Минфин США открыл хакерам доступ к почте в 2020 году

Минфин США в ходе внутреннего расследования подтвердил, что участники атаки через SolarWinds получили доступ к почтовой системе ведомства летом 2020 года и сохраняли его больше трех месяцев. Новые детали раскрылись после иска по закону о свободе информации: из опубликованного отчета генерального инспектора следует, что 6 июля был скомпрометирован администраторский аккаунт SolarWinds в министерстве, а затем изменено приложение Secure Mail, что потенциально открыло доступ ко всем адресам с доменом treasury.gov.

Доступ сохранялся до 12 октября 2020 года и прекратился после изменения в системе со стороны самого ведомства. Какие именно письма читали злоумышленники и выгружались ли данные, из отчета не следует. Пользователь скомпрометированной учетной записи, на которого ссылается расследование, не смог указать ни круг затронутых ящиков, ни факт кражи переписки.

Это добавляет конкретики к одному из самых крупных провалов в американской киберзащите. В 2020 году злоумышленники внедрили вредоносный код в обновления платформы Orion, продукта SolarWinds для мониторинга инфраструктуры. Компания позже сообщала, что зараженное обновление скачали около 18 тыс. клиентов. Власти США в 2021 году официально связали операцию с российской СВР. Среди пострадавших ведомств тогда называли Минфин, Минторг, Минюст, DHS и Госдеп.

Новая публикация важна не тем, что меняет общую картину атаки, а тем, что впервые описывает механизм проникновения в почту одного из главных экономических ведомств США. Для госструктур это еще один аргумент в пользу контроля привилегированных учетных записей и изоляции внутренних почтовых сервисов от внешних систем администрирования. Для SolarWinds история тоже не закрыта: после атаки компания несколько лет перестраивала процессы безопасности, а регуляторы и клиенты продолжили разбирать, где закончилась сложность supply chain и началась обычная беспечность.