Новый советник SolarWinds Алекс Стамос стал одним из первых публичных деятелей, которые приписали массовую хакерскую кампанию против SolarWinds российской Службе внешней разведки (СВР).
В четверг Стамос заявил, что SVR — также известный как APT29 или Cozy Bear — отлично заметает следы и незаметно получает информацию от жертв, так что она остается незамеченной. Стамос, который был директором по безопасности Facebook, начал в прошлом месяце в качестве независимого консультанта в SolarWinds, работая вместе с Крисом Кребсом, бывшим директором Агентства по кибербезопасности и безопасности инфраструктуры, чтобы помочь реагировать на кризисы.
«Одна из причин, по которой эта кампания длилась более года, заключается в том, что они [the SVR] — сказал Стамос во время беседы с Судхакаром Рамакришной, генеральным директором SolarWinds, в рамках вебинара, организованного SolarWinds.
[Related: SolarWinds CEO Confirms Office 365 Email ‘Compromise’ Played Role In Broad-Based Attack]
Представитель SolarWinds сказал, что Стамос высказал свою точку зрения, что во многом совпадает с тем, что говорят на рынке. Однако, по словам представителя SolarWinds, сама компания SolarWinds связывает атаку только с тем, что она была совершена высокоразвитым национальным государством.
Объединенная группа кибернетической координации (UCG) заявила 5 января, что Группа непрерывной передовой российской угрозы (APT), вероятно, стоит за недавней кибератакой на SolarWinds в целях сбора разведданных. UCG перестала обвинять во взломах определенную группу APT. Новый госсекретарь США Энтони Блинкин в четверг поднял вопрос об инциденте с Solarwinds с министром иностранных дел России Сергеем Лавровым.
SVR долгое время был подозреваемым во взломе SolarWinds. Вашингтон Пост Обвинение первым на его ногах 13 декабря основано на комментариях неназванных официальных лиц. Но Стамос Четверг стал одним из первых видных деятелей отрасли, которые публично обвинили СВР в атаке. Стамос сказал, что СВР обычно собирает разведданные, которые нельзя использовать немедленно или для проведения разрушительных атак.
13 декабря МИД России назвал свои утверждения о причастности к взлому как безосновательную попытку СМИ США обвинить Россию в кибератаках против агентств США. «Злонамеренная деятельность в информационном пространстве несовместима с принципами внешней политики России, национальными интересами и нашим пониманием межгосударственных отношений», — написало посольство России в США в Facebook.
Рамакришна сказал, что SolarWinds считает, что хакеров больше нет в его среде, основываясь на данных продолжающегося расследования компании, а также на изменениях и улучшениях, внесенных SolarWinds. «Мы сделали все возможное, чтобы наша среда была безопасной и надежной», — сказал Рамакришна.
Стамос сказал, что у злоумышленников, таких как SVR, есть штатные группы исследований и разработок, они создают совершенно новые пакеты вредоносных программ с нуля и имеют месяцы и месяцы для доступа к корпоративной среде. Стамос сказал, что на защиту от оппонента уйдет каждый день, и каждый день думать о том, как проникнуть в конкретную организацию, требует другого подхода.
«Суровая правда, с которой каждый должен согласиться, заключается в том, что если у вас есть организация любой степени сложности … и вы столкнетесь с таким противником, вы не сможете помешать ему изначально войти в вашу сеть», — сказал Стамос. «Это практически невозможно».
Вместо этого, сказал Стамос, организациям необходимо поставить себя на место врага и подумать о том, что будет составлять успешную кампанию противника против их действий. По словам Стамоса, это может варьироваться от кражи данных компании до внедрения чего-то вредоносного в продукты, которые компания поставляет клиентам, до взлома систем и нарушения операций от имени конкурента.
По словам Стамоса, когда имеешь дело со сложным противником, таким как SVR, организациям следует быстро реагировать. По словам Стамоса, в течение 12–24 часов после получения предупреждения организации должны иметь углубленного аналитика собранных доказательств, в идеале в одном центре.
«Остановить первоначальное вторжение и первоначальное внедрение вредоносного кода в вашу среду невозможно», — сказал Стамос. «Это не означает, что вы не хотите усложнять ситуацию. Но вы не можете построить всю свою защиту, рассчитывая, что атакующие останутся в стороне».
