Washington Post сообщила, что калифорнийские инвестиционные компании Silver Lake и Thoma Bravo продали акции SolarWinds на 158 и 128 миллионов долларов соответственно – за шесть дней до того, как FireEye объявил о взломе SolarWinds.

Silver Lake и Thoma Bravo владеют в общей сложности 70% SolarWinds и имеют шесть мест в совете директоров компании. Едва ли они могли не знать заранее, что от акций SolarWinds надо избавляться.

Через неделю SolarWinds потеряла 40% цены на бирже. SEC, комиссия по ценным бумагам и биржам США, обещала расследование.

Без России не обойтись

Итак.

  1. Взлом программного продукта Orion производства SolarWinds имел если не очевидной, то наиболее вероятной причиной возмутительную халатность компании, использовавшей примитивный пароль доступа к FTP-серверу, через который хакеры обеспечили загрузку подменённых обновлений ПО на компьютеры пользователей Orion – правительственных учреждений США в том числе.
  2. Ещё более вероятно, что инвесторы SolarWinds воспользовались инсайдерской, по сути, информацией об инциденте прежде, чем о нём узнали на бирже, и продали акции компании по цене намного выше честной.
  3. Сама SolarWinds то ли действительно не знала о взломе (в компании, где не умеют выбирать пароли, и это возможно), то ли сознательно его скрывала, до тех пор, пока об уязвимости не узнали в FireEye. Правда, с п.2. такое вяжется плохо.

Есть и четвёртый пункт, о котором выше не говорилось, имеющий более важное отношение к делу, чем русские хакеры: интересы американских спецслужб.

В своей книге «Орудия и Оружие. Обещания и опасности цифровой эпохи», вышедшей в 2019 году, Брэд Смит проговаривается, замечая, что уязвимость Windows, широко использованная для множества успешных атак, была кибероружием АНБ США: «Это …ещё один пример, почему накопление уязвимостей правительствами является такой проблемой. Это новая тенденция 2017 года. Мы уже ранее видели, как уязвимости, которые хранились в ЦРУ, оказались у WikiLeaks, а теперь видим, как сейчас эта новая уязвимость [Windows] украдена у АНБ и влияет на потребителей во всем мире». Ликвидацию уязвимости в 2017 Microsoft координировала с правительством.

Одного этого достаточно для гипотезы о том, что уязвимость в ПО SolarWinds, обнародованная в декабре, использовалась спецслужбами США Такая гипотеза гораздо более убедительна, нежели безапелляционные утверждения СМИ и связанных с американским правительством экспертов об ответственности за взлом России с её «как минимум 1000 инженеров».

Однако у такой гипотезы есть непреодолимый изъян: она не выгодна никому из участников представления. Для SolarWinds (и американской IT-индустрии вообще), для правительства США, для инвесторов, для нью-йоркской биржи очевидное объяснение инцидента попросту опасно.

Если правда лежит здесь – а очень похоже на то, что здесь её немало, – единственный приемлемый выход состоит в том, чтобы воззвать к помощи России. Пусть она отвечает за «solarwinds123», за инсайдеров, продавших акций на четверть миллиарда, за кибероружие АНБ и вообще за всё.

Не будь у России вооружённых сил, история взлома SolarWinds в руках американцев потянула бы на casus belli.

Использованы материалы исследования НТЦ ФГУП «ГРЧЦ».

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: