Пентагон закупился на $32 млн полными «дыр» ПК Lenovo, камерами и принтерами
Сотрудники Пентагона, используя специальные карты для недорогих покупок, приобретали для нужд военных уязвимую к кибератакам технику, в частности принтеры Lexmark, камеры Gopro и компьютеры Lenovo.Сомнительные покупки
Министерство обороны США закупило на общую сумму $32,8 млн устройства, в которых содержатся известные уязвимости. Об этом сообщил ресурс ZDNet со ссылкой на отчет генерального инспектора Пентагона.
Согласно отчету, за 2018 г. американские военные приобрели около 1,5 тыс. компьютеров Lenovo, 8 тыс. принтеров Lexmark и больше сотни экшн-камер Gopro. Закупки осуществлялись представителями сухопутных войск и ВВС США с использованием платежных карт, выпущенных правительством и предназначенных для мелких покупок (до $10 тыс.).
По мнению инспектора, Пентагон внедряет в свои сети уязвимое оборудование, которое может быть использовано противниками США.
«Шпионские» принтеры и камеры
Приобретение более чем 8 тыс. принтеров китайской фирмы Lexmark на общую сумму в $30 млн аудиторы называют «большой ошибкой», ссылаясь на отчет Конгресса США за 2018 г. В нем компанию уличают в связях с китайскими военными, а также в причастности к ядерным и шпионским программам КНР.
Кроме того, по словам генерального инспектора МО США, ранее принтеры Lexmark были подвержены более чем 20 уязвимостям, эксплуатация которых позволяла злоумышленникам удаленно осуществлять DoS-атаки (атаки типа «отказ в обслуживании») в сети ведомства или шпионить за его сотрудниками. В качестве примеров таких уязвимостей называются хранение и передача конфиденциальных учетных данных для доступа к сети в виде простого текста и возможность выполнения вредоносного кода на печатающем устройстве.
Старший вице-президент Lexmark Брэд Клэй (Brad Clay), слова которого приводит ZDNet, высказался относительно результатов аудита закупок Пентагона. Топ-менеджер китайской компании «разочарован» и «категорически не согласен с характеристикой, данной Lexmark в отчете генинспектора». Выводы аудиторов о связи Lexmark с китайскими властями он счел «необоснованными».
Помимо «шпионских» принтеров Пентагон для нужд сухопутных войск и ВВС приобрел 117 видеокамер Gopro на $98 тыс., которые также были признаны непригодными для использования по соображениям безопасности.
В отчете отмечается, что закупленные Gopro содержат уязвимости, позволяющие получить удаленный доступ к учетным данным пользователей, которые затем могут быть использованы злоумышленниками для просмотра видеопотока, съемки видео и фотографий, причем незаметно для пользователей.
Претензии к технике Lenovo
Наиболее значительные претензии у проверяющих вызвали 1573 компьютера одного из крупнейших в мире производителей ПК – китайской Lenovo, на которые военные потратили $2,168 млрд вопреки рекомендациям ряда государственных структур.
Воздерживаться от использования техники Lenovo, например, предпочитает сам и советуем другим Госдепартамент, еще в 2006 г. запретивший применять продукцию китайского ИТ-гиганта в своих секретных сетях из-за подозрений в использовании скрытого оборудования и ПО с целью кибершпионажа. О наличии разного рода закладок и прочих критических уязвимостей в продукции Lenovo в 2015 г. предупреждало Министерство внутренней безопасности США. В 2016 г. об опасности использования портативных устройств Lenovo в сетях министерства Пентагону сообщал Объединенный комитет начальников штабов.
Американские госструктуры и кибербезопасность
Различные проверки в американских госструктурах периодически выявляют серьезные угрозы безопасности внутренним информационным системам, которые могут годами оставаться неликвидированными.
Так, в июне 2019 г. инициированная Сенатом проверка зафиксировала наличие уязвимостей в сетях американских министерств национальной безопасности, транспорта, сельского хозяйства, здравоохранения и социальных служб, найденных еще десять лет назад.
Причем ежегодно различные американские министерства и ведомства получают из федерального бюджета средства на укрепление информационной безопасности. Например, в 2020 г. Министерство национальной безопасности США получит на эти цели более $1 млрд.
С проблемами в сфере кибербезопасности сталкиваются не только федеральные структуры, но и власти более низких уровней. Например, чиновникам города Ривьера-Бич во Флориде пришлось выплатить крупную сумму хакерам, которые парализовали муниципальные сети. В июне 2019 г. городской совет проголосовал за выплату $600 тыс. в биткоинах, чтобы вернуть доступ к данным, необходимым для дальнейшего функционирования городских систем.
В начале августра 2019 г. CNews сообщал о том, что по решению суда, Cisco заплатит $8,6 млн за продажу школам, больницам и госорганам США ПО для камер наблюдения, зная о наличии в нем уязвимости.