Amazon отказалась предоставить информацию о возможном использовании облачных сервисов AWS при взломе SolarWinds
По мере того как законодатели и исследователи в области безопасности продолжают разоблачать взлом SolarWinds, некоторые разочаровываются в Amazon, утверждая, что гигант облачных вычислений должен быть более открытым для общественности в отношении своей информации о российской кибератаке.
По словам исследователей безопасности, системы были взломаны напрямую, но хакеры использовали огромные центры обработки данных облачных вычислений для запуска ключевой части атаки. Операция была названа одним из масштабных примеров кибершпионажа в истории США.
Хотя эксперты по кибербезопасности говорят, что практически невозможно остановить хакеров от неправильного использования облачных сервисов, как это могло бы случиться в этом случае. Они также заявили, что Amazon, использует важную информацию, которая может пролить свет на спектр атак и тактик, которые используются киберпреступниками. Официальные лица США заявляют, что злоумышленники являются агентами российской разведки.
Amazon в частном порядке поделилась этой информацией с правительством США, но, в отличие от других технологических компаний, не захотела ее обнародовать.
Во время слушаний сенатского комитета по разведке, некоторые представители выразили мнение, что компания должна дать официальные показания в суде по вопросам, относящимся к масштабной кибератаке. "Amazon должен дать показания - это должно быть добровольно, но комитет должен принять в этом деле участие. Мы многого не знаем о полном объеме этой атаки и не можем терять время, когда наши противники готовятся к следующим атакам" - заявил один из сенаторов.
"Проблема SolarWinds не влияет на AWS, и мы не используем их программное обеспечение", - говорится в заявлении представителя Amazon Web Services. "Когда мы узнали об этом событии, мы немедленно провели расследование, убедились, что не пострадали, и поделились тем, что узнали, с правоохранительными органами. Мы также предоставили подробную информацию правительственным чиновникам, включая членов Конгресса".
По словам исследователей безопасности, в центрах обработки данных Amazon размещались серверы, которые использовались на критическом этапе атаки SolarWinds - в то время, когда хакеры создавали плацдарм в сетях своих жертв и искали способы зондирования систем для получения дополнительной информации. По их словам, серверы Amazon использовались для размещения и доставки хакерских инструментов, которые в конечном итоге загружались на компьютеры жертв, а затем использовались для зондирования и проникновения в новые системы в этих сетях.
"Amazon обладает очень ценны ми или потенциально ценны ми данны ми", - сказал Джо Словик, старший исследователь безопасности в онлайн-аналитической компании DomainTools.
Компания, занимающаяся облачными вычислениями, может иметь финансовую информацию о том, как оплачивались ее услуги, данные сетевого трафика, показывающие, с кем хакеры SolarWinds взаимодействовали в Интернете, и данные, хранящиеся на самих серверах, показывающие, в какой другой деятельности были задействованы хакеры, а, возможно, и другие инструменты, которые они использовали, сказал Словик.
Amazon, как и все крупные технологические компании, использует команду "анализа угроз" для отслеживания и защиты себя и своих клиентов от известных хакерских групп.
Благодаря своему доминирующему положению на рынке, эти технологические компании все больше узнают об огромных объемах данных, которые часто полезны для расследования, обнаружения и устранения киберпреступников.
Облачный сервис Azure корпорации Microsoft также использовался хакерами, а его продукты Office 365 содержали сообщения электронной почты и внутренние документы, которые были основной целью атаки. Но Microsoft опубликовала технические подробности преступной деятельности, которые помогли следователям и компаниям определить, были ли они вовлечены в атаку.
В своем выступлении во вторник президент Microsoft Брэд Смит сказал, что на основе данных, полученных от его подразделения облачных вычислений, Microsoft проинформировала 60 клиентов о том, что они стали жертвами атаки SolarWinds. Представитель Amazon отказался сообщить, предоставляла ли компания аналогичную услугу, и не указал количество идентифицированных жертв атаки, если таковые были.
По заявлению властей, предполагаемая российская кампания кибершпионажа использовала коррумпированное программное обеспечение SolarWinds и другие точки доступа для взлома как минимум девяти федеральных агентств и 100 компаний частного сектора.
Действующие и бывшие официальные лица заявили, что российские кибероперации используют правовые ограничения, которые обычно не позволяют Агентству национальной безопасности действовать полноценно для защиты национальных интересов. Хотя эти запреты предназначены для защиты прав на конфиденциальность американцев и американских предприятий, они означают, что иностранные злоумышленники, обосновавшиеся в IТ-инфраструктуре (например, облачном пространстве, размещенном на Amazon) США, могут избежать обнаружения. На слушаниях во вторник Смит назвал это своеобразным методом "пройти тест на IQ" для россиян.
По материалам: The Wall Street Journal.
Microsoft Правительство Правоохранители США