Утечка данных Управления кадров

Кибератака похитила 20 миллионов федеральных служащих

Утечка данных Управления кадров — это утечка данных в 2015 году, направленная против документов о допуске к секретной информации правительства США по Стандартной форме 86 (SF-86), хранящихся в Управлении управления персоналом США (OPM). Это одна из крупнейших утечек правительственных данных в истории США. Атака была осуществлена ​​продвинутой постоянной угрозой, базирующейся в Китае . Многие полагают, что это Департамент государственной безопасности провинции Цзянсу , дочернее предприятие шпионажа Министерства государственной безопасности правительства Китая . агентство.

В июне 2015 года OPM объявила, что стала объектом утечки данных, касающейся кадровых записей. ^[1] Были затронуты около 22,1 миллиона записей, включая записи, относящиеся к государственным служащим, другим людям, прошедшим проверку анкетных данных, а также их друзьям и родственникам. ^{[2] [3]} Одна из крупнейших утечек правительственных данных в истории США, ^[1] информация, которая была получена и украдена в результате взлома, ^[4] включала личную информацию , такую ​​​​как номера социального страхования , ^[5] , а также имена , даты и места рождения, адреса. ^[6] Атаку осуществили спонсируемые государством хакеры, работающие от имени правительства Китая. ^{[4] [7]}

Утечка данных состояла из двух отдельных, но связанных атак. ^[8] Неизвестно, когда произошла первая атака, однако вторая атака произошла 7 мая 2014 года, когда злоумышленники представились сотрудниками субподрядной компании KeyPoint Government Solutions. Первая атака была обнаружена 20 марта 2014 года, но вторая атака была обнаружена только 15 апреля 2015 года. ^[8] После этого события Кэтрин Арчулета , директор OPM, и ИТ-директор Донна Сеймур подали в отставку. ^[9]

Открытие

Первое нарушение, названное Министерством внутренней безопасности (DHS) «X1», было обнаружено 20 марта 2014 года, когда третья сторона уведомила DHS об утечке данных из сети OPM. ^[8]

Что касается второго нарушения, названного «X2», газета New York Times сообщила, что проникновение было обнаружено с помощью программы обнаружения вторжений Einstein группы компьютерной аварийной готовности США (US-CERT) . ^[10] Однако Wall Street Journal , Wired , Ars Technica и Fortune позже сообщили, что неясно, как было обнаружено нарушение. Они сообщили, что, возможно, это была демонстрация продукта CyFIR, коммерческого криминалистического продукта от охранной компании CyTech Services из Манассаса, штат Вирджиния, которая обнаружила проникновение. ^{[11] [12] [13] [14]} Эти отчеты впоследствии обсуждались CyTech Services в пресс-релизе, выпущенном компанией 15 июня 2015 г. ^[15] для разъяснения противоречий, высказанных представителем OPM Сэмом Шумахом в более поздней редакции статья в журнале Fortune ^[11] . Однако не CyTech Services раскрыла проникновение; скорее, он был обнаружен персоналом OPM с помощью программного продукта поставщика Cylance. ^{[16] [17]} В конечном итоге, в заключительном отчете Палаты представителей большинства Палаты представителей о взломе OPM не обнаружено никаких доказательств того, что CyTech Services знала о причастности Cylance или заранее знала о существующем нарушении во время демонстрации своего продукта, что привело к обнаружилось, что оба инструмента независимо «обнаружили» вредоносный код, работающий в сети OPM. ^[8]

Кража данных

Кража информации о допуске к секретной информации

Утечка данных скомпрометировала весьма конфиденциальную 127-страничную стандартную форму 86 (SF 86) (Анкета для должностей в области национальной безопасности). ^{[7] [18]} Формы SF-86 содержат информацию о членах семьи, соседях по комнате в колледже, иностранных контактах и ​​психологическую информацию. Первоначально OPM заявило, что имена членов семей не были раскрыты, ^[18] но впоследствии OPM подтвердило, что следователи имели «высокую степень уверенности в том, что системы OPM содержат информацию, связанную с расследованием биографических данных нынешних, бывших и потенциальных служащих федерального правительства». , включая военнослужащих США, а также тех, в отношении кого проводилось федеральное расследование, возможно, были высланы». ^[19] Центральное разведывательное управление , однако, не использует систему OPM; следовательно, возможно, на него не повлияло. ^[20]

Кража личных данных

Дж. Дэвид Кокс, президент Американской федерации государственных служащих , написал в письме директору OPM Кэтрин Арчулета, что, основываясь на неполной информации, которую AFGE получила от OPM, «мы считаем, что Центральный файл данных персонала был целью База данных, и что хакеры теперь владеют всеми личными данными каждого федерального служащего, каждого федерального пенсионера и до миллиона бывших федеральных служащих». ^[21] Кокс заявил, что AFGE считает, что нарушение поставило под угрозу военные записи, информацию о статусе ветеранов, адреса, даты рождения, историю работы и заработной платы, информацию о медицинском страховании и страховании жизни, пенсионную информацию, а также данные о возрасте, поле и раса. ^[21]

Кража отпечатков пальцев

Украденные данные включали 5,6 миллиона наборов отпечатков пальцев. ^[22] Эксперт по биометрии Рамеш Кесанупалли заявил, что из-за этого секретные агенты больше не находятся в безопасности, поскольку их можно было идентифицировать по отпечаткам пальцев, даже если их имена были изменены. ^[23]

Преступники

Подавляющее большинство сходятся во мнении, что кибератака была осуществлена ​​спонсируемыми государством злоумышленниками для правительства Китая , в частности Департамента государственной безопасности провинции Цзянсу . ^[4] Атака началась в Китае, ^[6] а бэкдор- инструмент PlugX, использованный для осуществления взлома, ранее использовался китайскоязычными хакерскими группами, нацеленными на политических активистов Тибета и Гонконга. ^[4] Использование имен супергероев также является отличительной чертой хакерских групп, связанных с Китаем. ^[4]

В отчете Комитета Палаты представителей по надзору и правительственной реформе о взломе убедительно указывается, что злоумышленниками были государственные субъекты, поскольку они использовали очень специфическое и высокоразвитое вредоносное ПО . ^{[8] Представитель} Министерства внутренней безопасности США Энди Озмент показал, что злоумышленники получили действительные учетные данные пользователя для систем, которые они атаковали, вероятно, с помощью социальной инженерии . Нарушение также заключалось в пакете вредоносного ПО, который установился в сети OPM и установил бэкдор. После этого злоумышленники повысили свои привилегии, чтобы получить доступ к широкому спектру систем OPM. В статье, опубликованной перед отчетом Палаты представителей по надзору, Ars Technica сообщила о плохой практике безопасности у подрядчиков OPM: по крайней мере один работник с корневым доступом к каждой строке в каждой базе данных физически находился в Китае, а у другого подрядчика было два сотрудника с китайскими паспортами. . ^[24] Однако это рассматривалось как плохая практика безопасности, а не как реальный источник утечки.

Китай отрицает ответственность за нападение. ^[25]

В 2017 году гражданин Китая Ю Пингань был арестован по обвинению в предоставлении вредоносного ПО «Sakula», которое использовалось для взлома данных OPM и других кибервторжений. ^{[26] [27]} ФБР арестовало Ю в международном аэропорту Лос-Анджелеса после того, как он прилетел в США на конференцию. ^{[26] [27]} Ю провел 18 месяцев в федеральном центре заключения Сан-Диего и признал себя виновным в федеральном преступлении, состоящем в сговоре с целью взлома компьютера, и впоследствии был депортирован в Китай. ^[27] В феврале 2019 г. его приговорили к отбыванию срока и разрешили вернуться в Китай; к концу того же года Юй работал учителем в государственной Шанхайской коммерческой школе в центре Шанхая . ^[27] Ю был приговорен к выплате 1,1 миллиона долларов США в качестве компенсации компаниям, подвергшимся воздействию вредоносного ПО, хотя вероятность фактического погашения долга незначительна. ^[27] Юй был одним из очень небольшого числа китайских хакеров, арестованных и осужденных в США; большинство хакеров никогда не задерживаются. ^[27]

Мотив

Было ли нападение мотивировано коммерческой выгодой, остается неясным. ^[10] Было высказано предположение, что хакеры, работающие на китайские военные, намерены составить базу данных американцев, используя данные, полученные в результате взлома. ^[25]

Предупреждения

OPM неоднократно предупреждалось об уязвимостях и сбоях в системе безопасности. В полугодовом отчете Управления генерального инспектора OPM Конгрессу за март 2015 года содержится предупреждение о «постоянных недостатках в программе безопасности информационных систем OPM», включая «неполные пакеты авторизации безопасности, недостатки в тестировании средств контроля информационной безопасности, а также неточные планы действий и основные этапы». ." ^{[28] [29]}

В статье, опубликованной в июле 2014 года в The New York Times, цитировались неназванные высокопоставленные американские чиновники, заявившие, что китайские хакеры взломали OPM. Чиновники заявили, что хакеры, судя по всему, нацелены на файлы работников, которые подали заявку на получение допуска и получили доступ к нескольким базам данных, но были остановлены до того, как получили информацию о допуске к секретной информации. Позже в том же месяце в интервью Кэтрин Арчулета , директор OPM, сказала, что самым важным было то, что никакая личная информация не была скомпрометирована. ^{[20] [30] [31]}

Ответственность

Некоторые законодатели призвали Арчулету уйти в отставку, ссылаясь на бесхозяйственность и на то, что она была политическим назначенцем и бывшим должностным лицом предвыборного штаба Обамы, не имея ни ученой степени, ни опыта работы в сфере человеческих ресурсов . Она ответила, что ни она, ни директор по информационным технологиям OPM Донна Сеймур не сделают этого. «Я предан работе, которую выполняю в OPM», — заявил Арчулета репортерам. «Я доверяю персоналу, который там работает». ^[2] 10 июля 2015 г. Арчулета подал в отставку с поста директора ОПМ. ^[32]

Дэниел Хеннингер , заместитель директора редакционной страницы Wall Street Journal , выступая в редакционном отчете журнала Fox News , раскритиковал назначение Арчулеты «руководителем одного из самых секретных агентств» в правительстве США, сказав: «Что такое у нее есть опыт проведения чего-то подобного? Она была национальным политическим директором кампании по переизбранию Барака Обамы в 2012 году. Она также является главой так называемой «Латинской инициативы». Она политик, верно… Вот какой они человек. вложили». ^[33]

Эксперты по безопасности заявили, что самой большой проблемой взлома была не неспособность предотвратить удаленные взломы, а отсутствие механизмов обнаружения внешнего вторжения и отсутствие надлежащего шифрования конфиденциальных данных. Директор по информационным технологиям OPM Донна Сеймур ответила на эту критику, указав на устаревшие системы агентства как на основное препятствие на пути внедрения такой защиты, несмотря на наличие доступных инструментов шифрования. Помощник министра внутренней безопасности США по кибербезопасности и коммуникациям Энди Озмент далее пояснил, что: «Если у злоумышленника есть учетные данные пользователя в сети, он может получить доступ к данным, даже если они зашифрованы, точно так же, как пользователи в сети должны получить доступ к данным, и в данном случае это действительно произошло. Таким образом, шифрование в этом случае не защитило бы эти данные». ^[34]

Расследование

В записке генерального инспектора Патрика Макфарланда от 22 июля 2015 года говорится, что директор по информационным технологиям OPM Донна Сеймур замедляет расследование взлома, что заставляет его задаться вопросом, действовала ли она добросовестно. Он не выдвигал никаких конкретных обвинений в неправомерном поведении, но сказал, что ее офис создавал «атмосферу недоверия», предоставляя ему «неправильную или вводящую в заблуждение» информацию. ^[35] В понедельник, 22 февраля 2016 года, ИТ-директор Донна Сеймур подала в отставку, всего за два дня до того, как она должна была дать показания перед комиссией Палаты представителей, которая продолжает расследование утечки данных. ^[36]

Сообщается, что в 2018 году OPM по-прежнему был уязвим для кражи данных: 29 из 80 рекомендаций Счетной палаты правительства остались невыполненными. ^[37] В частности, как сообщается, OPM все еще использовал пароли, которые были украдены в результате взлома. ^[37] Он также не прекратил практику совместного использования административных учетных записей между пользователями, несмотря на то, что эта практика была рекомендована еще в 2003 году. ^[37]

Реакции

Директор ФБР Джеймс Коми заявил: «Это очень большое дело с точки зрения национальной безопасности и с точки зрения контрразведки. Это сокровищница информации обо всех, кто работал, пытался работать или работает на правительство Соединенных Штатов». " ^[38]

Выступая на форуме в Вашингтоне, округ Колумбия, директор Национальной разведки Джеймс Р. Клэппер сказал: «Вы должны как бы отдать должное китайцам за то, что они сделали. Если бы у нас была возможность сделать это, я не думаю, что мы бы это сделали». задумайтесь на минуту». ^[39]

Смотрите также

• Утечка данных Казначейства США и Министерства торговли в 2020 г.
• Кибервойна со стороны Китая
• Операция Аврора
• Yahoo! утечка данных

Рекомендации

1. Барретт, Девлин (5 июня 2015 г.). «США подозревают, что хакеры в Китае взломали записи около четырех (4) миллионов человек, заявляют официальные лица» . Уолл Стрит Джорнал . Проверено 5 июня 2015 г.
2. Зенгерле, Патрисия; Касселла, Меган (9 июля 2015 г.). «Оценка числа американцев, пострадавших от взлома данных правительственных служащих, стремительно растет» . Рейтер . Проверено 9 июля 2015 г.
3. Накашима, Эллен (9 июля 2015 г.). «По данным федеральных властей, в результате взлома баз данных OPM пострадали 22,1 миллиона человек». Вашингтон Пост . Проверено 19 июля 2020 г.
4. Фрулингер, Джош (12 февраля 2020 г.). «Взлом OPM объяснил: плохие методы обеспечения безопасности встретились с китайским Капитаном Америкой». ЦСО онлайн . Проверено 29 мая 2023 г.
5. Ризен, Том (5 июня 2015 г.). «Китай подозревается в краже записей федеральных служащих». Новости США и мировой отчет . Проверено 5 июня 2015 г.
6. Сандерс, Сэм (4 июня 2015 г.). «Массовая утечка данных ставит под угрозу записи 4 миллионов федеральных служащих». ЭНЕРГЕТИЧЕСКИЙ ЯДЕРНЫЙ РЕАКТОР . Проверено 5 июня 2015 г.
7. Гарретт М. Графф, Хакерская волна в Китае будет иметь последствия на десятилетия, Wired (11 февраля 2020 г.).
8. Чаффец, Джейсон (7 сентября 2016 г.). «Утечка данных OPM: как правительство поставило под угрозу нашу национальную безопасность на протяжении более чем поколения» (PDF) . Комитет Палаты представителей по надзору и правительственной реформе . Архивировано из оригинала (PDF) 21 сентября 2018 года . Проверено 4 октября 2019 г.
9. Бойд, Аарон (8 августа 2017 г.). «ИТ-директор OPM Сеймур уходит в отставку за несколько дней до слушания по надзору» . Федерал Таймс . Проверено 4 декабря 2017 г.
10. Сэнгер, Дэвид Э. (5 июня 2015 г.). «Взлом, связанный с Китаем, раскрывает миллионы американских рабочих». Газета "Нью-Йорк Таймс . Проверено 5 июня 2015 г.
11. «Демонстрация продукта выявила «крупнейшую в истории» утечку правительственных данных - Fortune» . Удача . Проверено 10 июля 2015 г.
12. Ким Зеттер и Энди Гринберг (11 июня 2015 г.). «Почему нарушение OPM является таким нарушением безопасности и конфиденциальности». Проводной . Проверено 10 июля 2015 г.
13. «Отчет: Взлом записей государственных служащих, обнаруженный в ходе демонстрации продукта» . Арс Техника . 11 июня 2015 года . Проверено 10 июля 2015 г.
14. Дамиан Палетта и Шивон Хьюз (10 июня 2015 г.). «Шпионские агентства США присоединяются к расследованию кражи личных данных». ВСЖ . Проверено 10 июля 2015 г.
15. «CyTech Services подтверждает помощь в реагировании на нарушения OPM» . ПРВеб . 15 июня 2015 года . Проверено 10 июля 2015 г.
16. «Заслуга за обнаружение нарушения OPM» . ПОЛИТИКА . 27 мая 2016 года . Проверено 17 сентября 2016 г.
17. «Сюрприз! В отчете Палаты представителей руководство OPM обвиняется в нарушении записей» . 7 сентября 2016 г. Проверено 17 сентября 2016 г.
18. Майк Левин. «Взлом OPM гораздо глубже, чем публично признавалось, и оставался незамеченным более года, как сообщают источники» .
19. «Нарушение данных о сотрудниках превышает первоначальный отчет, говорят в США» . Bloomberg.com . 12 июня 2015 г. – через www.bloomberg.com.
20. Ауэрбах, Дэвид. «Нарушение OPM — это катастрофа».
21. Кен Диланиан, Союз: Хакеры располагают личными данными каждого федерального служащего, Associated Press (11 июня 2015 г.).
22. Сэнгер, Дэвид Э. (23 сентября 2015 г.). «Хакеры взяли отпечатки пальцев у 5,6 миллионов американских рабочих, заявляет правительство» . Нью-Йорк Таймс . ISSN  0362-4331 . Проверено 23 сентября 2015 г.
23. Пальери, Хосе (10 июля 2015 г.). «Беспрецедентный результат взлома OPM: 1,1 миллиона отпечатков пальцев» . Проверено 11 июля 2015 г.
24. Галлахер, Шон. «Шифрование «не помогло бы» в OPM, - говорит представитель DHS».
25. Липтак, Кевин (4 июня 2015 г.). «Правительство США взломано; федералы считают, что виноват Китай». CNN . Проверено 5 июня 2015 г.
26. Девлин Барретт (24 августа 2017 г.). «Гражданин Китая арестован по подозрению в использовании вредоносного ПО, связанного со взломом OPM». Вашингтон Пост .
27. Стив Стеклоу и Александра Харни, Эксклюзив: Брокер вредоносного ПО, стоящий за хакерами в США, теперь обучает компьютерным навыкам в Китае, Reuters (24 декабря 2019 г.).
28. Дэвид Ауэрбах , Нарушение OPM — это катастрофа: сначала правительство должно признать свою неудачу. Тогда федералам следует следовать этому плану, чтобы исправить ситуацию, Slate (16 июня 2015 г.).
29. Управление кадрового управления Управления генерального инспектора, полугодовой отчет Конгрессу: 1 октября 2014 г. – 31 марта 2015 г.
30. Шмидт, Майкл С.; Сэнгер, Дэвид Э.; Перлрот, Николь (10 июля 2014 г.). «Китайские хакеры собирают ключевые данные о рабочих в США». Нью-Йорк Таймс . Проверено 29 июня 2015 г.
31. Джексон, Джордж. «Арчулета о попытке взлома и USIS» . Проверено 29 июня 2015 г.
32. Дэвис, Джули Х. (10 июля 2015 г.). «Кэтрин Арчулета, директор Управления кадров, уходит в отставку». Нью-Йорк Таймс . Проверено 10 июля 2015 г.
33. Слишком много информации: стенограмма программы выходных на канале FOX News (12 июля 2015 г.).
34. Аарон Бойд (22 июня 2015 г.). «Нарушение OPM, сбой при шифровании, обнаружении». Федерал Таймс . Проверено 17 ноября 2015 г.
35. «Watchdog обвиняет OPM в препятствовании расследованию взлома» . Фокс Ньюс . Проверено 8 августа 2015 г.
36. «Руководитель кибербезопасности OPM уходит в отставку из-за массовой утечки данных» . США сегодня . Проверено 23 февраля 2016 г.
37. Мэтьюз, Ли. «Управление персоналом все еще уязвимо спустя 3 года после масштабного взлома» . Форбс .
38. «По данным федеральных властей, в результате взлома баз данных OPM пострадали 22,1 миллиона человек» . Вашингтон Пост. 9 июля 2015 г.
39. Джулианна Пепитон, Китай — «главный подозреваемый» во взломах OPM, говорит руководитель разведки Джеймс Клэппер, NBC News (25 июня 2015 г.).