Подозреваемые российские хакеры шпионили за электронной почтой Министерства финансов США — источники
Кристофер Бинг людям, знакомым с этим вопросом, добавив, что они опасаются, что обнаруженные до сих пор взломы могут быть верхушкой айсберга.
ФОТОГРАФИЯ: мужчина в капюшоне держит портативный компьютер, когда на него проецируется киберкод на этом иллюстративном снимке, сделанном 13 мая 2017 года. REUTERS/Kacper Pempel/Illustration
Взлом настолько серьезен, что в субботу в Белом доме состоялось заседание Совета национальной безопасности, сказал один из людей, знакомых с этим вопросом.
Официальные лица США не говорили публично, кроме того, что Министерство торговли подтвердило, что в одном из его агентств была утечка информации, и что они обратились в Агентство по кибербезопасности и безопасности инфраструктуры и ФБР с просьбой провести расследование.
Представитель Совета национальной безопасности Джон Уллиот добавил, что они «принимают все необходимые меры для выявления и устранения любых возможных проблем, связанных с этой ситуацией».
Правительство США публично не определило, кто может стоять за взломом, но трое людей, знакомых с ходом расследования, заявили, что Россия в настоящее время считается ответственной за атаку. Двое из этих людей заявили, что взломы связаны с широкой кампанией, которая также включала недавно раскрытый взлом FireEye, крупной американской компании по кибербезопасности с государственными и коммерческими контрактами.
В заявлении, опубликованном здесь в Facebook, министерство иностранных дел России охарактеризовало обвинения как еще одну необоснованную попытку американских СМИ обвинить Россию в кибератаках на агентства США.
Считается, что кибершпионы проникли внутрь, тайно подделав обновления, выпущенные ИТ-компанией SolarWinds, которая обслуживает правительственных заказчиков в исполнительной власти, вооруженных силах и разведывательных службах, по словам двух человек, знакомых с этим вопросом. Уловка, которую часто называют «атакой на цепочку поставок», заключается в сокрытии вредоносного кода в теле законных обновлений программного обеспечения, предоставляемых целям третьими сторонами.
В заявлении, опубликованном поздно вечером в воскресенье, компания из Остина, штат Техас, заявила, что обновления ее программного обеспечения для мониторинга, выпущенные в период с марта по июнь этого года, могли быть подорваны тем, что она описала как «сложную, целенаправленную и ручную поставку». цепная атака со стороны национального государства».
Компания отказалась сообщить какие-либо подробности, но разнообразие клиентской базы SolarWind вызвало обеспокоенность в разведывательном сообществе США по поводу того, что другие правительственные учреждения могут быть в опасности, по словам четырех человек, проинформированных по этому вопросу.
Связанное покрытие
Компания SolarWinds сообщает на своем веб-сайте, что ее клиентами являются большинство американских компаний из списка Fortune 500, 10 ведущих поставщиков телекоммуникационных услуг США, все пять подразделений вооруженных сил США, Государственный департамент, Агентство национальной безопасности и Управление Президент Соединенных Штатов.
«КРУПНАЯ КИБЕРШПИОНСКАЯ КАМПАНИЯ»
Взлом представляет собой серьезную проблему для новой администрации избранного президента Джо Байдена, поскольку официальные лица выясняют, какая информация была украдена, и пытаются выяснить, для чего она будет использоваться. Нередки случаи, когда крупномасштабные киберрасследования занимают месяцы или годы.
«Это гораздо большая история, чем одно агентство», — сказал один из людей, знакомых с этим вопросом. «Это масштабная кампания кибершпионажа, направленная против правительства США и его интересов».
Хакеры взломали офисное программное обеспечение NTIA, Microsoft Office 365. По словам источников, хакеры в течение нескольких месяцев отслеживали электронную почту сотрудников агентства.
Представитель Microsoft не ответил на запрос о комментариях. Как и представитель Минфина.
Хакеры «очень изощренные» и смогли обмануть элементы управления аутентификацией платформы Microsoft, по словам человека, знакомого с инцидентом, который говорил на условиях анонимности, поскольку им не разрешили говорить с прессой.
«Это национальное государство», — сказал другой человек, проинформированный по этому вопросу.
Полный масштаб нарушения неясен. По словам трех человек, знакомых с этим вопросом, расследование все еще находится на ранней стадии и в нем участвует ряд федеральных агентств, включая ФБР.
Представитель Агентства кибербезопасности и безопасности инфраструктуры сказал, что они «тесно сотрудничают с нашими партнерами по агентствам в отношении недавно обнаруженной активности в правительственных сетях. CISA оказывает техническую помощь пострадавшим организациям, поскольку они работают над выявлением и устранением любых потенциальных компрометаций».
ФБР и Агентство национальной безопасности США не ответили на запрос о комментариях.
Есть некоторые признаки того, что компрометация электронной почты в NTIA началась этим летом, хотя, по словам высокопоставленного американского чиновника, она была обнаружена совсем недавно.
Отчеты Кристофера Бинга, Джека Стаббса, Джозефа Менна и Рафаэля Саттера; Под редакцией Криса Сандерса, Дэниела Уоллиса и Дайан Крафт
США обвиняют российских офицеров ФСБ и их преступных сообщников во взломе Yahoo и миллионов учетных записей электронной почты | ОПА
Большое жюри Северного округа Калифорнии предъявило обвинения четырем подсудимым, в том числе двум офицерам Федеральной службы безопасности (ФСБ), во взломе компьютеров, экономическом шпионаже и других уголовных преступлениях, связанных с заговором, начиная с января 2014 года.
для доступа к сети Yahoo и содержимому учетных записей веб-почты. Ответчиками являются Дмитрий Александрович Докучаев, 33 года, гражданин России, постоянно проживающий; Игорь Анатольевич Сущин, 43 года, гражданин России, постоянный житель; Алексей Алексеевич Белан, он же «Магг», 29 лет., гражданин России и резидент; и Карим Баратов, он же «Кей», «Карим Таловеров» и «Карим Акехмет Токбергенов», 22 года, гражданин Канады и житель Канады.
Ответчики использовали несанкционированный доступ к системам Yahoo для кражи информации примерно с 500 миллионов учетных записей Yahoo, а затем использовали часть этой украденной информации для получения несанкционированного доступа к содержимому учетных записей Yahoo, Google и других поставщиков веб-почты, включая учетные записи Российские журналисты, государственные служащие США и России, а также частные сотрудники финансовых, транспортных и других компаний. Один из ответчиков также использовал свой доступ к сети Yahoo для своей личной финансовой выгоды, выполняя поиск номеров счетов кредитных и подарочных карт в сообщениях пользователей Yahoo, перенаправляя подмножество веб-трафика поисковой системы Yahoo, чтобы он мог получать комиссионные, и позволяя кража контакты не менее 30 миллионов учетных записей Yahoo для проведения спам-кампании.
Обвинения были оглашены генеральным прокурором Министерства юстиции США Джеффом Сешнсом, директором ФБР Джеймсом Коми, исполняющей обязанности помощника генерального прокурора по национальной безопасности Мэри МакКорд, прокурором США Брайаном Стретчем в Северном округе Калифорнии и исполнительным помощником директора Полом. Аббат отдела криминалистики, кибербезопасности, реагирования и услуг ФБР.
«Киберпреступность представляет серьезную угрозу безопасности и процветанию нашей страны, и это одна из крупнейших утечек данных в истории», — заявил генеральный прокурор Сешнс. «Но благодаря неустанным усилиям прокуроров и следователей США, а также наших канадских партнеров, сегодня мы установили четырех лиц, в том числе двух сотрудников ФСБ России, ответственных за несанкционированный доступ к учетным записям миллионов пользователей. Соединенные Штаты будут энергично расследовать и преследовать лиц, стоящих за такими атаками, по всей строгости закона».
«Сегодня мы продолжаем приоткрывать завесу анонимности, связанную с киберпреступлениями, — сказал директор Коми.
«Рассматриваемое преступное поведение, совершенное и иным образом содействующее сотрудникам подразделения ФСБ, которое служит контактным лицом ФБР в Москве по вопросам киберпреступности, выходит за рамки допустимого», — заявил исполняющий обязанности помощника генерального прокурора МакКорд. «В очередной раз Департамент и ФБР продемонстрировали, что хакеры по всему миру могут и будут разоблачены и привлечены к ответственности. Государственные деятели могут использовать обычных преступников для доступа к нужным им данным, но обвинительный акт показывает, что наши компании не должны противостоять этой угрозе в одиночку. Мы благодарим Yahoo и Google за их постоянное и бесценное сотрудничество в расследовании, направленном на обеспечение справедливости и защиту конфиденциальности их пользователей».
«Это очень сложное расследование очень сложной угрозы. Это подчеркивает ценность раннего, активного взаимодействия и сотрудничества между частным сектором и правительством», — сказал исполнительный помощник директора Аббате.
«Компьютерная инфраструктура Силиконовой долины предоставляет средства, с помощью которых люди во всем мире общаются друг с другом в деловой и личной жизни. Конфиденциальность и безопасность этих сообщений должны регулироваться верховенством закона, а не прихотью преступных хакеров и тех, кто их нанимает. Люди справедливо ожидают, что их общение через интернет-провайдеров Силиконовой долины останется конфиденциальным, если иное не предусмотрено законом. Мы не потерпим несанкционированных и незаконных вторжений в компьютерную инфраструктуру Силиконовой долины, от которой зависят как частные лица, так и мировая экономика», — заявил прокурор США Стретч. «Тесно сотрудничая с Yahoo и Google, юристы Министерства юстиции и ФБР смогли выявить и разоблачить хакеров, ответственных за поведение, описанное сегодня, без необоснованного вмешательства в конфиденциальность украденных учетных записей.
Резюме обвинений
Согласно утверждениям обвинительного акта:
Подсудимые офицеры ФСБ Дмитрий Докучаев и Игорь Сущин защищали, направляли, помогали и платили хакерам-преступникам для сбора информации посредством компьютерных вторжений в США и других странах. В данном случае они работали с соответчиками Алексеем Беланом и Каримом Баратовым, чтобы получить доступ к учетным записям электронной почты тысяч людей.
Белану было публично предъявлено обвинение в сентябре 2012 г. и июне 2013 г., а в ноябре 2013 г. он был назван одним из самых разыскиваемых киберпреступников ФБР. Красное уведомление Интерпола о его немедленном задержании было направлено (в том числе в Россию) с 26 июля 2013 г. Белан был арестован в одной из европейских стран по запросу США в июне 2013 года, но ему удалось бежать в Россию до того, как его экстрадировали.
Вместо того, чтобы действовать в соответствии с «красным уведомлением» правительства США и задержать Белана после его возвращения, Докучаев и Сущин впоследствии использовали его для получения несанкционированного доступа к сети Yahoo.
Примерно в ноябре и декабре 2014 года Белан украл копию по крайней мере части базы данных пользователей Yahoo (UDB), коммерческой тайны Yahoo, которая содержала, среди прочего, информацию о подписчиках, включая имена пользователей, учетные записи электронной почты для восстановления, номера телефонов и определенная информация, необходимая для ручного создания или «чеканки» файлов cookie веб-браузера для аутентификации учетной записи для более чем 500 миллионов учетных записей Yahoo.
Белан также получил несанкционированный доступ от имени заговорщиков ФСБ к инструменту управления учетными записями Yahoo (AMT), который был проприетарным средством, с помощью которого Yahoo вносила и регистрировала изменения в учетных записях пользователей. Затем Белан, Докучаев и Сущин использовали украденную копию UDB и доступ к AMT, чтобы найти интересующие учетные записи электронной почты Yahoo и создать файлы cookie для этих учетных записей, что позволило сообщникам получить доступ как минимум к 6500 таких учетных записей без авторизации.
Некоторые учетные записи жертв представляли предсказуемый интерес для ФСБ, службы внешней разведки и правоохранительных органов, например, личные учетные записи, принадлежащие российским журналистам; государственные служащие России и США; сотрудники известной российской компании по кибербезопасности; и многочисленные сотрудники других провайдеров, чьи сети пытались использовать заговорщики. Однако другие личные счета принадлежали сотрудникам коммерческих организаций, таких как российская инвестиционно-банковская фирма, французская транспортная компания, американские финансовые услуги и частные инвестиционные компании, швейцарский биткойн-кошелек и банковская фирма, а также авиакомпания США.
Во время заговора сотрудники ФСБ способствовали другой преступной деятельности Белана, предоставляя ему конфиденциальную информацию правоохранительных органов ФСБ и разведки, которая помогла бы ему избежать обнаружения правоохранительными органами США и других правоохранительных органов за пределами России, включая информацию о расследованиях ФСБ.
Когда Докучаев и Сущин узнали, что интересующая их цель имеет учетные записи не на Yahoo, а на провайдерах веб-почты, в том числе благодаря информации, полученной в ходе вторжения в Yahoo, они поручили своему сообщнику Баратову, резиденту Канады, получить несанкционированный доступ к более чем 80 аккаунтам в обмен на комиссионные. 7 марта Министерство юстиции направило правоохранительным органам Канады предварительный ордер на арест с требованием об аресте Баратова.
Обвинительный акт — это просто обвинение, и подсудимый считается невиновным, если его вина не доказана в суде.
ФБР во главе с полевым офисом в Сан-Франциско провело расследование, в результате которого сегодня были выдвинуты обвинения. Дело расследуется Отделом контрразведки и экспортного контроля Управления национальной безопасности Министерства юстиции США и прокуратурой Северного округа Калифорнии при поддержке Управления по международным делам Министерства юстиции.
Ответчики: Во все времена, относящиеся к обвинениям, в обвинительном заключении говорится следующее:
- Докучаев Дмитрий Александрович , 33 года, сотрудник Центра информационной безопасности ФСБ, он же «Центр 18». Докучаев был гражданином России и резидентом.
- Сущин Игорь Анатольевич , 43 года, был офицером ФСБ, начальником Докучаева в ФСБ, гражданином России и резидентом.
Сущин был внедрен как предполагаемый сотрудник и начальник отдела информационной безопасности в российском инвестиционном банке.
- Сущин Игорь Анатольевич , 43 года, был офицером ФСБ, начальником Докучаева в ФСБ, гражданином России и резидентом.
Сущин был внедрен как предполагаемый сотрудник и начальник отдела информационной безопасности в российском инвестиционном банке.- Алексей Алексеевич Белан , он же «Магг», 29 лет, родился в Латвии, является гражданином России и постоянным жителем. Федеральное большое жюри США дважды, в 2012 и 2013 годах, предъявляло Белану обвинения в компьютерном мошенничестве и злоупотреблениях, мошенничестве с устройствами доступа и краже личных данных при отягчающих обстоятельствах с участием трех американских компаний электронной коммерции, а ФБР поместило Белана в свой список «Самых разыскиваемых в киберпространстве». . В настоящее время Белан находится в ожидании «красного уведомления» с требованием, чтобы страны-члены Интерпола (включая Россию) арестовали его в ожидании экстрадиции. Белан также был одним из двух преступных хакеров, названных президентом Бараком Обамой 29 декабря., 2016 г., в соответствии с Исполнительным указом № 13694, в качестве гражданина особого назначения, на которого распространяются санкции.
- Алексей Алексеевич Белан , он же «Магг», 29 лет, родился в Латвии, является гражданином России и постоянным жителем. Федеральное большое жюри США дважды, в 2012 и 2013 годах, предъявляло Белану обвинения в компьютерном мошенничестве и злоупотреблениях, мошенничестве с устройствами доступа и краже личных данных при отягчающих обстоятельствах с участием трех американских компаний электронной коммерции, а ФБР поместило Белана в свой список «Самых разыскиваемых в киберпространстве». . В настоящее время Белан находится в ожидании «красного уведомления» с требованием, чтобы страны-члены Интерпола (включая Россию) арестовали его в ожидании экстрадиции. Белан также был одним из двух преступных хакеров, названных президентом Бараком Обамой 29 декабря., 2016 г., в соответствии с Исполнительным указом № 13694, в качестве гражданина особого назначения, на которого распространяются санкции.
- Карим Баратов , он же «Кей», «Карим Таловеров» и «Карим Акехмет Токбергенов», 22 года. Он гражданин Канады и резидент Канады.
Жертвы: Yahoo; более 500 миллионов учетных записей Yahoo, информация о которых была украдена ответчиками; более 30 миллионов учетных записей Yahoo, к содержимому которых был получен несанкционированный доступ для проведения спам-кампании; и не менее 18 дополнительных пользователей других поставщиков веб-почты, чьи учетные записи были доступны без авторизации.
Период времени: Как утверждается в обвинительном заключении, заговор начался по крайней мере еще в 2014 году, и, хотя заговорщики потеряли доступ к сетям Yahoo в сентябре 2016 года, они продолжали использовать информацию, украденную в результате вторжения. по декабрь 2016 г. включительно.
Количество
Ответчик(и)
Оплата
Статут 18 U.
S.C.
Поведение
Максимальное наказание
1
Все
Сговор с целью компьютерного мошенничества и злоупотреблений
§ 1030(б)
Ответчики сговорились взломать компьютеры Yahoo и учетные записи, поддерживаемые Yahoo, Google и другими провайдерами, чтобы украсть у них информацию.
Во-первых, Белан получил доступ к серверам Yahoo и украл информацию, которая позволила ему, Докучаеву и Сущину получить несанкционированный доступ к индивидуальным учетным записям пользователей Yahoo.
Затем Докучаев и Сущин поручили Баратову получить доступ к индивидуальным учетным записям пользователей в Google и других провайдерах (но не Yahoo) и заплатили Баратову за предоставление им паролей учетных записей. В некоторых случаях Докучаев и Сущин поручали Баратову настроить таргетинг на учетные записи, о которых они узнали через доступ к UDB и AMT Yahoo (например, учетные записи Gmail, которые служили дополнительной учетной записью пользователя Yahoo).
10 лет
2
Докучаев
Сущин
Белан
Сговор с целью экономического шпионажа
§ 1831(а)(5)
Начиная с 4 ноября 2014 г. Белан похитил, а ответчики после этого передали, получили и владели следующими коммерческими секретами Yahoo:
- Yahoo UDB, которая была собственностью и конфиденциальной технологией и информацией Yahoo, включая имена подписчиков, дополнительные учетные записи, номера телефонов, контрольные вопросы и ответы;
- AMT, интерфейс Yahoo к UDB; и
- Файл cookie Yahoo создает исходный код, который позволяет ответчикам создавать файлы cookie учетных записей, чтобы затем получить доступ к отдельным учетным записям пользователей Yahoo.
15 лет
3
Докучаев
Сущин
Белан
Сговор с целью хищения коммерческой тайны
§ 1832(а)(5)
См.
счет 2
10 лет
4-6
Докучаева
Сущин
Белан
Экономический шпионаж
§§ 1831(а)(1), (а)(4) и 2
См. счет 2
15 лет (каждый счет)
7-9
Докучаев
Сущин
Белан
Кража коммерческой тайны
§§ 1832(а)(1) и 2
См. счет 2
10 лет (каждый счет)
10
Докучаев
Сущин
Белан
Сговор с целью мошенничества с использованием электронных средств связи
§ 1349
Ответчики мошенническим образом замышляли получить несанкционированный доступ к сети Yahoo через скомпрометированные учетные записи сотрудников Yahoo, а затем использовали коммерческую тайну Yahoo для получения несанкционированного доступа к ценной закрытой информации в индивидуальных учетных записях пользователей Yahoo.
20 лет
11-13
Докучаев
Сущин
Белан
Доступ (или попытка доступа) к компьютеру без разрешения для получения информации с целью получения коммерческой выгоды и личной финансовой выгоды.
§§ 1030(a)(2)(C), 1030(c)(2)(B)(i)-(iii) и 2
Ответчики получили несанкционированный доступ к корпоративной сети Yahoo и получили информацию о сетевой архитектуре Yahoo и UDB.
5 лет
(каждый счет)
14-17
Докучаев
Сущин
Белан
Передача кода с намерением нанести ущерб компьютерам.
§§ 1030(a)(5)(A), 1030(c)(4)(B) и 2
В ходе несанкционированного доступа к сети Yahoo ответчики передавали код в сеть Yahoo, чтобы поддерживать постоянное присутствие, перенаправлять пользователей поисковой системы Yahoo и создавать файлы cookie для отдельных учетных записей Yahoo.
10 лет (каждый счет)
18-24
Докучаев
Сущин
Белан
Доступ (или попытка доступа) к компьютеру без разрешения для получения информации с целью получения коммерческой выгоды и личной финансовой выгоды.
§§ 1030(a)(2)(C), 1030(c)(2)(B)(i)-(iii) и 2
Ответчики получили несанкционированный доступ к индивидуальным учетным записям пользователей Yahoo.
5 лет
(каждый счет)
25-36
Докучаев
Сущин
Белан
Мошенничество с использованием поддельных устройств доступа
§§ 1029(a)(1), 1029(b)(1) и 2
Ответчики использовали созданные файлы cookie для получения несанкционированного доступа к индивидуальным учетным записям пользователей Yahoo.
10 лет (каждый счет)
37
Докучаев
Сущин
Белан
Оборудование для изготовления поддельных устройств доступа
§§ 1029(а)(4)
Ответчики использовали программное обеспечение для создания файлов cookie для несанкционированного доступа к отдельным учетным записям пользователей Yahoo.
15 лет
38
Докучаев
Сущин
Баратов
Сговор с целью совершения мошенничества с устройством доступа
§§ 1029(b)(2)
Ответчики Докучаев и Сущин поручили Баратову получить несанкционированный доступ к индивидуальным учетным записям пользователей в Google и других провайдерах, а затем заплатили Баратову за предоставление им паролей учетных записей. В некоторых случаях Докучаев и Сущин поручали Баратову настроить таргетинг на учетные записи, о которых они узнали через доступ к UDB и AMT Yahoo (например, учетные записи Gmail, которые служили дополнительной учетной записью пользователя Yahoo).
7 ½ лет.
39
Докучаев
Сущин
Баратов
Сговор с целью мошенничества с использованием электронных средств связи
§ 1349
см.