Как привлечение заемных средств от частных инвестиционных фондов сделало ведущий VPN-сервис уязвимым для китайских хакеров

Как привлечение заемных средств от частных инвестиционных фондов сделало ведущий VPN-сервис уязвимым для китайских хакеров

В начале 2024 года агентство, курирующее кибербезопасность большей части правительства США, издало редкий чрезвычайный приказ — немедленно отключить программное обеспечение виртуальной частной сети Connect Secure. Китайские шпионы взломали код и проникли почти в две дюжины организаций.

Директива распространялась на все гражданские федеральные ведомства, но, учитывая клиентскую базу продукта, ее влияние ощущалось гораздо шире. Программное обеспечение, разработанное компанией Ivanti Inc. , стало своего рода отраслевым стандартом в правительстве и значительной части корпоративного мира. По данным федеральных закупочных документов, внутренних документов, интервью и рассказов бывших сотрудников Ivanti, пожелавших остаться анонимными, поскольку они не были уполномочены разглашать информацию о клиентах, среди клиентов были ВВС, армия, флот и другие подразделения Министерства обороны США, Государственный департамент, Федеральное управление гражданской авиации, Федеральная резервная система, Национальное управление по аэронавтике и исследованию космического пространства, тысячи компаний и более 2000 банков, включая Wells Fargo & Co. и Deutsche Bank AG .

Вскоре после рассылки распоряжения, предписывающего ведомствам установить исправление, разработанное компанией Ivanti, сотрудники Агентства по кибербезопасности и защите инфраструктуры (CISA) обнаружили, что угроза проникла и в их собственный дом. Две конфиденциальные базы данных CISA — одна содержала информацию о персонале химических предприятий, другая оценивала уязвимости операторов критической инфраструктуры — были скомпрометированы с помощью собственного программного обеспечения агентства Connect Secure . CISA следовала всем своим собственным рекомендациям. Исправление от Ivanti оказалось неэффективным.

Это стало переломным моментом для некоторых американских чиновников, отвечающих за национальную безопасность, которые давно выражали обеспокоенность по поводу VPN-сервисов Connect Secure. Впоследствии CISA опубликовала письмо совместно с Федеральным бюро расследований и национальными агентствами кибербезопасности Великобритании, Канады, Австралии и Новой Зеландии, предупреждая клиентов о «значительном риске», связанном с дальнейшим использованием этого программного обеспечения. По словам Лоры Галанте , тогдашнего высокопоставленного сотрудника по вопросам кибербезопасности в Управлении директора национальной разведки, правительство пришло к простому выводу относительно этой технологии.

«Вам не следует этим пользоваться», — сказала она. «Другого способа выразить это нет».

Как выяснило агентство Bloomberg, эта атака, наряду с несколькими другими, успешно нацеленными на программное обеспечение Ivanti, иллюстрирует, как стремление частных инвестиционных фондов проникнуть на рынок кибербезопасности в конечном итоге поставило под угрозу качество и безопасность некоторых критически важных VPN-продуктов. В прошлом году Bloomberg сообщило , что Citrix Systems Inc. , еще один ведущий производитель VPN-решений, подверглась нескольким крупным хакерским атакам после того, как ее частные владельцы, Elliott Investment Management и Vista Equity Partners , сократили большую часть из 70 сотрудников команды по обеспечению безопасности продуктов после приобретения компании в 2022 году.

Некоторые государственные чиновники и руководители частных компаний сейчас пересматривают свой подход к оценке программного обеспечения для кибербезопасности. Помимо исключения из своих сетей VPN-сервисов, принадлежащих частным инвестиционным фондам, некоторые учитывают долю частных инвестиционных фондов при оценке рисков ключевых технологий.

Роб Лихи — бывший главный информационный директор Центра космических полетов имени Годдарда НАСА. Он отказался обсуждать НАСА конкретно, но сказал, что инциденты с Ivanti подчеркивают его опасения по поводу компаний, занимающихся кибербезопасностью и принадлежащих частным инвестиционным фондам. По его опыту, сказал Лихи, частные инвестиционные фирмы часто отдают приоритет увеличению прибыли и погашению долга, а не постоянным инвестициям в разработку продуктов.

«Это должно быть частью оценки рисков при рассмотрении продукта: какова структура собственности? Инвестируют ли они в будущее или нет? Наблюдали ли мы за эти годы, как они перенаправляли средства с инвестиций на погашение долгов? На мой взгляд, это большой риск», — сказал он.

Компания Ivanti, базирующаяся в штате Юта, была создана в 2017 году в результате объединения двух IT-компаний, занимающихся разработкой программного обеспечения, которые частная инвестиционная группа Clearlake Capital Group приобрела посредством сделок с использованием заемных средств. Три года спустя Ivanti приобрела калифорнийского производителя VPN-сервисов Pulse Secure в рамках еще одной сделки, финансируемой за счет заемных средств. К тому моменту пандемия COVID-19 парализовала экономику, а Федеральная резервная система снизила процентные ставки до нуля. Частные инвестиционные компании воспользовались низкими процентными ставками, чтобы начать массовые покупки, скупая такие компании, как McAfee Corp., Proofpoint Inc. и Citrix.

Компания Ivanti была привлечена обширным портфолио государственных и корпоративных контрактов Pulse Secure на поставку VPN-сервисов. В разгар пандемии этот шаг казался беспроигрышным вариантом: VPN позволяют пользователям удаленно получать доступ к ИТ-сетям, что делает их незаменимым инструментом для работы из дома. По данным источников, знакомых с финансовым положением компании и пожелавших остаться анонимными, поскольку они не были уполномочены разглашать конфиденциальные данные, продажи Pulse удвоились в 2020 году.

Компания опровергла утверждения о том, что ее модель владения негативно повлияла на ее деятельность, и подчеркнула, что VPN-сети всегда подвержены высокому риску атак.

«Сегодня неустанные и высокотехнологичные атаки, спонсируемые государством, на периферийные устройства являются прямым результатом их положения и роли в сетях, а также типов обслуживаемых ими клиентов», — говорится в заявлении Ivanti. «Государственная или частная собственность компаний, занимающихся кибербезопасностью, не имеет значения».

VPN-сервисы, ставшие мишенью атак, существуют уже несколько десятилетий и часто используют устаревший код. По словам бывших сотрудников, это было справедливо и для VPN-сервисов Connect Secure, поскольку Ivanti унаследовала программное обеспечение со множеством необнаруженных недостатков. Вскоре после завершения сделки по приобретению Pulse Secure, как они отметили, некоторые сотрудники компании поняли, что технология остро нуждается в инвестициях.

В течение нескольких лет компания Ivanti, обремененная долгом в 2,8 миллиарда долларов, начала сокращать бюджеты и увольнять сотрудников по всей компании, включая подразделение VPN. Это, согласно открытым документам и свидетельствам бывших сотрудников, сделало Connect Secure и более чем 20 000 ее клиентов уязвимыми.

Компания Ivanti начала увольнять сотрудников сразу после поглощения производителя VPN-сервисов в конце 2020 года. Пик увольнений пришелся на 2022 год, когда резко выросли процентные ставки, и продолжается до сих пор. За этот период три отдельные хакерские кампании, спонсируемые китайским государством, использовали более десятка ранее неизвестных уязвимостей в VPN-сервисах Connect Secure. (Министерство иностранных дел Китая не ответило на запросы о комментариях.)

«В первый раз, когда вы обнаруживаете уязвимость в определенном участке кода, вам должно быть стыдно», — сказал Лейзерсон. «Во второй, третий, четвертый и пятый раз — стыдно мне».

Кибербезопасность — это гонка вооружений. Чтобы опережать хакеров, требуются постоянные инвестиции, и это особенно актуально для производителей VPN и других технологий, которые выступают в качестве барьера между частными сетями и открытым интернетом. Специалисты в этой области знают, что привлечение и удержание опытных инженеров — это не просто преимущество, а основа бизнеса. Согласно внутренним документам компании, самые высокооплачиваемые инженеры в Pulse Secure зарабатывали около 300 000 долларов в год.

https://www.bloomberg.com/news/features/2026-02-19/vpn-used-by-us-government-failed-to-stop-china-state-sponsored-hackers?srnd=phx-technology