Оприлюднення великого масиву контрактних даних Міністерства внутрішньої безпеки США (DHS) та Імміграційної та митної служби (ICE) стало одним із найпомітніших інцидентів у галузі кібербезпеки держсектора останнього часу. За атаку взяло відповідальність хактивістське угруповання Department of Peace, а самі матеріали були розповсюджені через платформу Distributed Denial of Secrets (DDoSecrets), яка спеціалізується на публікації злитих даних.
Хактивістська атака на DHS: що саме сталося
За заявами DDoSecrets, викрадений набір файлів походить з Office of Industry Partnership — підрозділу DHS, що координує взаємодію з приватними підрядниками та закупівлю технологій. Саме тут формується «екосистема» технологічних рішень, на яких базується значна частина операцій DHS і ICE.
Витік містить інформацію про контракти з більш ніж 6000 компаніями. Серед них — великі оборонні й технологічні гравці, такі як Anduril, L3Harris, Raytheon, Palantir, а також ІТ‑корпорації Microsoft і Oracle. Фактично, оприлюднено детальну карту постачальників, які забезпечують цифрову інфраструктуру правоохоронних та міграційних структур США.
Політичні мотиви Department of Peace та контекст хактивізму
У супровідному маніфесті учасники Department of Peace пояснюють атаку політичними та етичними мотивами. Вони посилаються на загибель двох американських протестувальників — Алекса Претті (Alex Pretti) та Рене Гуд (Renée Good), які, за твердженням хактивістів, були застрелені агентами ICE в Міннеаполісі раніше цього року.
За словами хактивістів, публікація бази контрактів має показати, які компанії технологічно підтримують операції DHS та ICE, особливо в контексті посилення міграційної політики США у другий президентський термін Дональда Трампа. Вони апелюють до «права суспільства знати», які постачальники та які саме технології задіяні в ініціативах, що викликають дискусії з точки зору прав людини.
Які дані опинилися у відкритому доступі
Дослідник кібербезпеки Міка Лі (Micah Lee) структурував масив злитої інформації та опублікував його з можливістю повнотекстового пошуку. У базі фігурують:
- назви підрядників і субпідрядників DHS та ICE;
- суми, обсяги та параметри контрактів;
- контактні дані представників компаній: ПІБ, e‑mail‑адреси, номери телефонів.
Серед найбільших отримувачів фінансування за підсумковими сумами контрактів виділяються:
Cyber Apex Solutions — близько 70 млн доларів США. Компанія позиціонує себе як постачальник рішень для закриття «прогалин у захисті критичної інфраструктури» США, що робить її ключовим гравцем у сегменті кібербезпеки.
Science Applications International Corporation (SAIC) — орієнтовно 59 млн доларів. SAIC спеціалізується на аналітичних платформах та сервісах штучного інтелекту для держзамовників, включно з системами підтримки прийняття рішень і обробки великих даних.
Underwriters Laboratories — близько 29 млн доларів за послуги тестування, сертифікації та ринкової аналітики, критично важливі для підтвердження відповідності технологій федеральним вимогам безпеки.
Кіберризики витоку: від ланцюга постачання до таргетованих атак
Атаки на ланцюг постачання та розкриття ІТ‑ландшафту
Подібний витік є небезпечним не лише репутаційно. Публікація «карти» постачальників розкриває структуру ІТ‑ландшафту DHS і ICE, створюючи передумови для атаки на ланцюг постачання (supply chain attack). Зловмисники можуть:
- цілеспрямовано атакувати найменш захищених підрядників, використовуючи їх як «транзит» до державних систем;
- підбирати експлойти та шкідливе ПЗ під конкретні платформи й продукти, вказані в контрактах;
- будувати більш правдоподібні сценарії соціальної інженерії, опираючись на знання внутрішніх процесів та структури проєктів.
Світова практика показує, що саме ланцюг постачання часто стає слабкою ланкою: достатньо згадати компрометацію SolarWinds або численні інциденти із зовнішніми підрядниками, які обслуговували державні органи.
Ризики для персоналу та вибух таргетованого фішингу
Окремий блок загроз пов’язаний із розкриттям персональних контактів співробітників компаній-підрядників. Наявність імен, посад, номерів телефонів і робочих e‑mailів відкриває широкі можливості для:
- спірфішингу (цільового фішингу) та BEC‑атак (Business Email Compromise) із використанням реальних деталей контрактів;
- доксингу та потенційного тиску на фахівців, залучених до чутливих проєктів;
- розширення поверхні атаки через як корпоративні, так і особисті канали комунікації.
З урахуванням того, що люди залишаються основною ціллю для зловмисників, оприлюднення таких даних суттєво підвищує ймовірність успішних атак на облікові записи та внутрішні системи.
Zero trust як відповідь: що мають робити держоргани та підрядники
Інцидент із DHS і ICE ще раз підкреслює критичність впровадження моделі zero trust («нульова довіра») у держсекторі та серед його постачальників. Йдеться про принцип, за якого нікому не довіряють за замовчуванням — кожен доступ повинен перевірятися, незалежно від того, хто його запитує і звідки.
Практично це означає:
- мінімізацію прав доступу (принцип найменших привілеїв);
- жорстку сегментацію мереж і сервісів, особливо для зовнішніх порталів та партнерських інтеграцій;
- обов’язкову багатофакторну автентифікацію для всіх облікових записів із доступом до критичних систем;
- регулярні аудити безпеки, моніторинг подій у режимі, наближеному до реального часу, та відпрацювання інцидентів;
- чіткі вимоги з кібербезпеки, закріплені в контрактах із постачальниками, включно з періодичним тестуванням (Red/Blue Team, пентестами) та навчанням персоналу.
Для компаній, що опинилися в оприлюдненій базі, ситуація має стати сигналом до негайної переоцінки ризиків: посилення захисту облікових записів, ревізії процесів роботи з конфіденційними даними та оновлення планів реагування на інциденти. У ширшій перспективі цей випадок демонструє: чим вищою буде культура безпеки на всіх рівнях ланцюга постачання — від великого оборонного підрядника до невеликого ІТ‑інтегратора, — тим складніше буде зловмисникам перетворювати витоки даних на стартовий майданчик для масштабних атак.
