Спустя сутки после того, как анонимный источник из Белого дома заявил, что утечка данных из управления кадрами федерального правительства США (OPM) является делом рук китайцев, одна ИБ-компания попыталась связать этот взлом с другими крупными инцидентами, зарегистрированными в начале года, в том числе с утечками, произошедшими в страховых компаниях Anthem и Premera Blue Cross. В то же время представители Вашингтона опубликовали твит, в котором подтвердили, что хакерам удалось похитить записи о сотрудниках федеральных агентств и их уровне допуска к секретной информации, датируемые 1982 годом и до сегодняшнего дня.

OPM не только хранит данные о государственных служащих как кадровая служба, но также выполняет функции агентства, выписывающего разрешения на допуск к секретной информации. Если данные действительно были похищены из базы OPM, это значит, что персональная информация о сотрудниках федеральных агентств, в том числе о работающих под прикрытием агентах и других лицах, связанных с совершенно секретными правительственными операциями, была скомпрометирована.

Сначала было известно о том, что в результате взлома были скомпрометированы номера социального страхования сотрудников и другая персональная информация. Хотя для служб разведки такие данные все равно важны, по сравнению со сведениями о степени допуска того или иного сотрудника к секретной правительственной информации такие данные просто ничто.

«Похищение такого типа данных нехарактерно для подобных взломов, — утверждает Джон Халтквист (John Hultquist) из компании iSight Partners, связавшей взлом OPM с атакой Anthem, ответственность за которую возлагают на кибергруппировку Deep Panda, обнаруженную ИБ-компанией Crowdstrike. — Как правило, злоумышленники охотятся за более ценными данными: политическими документами, планами, чертежами. В такой оперативной информации есть огромный потенциал для дальнейшей разработки. OPM непосредственно выписывает допуски к такой информации. При помощи этих данных управление может определить, что может готовить против вас неприятель».

Халтквист рассказал, что компании iSight удалось обнаружить некоторую закономерность между взломами баз данных страховщиков и инцидентом в ОРМ, в том числе в принципах наименования целей внутри C&C-инфраструктуры. В случае с Anthem, вероятно, для проведения фишинговой кампании использовались домены под именем We11point. По словам Халтквиста, в iSight обнаружили домены со сходными именами, анализируя атаку на OPM.

«Основное различие между кибермошенническими и кибершпионскими кампаниями заключается в том, что мошенники в основном стремятся поскорее монетизировать похищенные данные, в то время как кибершпионы охотятся за особым типом информации — дипломатическими и политическими документами, разведданными, интеллектуальной собственностью, — сказал Халтквист. — Такие данные дают им значительное конкурентное преимущество».

«Но в данном случае это не тот тип информации. Хакеры могут использовать похищенные сведения в качестве ступеньки на пути к дальнейшему развертыванию кампании. Это кладезь данных, необходимых для компрометации определенных лиц и проведения следующего этапа атаки. В данный момент возникает ощущение, что злоумышленники разрабатывают инструментарий для кибершпионских кампаний», — добавил он.

Правительство собирается поставить в известность о возможной утечке информации, случившейся уже второй раз за период чуть более года, около 4 млн человек, пострадавших от взлома OPM. Репортаж, опубликованный в Washington Post, тем не менее ссылается на официальных представителей, заверивших, что целью хакеров стали базы данных ОРМ, относящиеся к министерству внутренних дел, и информация о допусках не была скомпрометирована. Также стало известно о том, что атакующие использовали уязвимости нулевого дня, но сведений о том, какие именно технологии стали точкой входа, нет.

Взлом, произошедший в марте 2014 года, также имел своей целью данные о допуске сотрудников к секретной информации. Информация, попавшая в руки злоумышленников, включала в себя персональные и финансовые данные по отдельным лицам и семьям. Вину за атаку тогда, как и в этом случае, возложили на Китай. В OPM заверили, что управление значительно вложилось в развертывание более совершенных систем обнаружения вторжений, однако смогли детектировать взлом только через пять месяцев после того, как предположительно началась атака. По мнению экспертов, взлом произошел в декабре, но обнаружен был только в апреле.

По данным New York Times, проникновение произошло раньше, чем OPM успело развернуть более совершенные решения для обнаружения вторжений. Также примечательно, что обнаружила сигнатуры атаки система Einstein разработки министерства национальной безопасности США.

Категории: Главное, Кибероборона, Хакеры