联邦调查人员周四报道了有关渗透政府计算机网络的先前未知策略的证据,这一发展突显了俄罗斯近期入侵的灾难性影响以及联邦官员试图从关键系统清除入侵者所面临的后勤噩梦。
几天来,很明显,由德克萨斯州公司SolarWinds分发的已破坏软件补丁对于俄罗斯获得美国政府计算机系统访问的努力至关重要。但是美国国土安全部网络安全和基础设施安全局周四发出的警报说,证据表明还有其他恶意软件用于发起该警报,这被描述为“对联邦政府以及州,地方,部落和领土政府的严重威胁,以及重要的基础设施实体和其他私营部门组织。”
尽管许多细节仍不清楚,但有关新型攻击方式的启示提出了有关俄罗斯黑客能够在全球政府和公司系统中获得的访问权的新问题。
警报说:“这个对手已经证明了利用软件供应链的能力,并且显示了对Windows网络的大量了解。” “对手可能还有尚未被发现的其他初始访问媒介以及战术,技术和程序(TTP)。”
美国政府没有公开谴责俄罗斯的黑客入侵,但美国官员私下发表讲话说,俄罗斯政府的黑客是此次行动的幕后黑手。莫斯科否认介入。
该警报引用了总部位于弗吉尼亚州雷斯顿的网络安全公司Volexity本周发布的一篇博客文章,内容涉及反复入侵一个未命名的智囊团。据该公司称,该智囊团发生了数年之久没有被发现。在Volexity帖子中以化名描述的攻击者使用“多种工具,后门和恶意软件植入程序”访问了智囊团的网络,并利用了Microsoft Exchange Control Panel软件中的漏洞,该漏洞是该公司电子邮件的核心服务。
微软在一份声明中说:“这是对一个高级复杂威胁参与者的持续调查,该威胁参与者的工具包中包含多种技术。我们在最近的攻击中没有发现任何Microsoft产品或云服务漏洞。”
仅在6月和7月,对智囊团的三个独立入侵中的最后一个涉及到SolarWinds损坏的补丁程序,这表明一个积极进取,持续不断的黑客团队,掌握了成熟的战术。
官员周四说,能源部和管理该国核武器库存的国家核安全局也遭到破坏,据报道,近几天来越来越多的机构被俄罗斯黑客入侵,并且对美国至关重要。国家安全和其他核心政府职能。他们包括国家,财政,商务和国土安全部门,以及美国国立卫生研究院。
能源部发言人Shaylyn Hynes表示,目前,调查发现该恶意软件已隔离到业务网络中,并未影响该部门的“任务必不可少的国家安全职能”,包括NNSA。
据报道,据俄罗斯外国情报服务机构SVR报道,全世界数千家私营公司上载了注入了恶意软件的补丁后,也受到了潜在的影响,其中许多行业处于敏感行业。
一些专家说,清除入侵者并为受影响的网络恢复安全性可能要花费数月的时间,因为黑客从最初的入侵迅速迁移到损坏的软件补丁,以收集和部署真实的系统凭据,从而使发现和补救变得更加困难。据网络安全公司FireEye的调查人员称,关闭最初由俄罗斯人创建的数字后门是不够的,因为它们似乎已窃取了通往联邦和私人公司系统的未知数量的官方门口的钥匙。
周一,微软和FireEye转移了俄罗斯人用来向下载损坏补丁程序的系统发送命令的通道,从而导致恶意软件关闭。但这对那些俄罗斯人已经深入渗透其网络的组织没有帮助。
Volexity总裁史蒂芬·阿德尔(Steven Adair)表示,在每种情况下,入侵美国智囊团的人都在搜索来自特定目标的电子邮件。只有Exchange漏洞与Microsoft有关,但是通过它,黑客能够充当智囊团网络的系统管理员。
Adair说:“如果可以利用它,这是进入人员基础结构的直接途径,并且具有相当高的访问权限。”
同时,SolarWinds问题继续困扰着联邦官员。据美国官员称,运行国防部庞大通信网络的机构下载了一份被毒化的SolarWinds更新,该更新可能使该机构的网络暴露给俄罗斯黑客。由于此事的敏感性,他们与其他人一样以匿名的身份发言。
官员们说,目前尚不清楚黑客是否利用他们进入国防信息系统局的权限来窃取该部门网络中的任何数据。他们说,到目前为止,尚无证据,但调查尚处于初期阶段。
一位美国官员说:“我们只是在弄清联系点以及可能遗留下的东西的前端。” “我们非常重视。我们所需要了解的不多。我们会继续努力直到做到。”
DISA是该部门的信息技术神经中心。除了运行自己的网络(其中包含数十亿美元的合同和计算机网络设计)之外,它还运行国防部未分类的内部网,该网络为全球400万至500万人员提供服务,其中包括承包商和作战区域的士兵。
一名国防官员周四承认,“我们的软件供应链对其系统进行了网络攻击。”
但是,国防部信息网络联合部队总部司令南希·诺顿(Nancy A. Norton)副军长在一份声明中说:“迄今为止,该网络还没有妥协的证据”。该部门将“网络危害”定义为“已知或怀疑的DOD网络暴露于未经授权的人。”
从2016年至2017年,退休的陆军旅长,联邦政府首席信息安全官格雷格·图希尔(Greg Touhill)说,下载受感染的补丁程序可能会使DISA受到对手的攻击。如果我仍然穿着制服,我将承担违约责任。”
专家们对俄罗斯人能否获得国防部网络(尤其是与DISA一样敏感的网络)的访问权表示怀疑,并且不会在假定的访问期数月内利用它,这一观点对此专家表示怀疑。
网络安全专家,Silverado Policy Accelerator智囊团执行主席德米特里·阿尔佩罗维奇(Dmitri Alperovitch)说:“ DOD是俄罗斯情报部门的首要任务之一。” “我无法想象这样一种情况,如果有这样的机会,他们将不会利用它进入屋内,四处走走并尝试窃取尽可能多的与部队结构和战备,武器系统有关的敏感数据,以及其他战略关注的问题。”
俄罗斯黑客以其隐身能力和长时间潜伏在未被发现的受感染网络中而闻名。五角大楼首席信息安全官杰克·威尔默(Jack Wilmer)说:“我最大的担心是,如果您有一个长期处于网络中的高级对手,”五角大楼首席信息安全官直到八月才对该事件一无所知。 “要让他们离开并确保他们不再在那里确实很困难。”
在这一点上,国家安全局是国防部的一部分,它拥有世界上最大的电子监视能力,目前还没有受到损害。官员们说,无论如何,分类网络是“空白的”或与开放互联网断开,不太可能处于高风险中。
事件令人震惊的是,国家安全顾问罗伯特·奥布赖恩(Robert C. O’Brien)于周二下午从欧洲之行赶回,以协调政府对黑客的反应。
一位官员说,周一,国家安全委员会在2016年总统命令下召集了机构紧急会议,以解决“重大网络事件”的协调问题。出席的主要机构是联邦调查局,国土安全部和国家情报局局长办公室。
总统当选人 拜登 周四在声明中 说,他 正在寻求 尽可能多学 ,因为他可以 对 违规行为 。 他说,作为总统,他将与盟国一道对那些负责此类行动的人施加费用。 他说:“面对对我们国家的网络攻击,我不会袖手旁观。”