Старший военный командир США выпустил резкое предупреждение о скоординированных усилиях иностранных противников по компромиссу цифровую инфраструктуру Америки с помощью уязвимостей программного обеспечения с открытым исходным кодом. Генерал Пол М. Накасоне, командующий американским кибер -командованием, показал в Комитете по вооруженным службам Сената, что Китай и Россия активно вводят вредоносный код в общедоступное программное обеспечение, используемое в критических секторах США.
Целевое программное обеспечение с открытым исходным кодом образует основу операций в нескольких жизненно важных секторах американской инфраструктуры. Генерал Накасоне подчеркнул, что эти скомпрометированные программы «широко используются военными, государственными и частными секторами США», создавая системные уязвимости. Прозрачность программного обеспечения с открытым исходным кодом, присущая общедоступной и модифицируемой общедоступным и модифицируемым любым, делает его особенно восприимчивым к такой инфильтрации национального государства, несмотря на широкое распространение в основных системах, включая энергосистемы и телекоммуникационные сети.
«Мы видим это различными способами», – заявил Накасоне во время слушания. «Мы видим наших противников, в частности Китая и России, [engaging] В вставке вредоносного кода в программное обеспечение с открытым исходным кодом ». Генерал подчеркнул сложный характер этих скрытых операций, которые направлены на создание постоянных точек доступа в американских цифровых экосистемах.
Это откровение основывается на повышенной обеспокоенности по поводу безопасности цепочки программного обеспечения после разрушительной кибератаки SolarWind 2020 года. Этот инцидент, приписываемый российским спонсируемым государством хакерам, скомпрометировал сети в нескольких правительственных учреждениях США и частных корпорациях, используя доверенные механизмы обновления программного обеспечения. Нарушение выявило фундаментальные недостатки в том, как организации проверяют сторонние программные компоненты.
Правительство США усилило свое внимание на обеспечении цепочки поставок программного обеспечения в последние годы. Эти опасения стали кульминацией в мае 2025 года президента Байдена в мае 2025 года, обязывающего комплексные улучшения кибербезопасности, с конкретными положениями, посвященными уязвимости цепочки поставок. Приказ установил расширенные стандарты безопасности для программного обеспечения, продаваемого федеральному правительству, и создал более строгие требования к отчетности для кибер -инцидентов.
Накасоне описал нынешнюю угрозу как «чрезвычайно серьезно» на самых высоких уровнях правительства. Cyber Command широко сотрудничает с партнерами частного сектора для идентификации и нейтрализации имплантированного вредоносного кода. «Мы очень тесно сотрудничаем с нашими партнерами в частном секторе, чтобы иметь возможность идентифицировать это», – подтвердил он, подчеркивая важную роль сотрудничества в отрасли в национальной кибер -обороне.
Генеральные призвывали к усилению защитных мер в области цепочки поставок программного обеспечения Америки, обозначав текущие гарантии, недостаточные от сложных субъектов национального государства. Он отметил, что противники используют взаимосвязанный характер разработки современного программного обеспечения, где компоненты с открытым исходным кодом обычно интегрируются в коммерческие продукты и государственные системы без тщательного проверки безопасности.
Накасоне сформулировал эту проблему как глобальный в масштабе, подчеркивая, что односторонние действия будут недостаточными. «Это глобальная проблема, и мы должны работать вместе, чтобы решить его», – заявил он, выступая за укрепление альянсов для коллективного противодействия цифровым угрозам. Участие как Китая, так и России указывает на стратегическую конвергенцию среди кибер -противников, которая требует скоординированной международной политики в области кибербезопасности и совместного использования разведки.
Аналитики безопасности отмечают, что компромиссы с открытым исходным кодом представляют собой силу для враждебных наций, что позволяет им одновременно нацелиться на тысячи организаций посредством уязвимостей с одной точкой. В отличие от традиционных кибератак, которые требуют индивидуального проникновения сети, отравленные программные компоненты могут автоматически распространять вредоносное ПО для всех пользователей во время обычных обновлений.
Предупреждение подчеркивает развивающуюся природу кибер -войны, где атаки все чаще происходят задолго до обнаружения с помощью скомпрометированных инструментов разработки и программных зависимостей. Эксперты по кибербезопасности отмечают, что такая тактика отражает стратегический сдвиг в сторону «предварительного расположения» в программных экосистемах, чтобы обеспечить будущие разрушительные операции.
Федеральные агентства, как сообщается, разрабатывают новые структуры для проверки целостности программного обеспечения, включая улучшенные требования к подписанию кода и реализацию биографического счета за программное обеспечение (SBOM). Администрация также рассматривает стимулы для обслуживания с открытым исходным кодом для принятия улучшенной практики безопасности, признавая, что многие критические проекты работают с ограниченными ресурсами, несмотря на их широкое развертывание в критической инфраструктуре.
Поскольку угрозы для цифровых фондов Америки продолжают развиваться, свидетельство подчеркивает неотложную потребность в комплексных стратегиях, которые преодолевают государственный, частный сектор и международные усилия по обеспечению все более сложной ландшафта цепочки поставок программного обеспечения против сложных угроз национального государства.
Source: Pentagon: программное обеспечение с открытым исходным кодом под атакой иностранных противников
