Утечка данных Управления кадров — это утечка данных в 2015 году, направленная против документов о допуске к секретной информации правительства США по Стандартной форме 86 (SF-86), хранящихся в Управлении управления персоналом США (OPM). Это одна из крупнейших утечек правительственных данных в истории США. Атака была осуществлена продвинутой постоянной угрозой, базирующейся в Китае . Многие полагают, что это Департамент государственной безопасности провинции Цзянсу , дочернее предприятие шпионажа Министерства государственной безопасности правительства Китая . агентство.
В июне 2015 года OPM объявила, что стала объектом утечки данных, касающейся кадровых записей. [1] Были затронуты около 22,1 миллиона записей, включая записи, относящиеся к государственным служащим, другим людям, прошедшим проверку анкетных данных, а также их друзьям и родственникам. [2] [3] Одна из крупнейших утечек правительственных данных в истории США, [1] информация, которая была получена и украдена в результате взлома, [4] включала личную информацию , такую как номера социального страхования , [5] , а также имена , даты и места рождения, адреса. [6] Атаку осуществили спонсируемые государством хакеры, работающие от имени правительства Китая. [4] [7]
Утечка данных состояла из двух отдельных, но связанных атак. [8] Неизвестно, когда произошла первая атака, однако вторая атака произошла 7 мая 2014 года, когда злоумышленники представились сотрудниками субподрядной компании KeyPoint Government Solutions. Первая атака была обнаружена 20 марта 2014 года, но вторая атака была обнаружена только 15 апреля 2015 года. [8] После этого события Кэтрин Арчулета , директор OPM, и ИТ-директор Донна Сеймур подали в отставку. [9]
Первое нарушение, названное Министерством внутренней безопасности (DHS) «X1», было обнаружено 20 марта 2014 года, когда третья сторона уведомила DHS об утечке данных из сети OPM. [8]
Что касается второго нарушения, названного «X2», газета New York Times сообщила, что проникновение было обнаружено с помощью программы обнаружения вторжений Einstein группы компьютерной аварийной готовности США (US-CERT) . [10] Однако Wall Street Journal , Wired , Ars Technica и Fortune позже сообщили, что неясно, как было обнаружено нарушение. Они сообщили, что, возможно, это была демонстрация продукта CyFIR, коммерческого криминалистического продукта от охранной компании CyTech Services из Манассаса, штат Вирджиния, которая обнаружила проникновение. [11] [12] [13] [14] Эти отчеты впоследствии обсуждались CyTech Services в пресс-релизе, выпущенном компанией 15 июня 2015 г. [15] для разъяснения противоречий, высказанных представителем OPM Сэмом Шумахом в более поздней редакции статья в журнале Fortune [11] . Однако не CyTech Services раскрыла проникновение; скорее, он был обнаружен персоналом OPM с помощью программного продукта поставщика Cylance. [16] [17] В конечном итоге, в заключительном отчете Палаты представителей большинства Палаты представителей о взломе OPM не обнаружено никаких доказательств того, что CyTech Services знала о причастности Cylance или заранее знала о существующем нарушении во время демонстрации своего продукта, что привело к обнаружилось, что оба инструмента независимо «обнаружили» вредоносный код, работающий в сети OPM. [8]
Утечка данных скомпрометировала весьма конфиденциальную 127-страничную стандартную форму 86 (SF 86) (Анкета для должностей в области национальной безопасности). [7] [18] Формы SF-86 содержат информацию о членах семьи, соседях по комнате в колледже, иностранных контактах и психологическую информацию. Первоначально OPM заявило, что имена членов семей не были раскрыты, [18] но впоследствии OPM подтвердило, что следователи имели «высокую степень уверенности в том, что системы OPM содержат информацию, связанную с расследованием биографических данных нынешних, бывших и потенциальных служащих федерального правительства». , включая военнослужащих США, а также тех, в отношении кого проводилось федеральное расследование, возможно, были высланы». [19] Центральное разведывательное управление , однако, не использует систему OPM; следовательно, возможно, на него не повлияло. [20]
Дж. Дэвид Кокс, президент Американской федерации государственных служащих , написал в письме директору OPM Кэтрин Арчулета, что, основываясь на неполной информации, которую AFGE получила от OPM, «мы считаем, что Центральный файл данных персонала был целью База данных, и что хакеры теперь владеют всеми личными данными каждого федерального служащего, каждого федерального пенсионера и до миллиона бывших федеральных служащих». [21] Кокс заявил, что AFGE считает, что нарушение поставило под угрозу военные записи, информацию о статусе ветеранов, адреса, даты рождения, историю работы и заработной платы, информацию о медицинском страховании и страховании жизни, пенсионную информацию, а также данные о возрасте, поле и раса. [21]
Украденные данные включали 5,6 миллиона наборов отпечатков пальцев. [22] Эксперт по биометрии Рамеш Кесанупалли заявил, что из-за этого секретные агенты больше не находятся в безопасности, поскольку их можно было идентифицировать по отпечаткам пальцев, даже если их имена были изменены. [23]
Подавляющее большинство сходятся во мнении, что кибератака была осуществлена спонсируемыми государством злоумышленниками для правительства Китая , в частности Департамента государственной безопасности провинции Цзянсу . [4] Атака началась в Китае, [6] а бэкдор- инструмент PlugX, использованный для осуществления взлома, ранее использовался китайскоязычными хакерскими группами, нацеленными на политических активистов Тибета и Гонконга. [4] Использование имен супергероев также является отличительной чертой хакерских групп, связанных с Китаем. [4]
В отчете Комитета Палаты представителей по надзору и правительственной реформе о взломе убедительно указывается, что злоумышленниками были государственные субъекты, поскольку они использовали очень специфическое и высокоразвитое вредоносное ПО . [8] Представитель Министерства внутренней безопасности США Энди Озмент показал, что злоумышленники получили действительные учетные данные пользователя для систем, которые они атаковали, вероятно, с помощью социальной инженерии . Нарушение также заключалось в пакете вредоносного ПО, который установился в сети OPM и установил бэкдор. После этого злоумышленники повысили свои привилегии, чтобы получить доступ к широкому спектру систем OPM. В статье, опубликованной перед отчетом Палаты представителей по надзору, Ars Technica сообщила о плохой практике безопасности у подрядчиков OPM: по крайней мере один работник с корневым доступом к каждой строке в каждой базе данных физически находился в Китае, а у другого подрядчика было два сотрудника с китайскими паспортами. . [24] Однако это рассматривалось как плохая практика безопасности, а не как реальный источник утечки.
Китай отрицает ответственность за нападение. [25]
В 2017 году гражданин Китая Ю Пингань был арестован по обвинению в предоставлении вредоносного ПО «Sakula», которое использовалось для взлома данных OPM и других кибервторжений. [26] [27] ФБР арестовало Ю в международном аэропорту Лос-Анджелеса после того, как он прилетел в США на конференцию. [26] [27] Ю провел 18 месяцев в федеральном центре заключения Сан-Диего и признал себя виновным в федеральном преступлении, состоящем в сговоре с целью взлома компьютера, и впоследствии был депортирован в Китай. [27] В феврале 2019 г. его приговорили к отбыванию срока и разрешили вернуться в Китай; к концу того же года Юй работал учителем в государственной Шанхайской коммерческой школе в центре Шанхая . [27] Ю был приговорен к выплате 1,1 миллиона долларов США в качестве компенсации компаниям, подвергшимся воздействию вредоносного ПО, хотя вероятность фактического погашения долга незначительна. [27] Юй был одним из очень небольшого числа китайских хакеров, арестованных и осужденных в США; большинство хакеров никогда не задерживаются. [27]
Было ли нападение мотивировано коммерческой выгодой, остается неясным. [10] Было высказано предположение, что хакеры, работающие на китайские военные, намерены составить базу данных американцев, используя данные, полученные в результате взлома. [25]
OPM неоднократно предупреждалось об уязвимостях и сбоях в системе безопасности. В полугодовом отчете Управления генерального инспектора OPM Конгрессу за март 2015 года содержится предупреждение о «постоянных недостатках в программе безопасности информационных систем OPM», включая «неполные пакеты авторизации безопасности, недостатки в тестировании средств контроля информационной безопасности, а также неточные планы действий и основные этапы». ." [28] [29]
В статье, опубликованной в июле 2014 года в The New York Times, цитировались неназванные высокопоставленные американские чиновники, заявившие, что китайские хакеры взломали OPM. Чиновники заявили, что хакеры, судя по всему, нацелены на файлы работников, которые подали заявку на получение допуска и получили доступ к нескольким базам данных, но были остановлены до того, как получили информацию о допуске к секретной информации. Позже в том же месяце в интервью Кэтрин Арчулета , директор OPM, сказала, что самым важным было то, что никакая личная информация не была скомпрометирована. [20] [30] [31]
Некоторые законодатели призвали Арчулету уйти в отставку, ссылаясь на бесхозяйственность и на то, что она была политическим назначенцем и бывшим должностным лицом предвыборного штаба Обамы, не имея ни ученой степени, ни опыта работы в сфере человеческих ресурсов . Она ответила, что ни она, ни директор по информационным технологиям OPM Донна Сеймур не сделают этого. «Я предан работе, которую выполняю в OPM», — заявил Арчулета репортерам. «Я доверяю персоналу, который там работает». [2] 10 июля 2015 г. Арчулета подал в отставку с поста директора ОПМ. [32]
Дэниел Хеннингер , заместитель директора редакционной страницы Wall Street Journal , выступая в редакционном отчете журнала Fox News , раскритиковал назначение Арчулеты «руководителем одного из самых секретных агентств» в правительстве США, сказав: «Что такое у нее есть опыт проведения чего-то подобного? Она была национальным политическим директором кампании по переизбранию Барака Обамы в 2012 году. Она также является главой так называемой «Латинской инициативы». Она политик, верно… Вот какой они человек. вложили». [33]
Эксперты по безопасности заявили, что самой большой проблемой взлома была не неспособность предотвратить удаленные взломы, а отсутствие механизмов обнаружения внешнего вторжения и отсутствие надлежащего шифрования конфиденциальных данных. Директор по информационным технологиям OPM Донна Сеймур ответила на эту критику, указав на устаревшие системы агентства как на основное препятствие на пути внедрения такой защиты, несмотря на наличие доступных инструментов шифрования. Помощник министра внутренней безопасности США по кибербезопасности и коммуникациям Энди Озмент далее пояснил, что: «Если у злоумышленника есть учетные данные пользователя в сети, он может получить доступ к данным, даже если они зашифрованы, точно так же, как пользователи в сети должны получить доступ к данным, и в данном случае это действительно произошло. Таким образом, шифрование в этом случае не защитило бы эти данные». [34]
В записке генерального инспектора Патрика Макфарланда от 22 июля 2015 года говорится, что директор по информационным технологиям OPM Донна Сеймур замедляет расследование взлома, что заставляет его задаться вопросом, действовала ли она добросовестно. Он не выдвигал никаких конкретных обвинений в неправомерном поведении, но сказал, что ее офис создавал «атмосферу недоверия», предоставляя ему «неправильную или вводящую в заблуждение» информацию. [35] В понедельник, 22 февраля 2016 года, ИТ-директор Донна Сеймур подала в отставку, всего за два дня до того, как она должна была дать показания перед комиссией Палаты представителей, которая продолжает расследование утечки данных. [36]
Сообщается, что в 2018 году OPM по-прежнему был уязвим для кражи данных: 29 из 80 рекомендаций Счетной палаты правительства остались невыполненными. [37] В частности, как сообщается, OPM все еще использовал пароли, которые были украдены в результате взлома. [37] Он также не прекратил практику совместного использования административных учетных записей между пользователями, несмотря на то, что эта практика была рекомендована еще в 2003 году. [37]
Директор ФБР Джеймс Коми заявил: «Это очень большое дело с точки зрения национальной безопасности и с точки зрения контрразведки. Это сокровищница информации обо всех, кто работал, пытался работать или работает на правительство Соединенных Штатов». " [38]
Выступая на форуме в Вашингтоне, округ Колумбия, директор Национальной разведки Джеймс Р. Клэппер сказал: «Вы должны как бы отдать должное китайцам за то, что они сделали. Если бы у нас была возможность сделать это, я не думаю, что мы бы это сделали». задумайтесь на минуту». [39]