Хакеры взломали систему обмена данными Министерства внутренней безопасности США

Хакеры взломали систему обмена данными Министерства внутренней безопасности США

изображение: grok

Посторонние получили доступ к платформе HSIN, через которую Министерство внутренней безопасности США обменивается служебными сведениями с федеральными ведомствами, регионами и частными партнёрами. Атака затронула также связанный портал SharePoint, а само министерство уже подтвердило факт киберинцидента и начало криминалистическое расследование.

По словам источников, знакомых с ходом проверки, вторжение предположительно произошло в промежутке с конца мая до начала июня. Ведомство сейчас восстанавливает картину проникновения, разбирается со способом входа и составляет список материалов, которые могли попасть в руки посторонних. Управление разведки и анализа министерства провело первичную оценку и передало результаты следователям.

Атакованы были серверы Homeland Security Information Network и рабочее пространство SharePoint, где сотрудники хранят документы и ведут переписку по проектам. HSIN устроен как закрытая среда для несекретной, но чувствительной информации, а объединяет в себе сразу несколько типов пользователей.

  • федеральные ведомства и их территориальные подразделения;
  • региональные и муниципальные органы власти;
  • международные партнёры по линии безопасности;
  • представители частного сектора, работающие с критической инфраструктурой;
  • операторы, отвечающие за реагирование на чрезвычайные происшествия.

Стоит обратить внимание, что HSIN давно перерос формат обычного корпоративного портала и превратился в оперативный инструмент межведомственного взаимодействия.

Функциональность платформы шире привычного документооборота. Через неё идут мгновенные уведомления о подозрительных лицах, проводятся веб-конференции с участием десятков структур, распределяются задачи при управлении инцидентами и передаются сведения о потенциальных угрозах общественной безопасности. По сути, HSIN работает как штаб для координации в реальном времени.

Атака совпала по времени с проведением крупных международных спортивных событий, при подготовке которых силовые ведомства активно опираются на подобные среды обмена. Теоретически среди попавших под удар материалов могли оказаться документы о распределении сил, планах взаимодействия и подготовке к обеспечению порядка на массовых мероприятиях. Подтверждений утечки такого рода пока нет, но сам факт возможного риска добавляет остроты происходящему.

Реакция министерства последовала быстро. Представитель ведомства сообщил, что киберинцидент затронул одну из существующих несекретных информационных сред, а специалисты предприняли ряд немедленных шагов.

  • изолировали затронутые компоненты инфраструктуры;
  • отключили связанные сервисы совместной работы;
  • запустили полноценное криминалистическое исследование;
  • проверили смежные системы на предмет вторичных заражений;
  • начали переоценку прав доступа сотрудников и подрядчиков.

Одновременно в ведомстве заявили, что следов проникновения в секретные сети не обнаружено, а сама платформа для партнёров продолжает работать. Детали расследования пока не раскрывают со ссылкой на продолжающиеся следственные действия.

Для HSIN это далеко не первый эпизод, связанный с защитой данных. В 2023 году система пережила серьёзную ошибку конфигурации, допущенную во время работ подрядчика. Часть материалов, доступ к которым должен был иметь узкий круг пользователей, тогда открылась значительно более широкой аудитории внутри самой платформы.

  • ошибка возникла в ходе технического обслуживания;
  • под удар попали сведения с персональными данными граждан США;
  • часть материалов содержала чувствительную оперативную информацию;
  • окончательный масштаб последствий тогда так и не удалось установить;
  • ведомство впоследствии пересматривало процедуры допуска подрядчиков.

Отмечается, что предыдущий эпизод с конфигурационной ошибкой уже поднимал вопрос о зрелости внутренних процессов безопасности HSIN.

Свежий эпизод возвращает разговор о защите государственных цифровых платформ к самой болезненной точке. Через подобные системы ежедневно проходят большие объёмы служебной переписки, оперативных сводок и данных о взаимодействии ведомств. Для нападающих такие среды остаются лакомой мишенью, поскольку содержат информацию сразу о нескольких организациях и их совместных проектах.

Кто стоит за вторжением, следствие пока не называет. Не ясно и то, удалось ли злоумышленникам вынести материалы за пределы инфраструктуры или их активность была прервана до этапа выгрузки данных. До завершения технического анализа специалисты воздерживаются от окончательных выводов, а работа по восстановлению полной хронологии продолжается силами министерства и привлечённых экспертов.

Эксперты редакции CISOCLUB отмечают, что произошедшее показывает системную проблему в защите межведомственных платформ обмена данными. Такие среды слишком часто получают повышенный уровень доверия при слабом контроле реальной поверхности атаки. Ставка на разграничение секретных и несекретных контуров работает лишь до тех пор, пока несекретный контур не начинает содержать оперативно значимые материалы, что как раз и произошло с HSIN.

Редакция полагает, что министерству придётся полностью пересмотреть модель угроз для подобных систем, а также вернуться к вопросу постоянного мониторинга действий подрядчиков. Инцидент с высокой вероятностью станет поводом для более жёстких требований к аудиту доступа и логированию действий в государственных информационных средах США.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: