Про це повідомляє Microsoft у своєму короткому звіті про інцидент. Компанія зазначає, що отримавши доступ до облікового запису USAID в маркетинговому інструменті Constant Contact, хакери розіслали близько 3,000 фішингових електронних листів адресатам у більш ніж 150 організацій у 24 країнах. Визнаю, це дуже ефективна тактика: ми маємо схильність швидко реагувати на листи від людей, що дають нам гроші. Жертви розсилки, які клацнули на посилання в імейлі, мали шанси заразитися шкідливим програмним забезпеченням NativeZone.
Поза цікавими висновками, що робить Micrsoft (раджу ознайомитись), від себе можу додати наступне. Обрання цілей для державних кібератак – це досить творча задача, яка у російських реаліях рідко надходить “згори”. Натомість нагорі можуть або схвалювати, або ігнорувати, або ж явно забороняти певні дії. Таким чином російська верхівка створює екосистему для енергійної конкуренції агентів загроз та спрямовує їхні дії в стилі поведінкових психологів минулого століття. А ще створює умови, в яких в разі чого завжди можна відхреститися від хакерів. Мовляв, ми наказ не давали, це особиста ініціатива патріотично налаштованої молоді, всі вони були у відпустці, і взагалі іхтамнєт.
Замість того, щоб явно давати команду “взяти”, Кремль створює хакерам – як державним, так і в кримінальному андерграунді – найменше перешкод для руху в потрібному Москві напрямку. І, як заповідав Б.Ф. Скінер, це працює – як з собаками, так і з хакерами. Саме тому Кремль хоч і міг не віддавати явного наказу про атаку на Colonial Pipeline, але явно винен у тому, що вона сталася. Бо плекає російський кіберкримінал в себе на задньому дворі й створює усі умови для його розвитку та успішної роботи “запорєбрік”. І маючи в голові ці культурні особливості роботи російського кібервійськового індустріального комплексу, я вважаю, що атака на USAID цікава. Навіть виключно цікава, адже здійснена вона скоріше не як військова операція, а як акт декларації дипломатичного нігілізму російської верхівки. Ви нам санкції за злам SolarWinds – а нам по цимбалах, ми й надалі продовжуватимемо використовувати цей канал.
Більше про кіберконфлікти, їхню природу та динаміку ви зможете дізнатися в наступному повнометражному епізоді нашого подкасту. Щоправда, наші Патрони вже можуть зробити це на Patreon, куди ми залили повну нецензуровану версію. Решті слухачів доведеться трохи почекати.
Оновлено 01.06.2021.
1. CISA видала попередження з технічними деталями та індикаторами компрометації.
2. Під час атаки, хакери використовували вразливість нульвого дня в iOS.