Об ответственности России за взлом SolarWinds
Декабрьская история со взломом программного продукта Orion для обеспечения безопасности IT-систем американской компании SolarWinds ожидаемо закончилась тем же, чем и началась – бездоказательными обвинениями в адрес России. Спустя два с лишним месяца не появилось ничего нового, всё то же «likely of Russian origin» («вероятно, это русские»), зато новая администрация рассматривает санкции против РФ.
Видимость убедительности обвинениям придают эксперты, в частности, Брэд Смит (Brad Smith), президент Microsoft, человек весьма компетентный в юриспруденции и политике. Он авторитетно заявляет: «Мы увидели важные доказательства, указывающие на российскую разведку, и не нашли никаких доказательств, которые ведут куда-либо ещё», добавляя про «как минимум 1000 инженеров», «за атакой стоит правительство» и т.п. с выводом «виновата Россия».
Сами доказательства не предъявляются. Попробуем восполнить пробел.
Пароль «solarwinds123» знаешь? Проходи!
Известно, что SolarWinds взломали, подменив обновления ПО (dll-файл) на сервере компании. Для этого не требовалось ни социальной инженерии, ни «1000 инженеров». Достаточно было посетить GitHub (ресурс для разработчиков, с 2018 года принадлежит Microsoft), где в течение полутора лет вплоть до ноября 2020 в открытом доступе лежал пароль доступа к FTP-серверу SolarWinds. Информация на сей счёт опубликована в декабре и не опровергалась.
Пароль оказался недопустимо слаб: solarwinds123. И это в компании, специализирующейся на кибербезопасности.
Среди пользователей продуктов SolarWinds 300 тысяч государственных, консалтинговых, телекоммуникационных, нефтегазовых и иных компаний в Северной Америке, Европе, Азии и на Ближнем Востоке. Из них пострадали 18 тысяч. В США Orion используют все виды вооружённых сил, АНБ, Госдепартамент, администрация президента.
Представитель ещё одной ИБ-компании, FireEye, ставшей жертвой взлома и обнаружившей его, заявляет: сложная техника нападения «заставила нас поверить (курсив наш – ред.), что это была атака, спонсируемая государством».
Reuters, однако, утверждает со ссылкой на свои источники, что доступ к серверам SolarWinds предлагался на подпольных форумах задолго до открытий, сделанных FireEye.
Россию в торговле паролями пока не обвинили.
Сообщается также о взломе учётных записей SolarWinds в сервисе Microsoft Office 365 и о том, что вредоносного кода в репозитории на взломанном сервере нет. Более всего это похоже на оправдание собственной халатности при выборе пароля для доступа к репозиторию и объяснение того, зачем к расследованию подключилась Microsoft.
Они знали
Не обвиняют Россию также и в нечестной торговле акциями FireEye, которое, весьма вероятно, имело место.
Сразу после того, как об инциденте с SolarWinds стало известно, Washington Post сообщила, что калифорнийские инвестиционные компании Silver Lake и Thoma Bravo продали акции SolarWinds на 158 и 128 миллионов долларов соответственно – за шесть дней до того, как FireEye объявил о взломе SolarWinds.
Silver Lake и Thoma Bravo владеют в общей сложности 70% SolarWinds и имеют шесть мест в совете директоров компании. Едва ли они могли не знать заранее, что от акций SolarWinds надо избавляться.
Через неделю SolarWinds потеряла 40% цены на бирже. SEC, комиссия по ценным бумагам и биржам США, обещала расследование.
Без России не обойтись
Итак.
- Взлом программного продукта Orion производства SolarWinds имел если не очевидной, то наиболее вероятной причиной возмутительную халатность компании, использовавшей примитивный пароль доступа к FTP-серверу, через который хакеры обеспечили загрузку подменённых обновлений ПО на компьютеры пользователей Orion – правительственных учреждений США в том числе.
- Ещё более вероятно, что инвесторы SolarWinds воспользовались инсайдерской, по сути, информацией об инциденте прежде, чем о нём узнали на бирже, и продали акции компании по цене намного выше честной.
- Сама SolarWinds то ли действительно не знала о взломе (в компании, где не умеют выбирать пароли, и это возможно), то ли сознательно его скрывала, до тех пор, пока об уязвимости не узнали в FireEye. Правда, с п.2. такое вяжется плохо.
Есть и четвёртый пункт, о котором выше не говорилось, имеющий более важное отношение к делу, чем русские хакеры: интересы американских спецслужб.
В своей книге «Орудия и Оружие. Обещания и опасности цифровой эпохи», вышедшей в 2019 году, Брэд Смит проговаривается, замечая, что уязвимость Windows, широко использованная для множества успешных атак, была кибероружием АНБ США: «Это …ещё один пример, почему накопление уязвимостей правительствами является такой проблемой. Это новая тенденция 2017 года. Мы уже ранее видели, как уязвимости, которые хранились в ЦРУ, оказались у WikiLeaks, а теперь видим, как сейчас эта новая уязвимость [Windows] украдена у АНБ и влияет на потребителей во всем мире». Ликвидацию уязвимости в 2017 Microsoft координировала с правительством.
Одного этого достаточно для гипотезы о том, что уязвимость в ПО SolarWinds, обнародованная в декабре, использовалась спецслужбами США Такая гипотеза гораздо более убедительна, нежели безапелляционные утверждения СМИ и связанных с американским правительством экспертов об ответственности за взлом России с её «как минимум 1000 инженеров».
Однако у такой гипотезы есть непреодолимый изъян: она не выгодна никому из участников представления. Для SolarWinds (и американской IT-индустрии вообще), для правительства США, для инвесторов, для нью-йоркской биржи очевидное объяснение инцидента попросту опасно.
Если правда лежит здесь – а очень похоже на то, что здесь её немало, – единственный приемлемый выход состоит в том, чтобы воззвать к помощи России. Пусть она отвечает за «solarwinds123», за инсайдеров, продавших акций на четверть миллиарда, за кибероружие АНБ и вообще за всё.
Не будь у России вооружённых сил, история взлома SolarWinds в руках американцев потянула бы на casus belli.
Использованы материалы исследования НТЦ ФГУП «ГРЧЦ».