没人知道俄罗斯的骇客入侵有多深

2020-12-16 07:08:38

自三月份以来,俄罗斯黑客就流下了险恶的眼泪。通过将受污染的更新放到广泛使用的IT管理平台中,他们可以攻击美国商务,财政部和国土安全部以及安全公司FireEye。实际上,没有人知道破坏的终点。考虑到攻击的性质,数以千计的公司和组织已经面临数月的风险。从这里开始只会变得更糟。

这是路透社周日首次报道的袭击,显然是由俄罗斯外国情报机构SVR的黑客实施的。这些演员通常被分类为APT 29或" Cozy Bear,"。但是事件响应者仍在尝试将俄罗斯军事黑客设备内的攻击的确切来源拼凑起来。折衷方案全部追溯到SolarWinds,这是一家IT基础设施和网络管理公司,其产品在美国政府,许多国防承包商以及大多数财富500强公司中使用。 SolarWinds在周日的一份声明中说,黑客设法更改了该公司在3月至6月之间发布的网络监视工具Orion的版本。

"我们被告知,这种攻击可能是由一个外部国家实施的,它是一种狭窄的,极有针对性的,手动执行的攻击,而不是广泛的,系统范围的攻击,"该公司写道。

SolarWinds拥有数十万客户。该公司周一在美国证券交易委员会(Securities and Exchange Commission)披露中称,其中多达18,000名可能容易受到攻击。

FireEye和Microsoft都详细说明了攻击的流程。首先,黑客入侵了SolarWinds' Orion更新机制,以便其系统可以将污染的软件分发给成千上万的组织。然后,攻击者可以使用受操纵的Orion软件作为受害者的后门。网络。从那里,他们通常可以通过窃取管理访问令牌来散布在目标系统中。最后,有了王国(或每个王国的大部分)的钥匙,黑客可以自由进行侦察和窃取数据。

这种所谓的供应链攻击可能会带来可怕的后果。通过破坏一个实体或制造商,黑客可以有效并大规模地破坏目标安全性。

这将不是俄罗斯第一次依靠供应链攻击来产生广泛影响。 2017年,该国的GRU军事情报部门使用了对乌克兰会计软件MeDoc的访问权,以在全球范围内释放其破坏性的NotPetya恶意软件。对SolarWinds及其客户的攻击似乎集中在有针对性的侦察而非破坏上。但是,在运行安静细腻的情况下,仍然存在非常现实的风险,即无法立即清除全部损害。一旦攻击者将自己嵌入目标网络(通常称为“建立持久性”)中,仅更新受感染的软件就不足以将攻击者赶走。仅仅因为捕获了Cosy Bear并不意味着问题已经解决。

实际上,FireEye在周日强调说,攻击正在进行中。识别潜在感染并追踪其来源的过程将非常耗时。

"所讨论的攻击者在使用网络基础结构方面尤其分散,"威胁情报公司DomainTools的研究员Joe Slowik说。 "特别是,它们似乎在很大程度上依赖于更新或重新注册现有域,而不是创建全新的项目,并使用各种云托管服务来构建网络基础结构。这些技术可帮助攻击者掩盖其身份的线索,掩盖其踪迹,并通常与合法流量融合。

由于Orion本身就是一个监视工具,因此造成的损害程度也很难得到解决,从而造成了一个“监视者”的角色。问题。出于同样的原因,系统还向Orion授予对攻击者有价值的用户网络信任和特权。受害者和潜在的目标者必须考虑使用Orion的普遍访问,这些攻击还破坏了其许多其他基础结构和身份验证机制的可能性。美国政府机构的暴露程度仍然未知;直到星期一下午才传出DHS也受到影响的消息。

"我们应该期望供应链中的其他组织也受到损害,"威胁追踪公司Binary Defense Systems的首席执行官David Kennedy说,他曾在NSA和海军陆战队工作过。信号情报部门。民族国家通常使用这些类型的攻击来进行有针对性的努力,但您仍然必须承担巨大的影响,并直接影响国家安全。

国土安全部网络安全和基础设施安全局于周日发布了一系列警报,并发布了一项紧急指令,供联邦机构检查是否破坏和断开了SolarWinds Orion产品。 "我们敦促所有合作伙伴-在公共场合&私营部门-评估其遭受此妥协的风险并保护其网络," CISA今天早些时候发布了推文。最近几周,CISA的主任和助理主任被总统唐纳德·特朗普(Donald Trump)辞职或被解雇,其他高级国土安全部网络安全官员也被赶出。由于CISA帮助协调整个政府的防御行动,因此外逃是在不合时宜的时候进行的。

据报道,周六举行了紧急会议的白宫国家安全委员会周一通过发言人约翰·尤利奥特(John Ullyot)表示,它正在与CISA,联邦调查局和情报界合作,以迅速有效的整体回应-政府恢复。"

俄罗斯大使馆在周日否认了该国的介入,称美国媒体的初步归因是毫无根据的企图,指责俄罗斯对美国政府机构进行了黑客攻击。大使馆的声明补充说,俄罗斯不会在网络领域进行进攻性行动。

全世界的攻击者越来越依赖于供应链攻击,以快速有效地获得最大的访问权限或破坏力。 安全社区已经警告了他们非常真实的,最坏的情况下的危险。 SolarWinds辐射的最终程度可能证明它们是正确的。 想要最佳工具来健康吗? 查看我们的Gear团队精选的最佳健身追踪器,跑步装备(包括鞋子和袜子)和最佳耳机