美国巨人计算机安全漏洞利用非常常见的软件
骇客活动已获得包括美国财政部,商务部和国土安全部在内的许多政府和行业组织对私人信息的访问权。网络攻击是在上周末首次报道的,其攻击是通过损害由名为SolarWinds的供应商生产的软件平台进行的。
SolarWinds总裁兼首席执行官Kevin Thompson在一份准备好的声明中解释说:“我们已经意识到潜在的漏洞,如果存在的话,目前被认为与2020年3月至2020年6月间发布的Orion监控产品更新有关。”通过电子邮件共享。 “我们认为,此漏洞是一个民族国家高度复杂,有针对性的手动供应链攻击的结果。我们正在与FireEye,联邦调查局,情报界和其他执法机构密切合作,以调查这些问题。”
由于成千上万的客户都依赖SolarWinds的产品,专家们希望在未来几天内发现更多的违规情况。 《科学美国人》采访了乔治敦大学外交学院专门研究网络安全和治国之道的本·布坎南(Ben Buchanan),他解释了为什么这么多组织依赖这种第三方软件,以及它的危害如何使他们容易受到网络攻击。
问题的核心是,对于大型组织(例如政府机构或公司)而言,其计算机网络非常复杂。而且他们经常求助于软件来管理这些计算机网络:了解流量如何流动,网络上有哪些设备,事物是如何配置的。 SolarWinds是此类软件的一个示例,似乎在整个政府和行业中都已广泛使用。但是,由于它用于管理这些网络,因此它具有特权位置,可以看到很多情况。如果您破坏了SolarWinds,则有可能破坏更广泛的计算机网络。
那就对了。我们仍在学习更多,但是似乎发生的事情是黑客以某种方式获得了操纵SolarWinds自身代码的能力;本质上,他们在SolarWinds中放置了后门,使他们能够进行恶意活动。而且,SolarWinds的客户在3月之后的某个时候将软件更新下载到了他们的系统中,但没有意识到它部分是恶意的。一旦这样做,他们实际上就为黑客提供了进入其网络的入口。黑客从那里开始做诸如收集密码和其他凭据之类的事情,以尝试进一步访问他们已经破坏了SolarWinds的最初节点所损害的每个网络。
利用他们获得的密码,他们几乎可以肯定地使用该密码来访问目标组织内的更多计算机和更多帐户。看来他们的最终目标不仅是获得密码,而且还获得文件等,然后通过间谍操作将这些信息撤回。我认为现在说间谍活动的规模还为时过早,现在说出实际上有多少潜在的受害者受到这种方式的侵犯还为时过早。 SolarWinds表示,该组织少于18,000个组织-这是一个令人放心的数目,因为它很大。这似乎是间谍活动的最高端。
我敢肯定,每个大型组织都依赖类似的方法来管理特别复杂的网络。这种企业管理只是运行一个现代化的大型组织的一部分,而现在的挑战是这些组织必须信任某人的软件。在这种情况下,他们信任的一家公司竟然遭到了破坏。我敢肯定,SolarWinds不是唯一处于这种信任位置的组织。而且我敢肯定,任何看到如此众多高知名度目标使用的组织本身就是目标。
就像警察通过寻找一种操作方法来调查一连串的银行抢劫案,或是将一种抢劫案与另一种抢劫案联系在一起的法医证据一样,您也可以通过黑客手段来做同样的事情。调查人员(通常是私营部门,有时是政府部门)将调查一系列案件,以为黑客建立一种运作模式。他们会将不同的运营模式聚集到不同的小组。在这种情况下,报告表明的活动模式表明这是俄罗斯的SVR情报服务,我们已经看到,它以前从未对美国和全球目标进行过非常复杂的黑客攻击操作-从未造成破坏性攻击,但这些复杂的间谍活动始终会触及高价值目标。
下一步肯定是要进行非常彻底的调查,这是我们所见过的最重要的网络调查之一,只是因为此漏洞的范围如此之大。我们谈论的是潜在的成百上千个组织(可能是数百个组织),这些组织本来可能会因这次违规而受到损害。一旦像SVR一样复杂的代理机构能够访问网络,他们就很难脱离网络。因此,补救此漏洞将很困难。在接下来的几周内,我们将开始意识到,所获取的信息在一定程度上,受害者是谁。我认为,这其中的每一个都会给我带来另一冲击,并提高人们对该行动的关注程度。
这是一种情况,因为入侵很难完成,因此很难提供简单的修复程序列表。由于这些都是老练的对手,因此他们破坏了SolarWinds系统,该系统得到了广泛使用和广泛信任。他们实质上是利用这种信任来开展业务,而这确实是很难防御的。这与修复单个软件漏洞并应用补丁不同,要抵御这种威胁要困难得多。
这揭示了网络空间中国家之间竞争的激烈程度。我们花费大量时间谈论威慑,规范和国家之间的信号。但是我认为,这种活动(竞争,间谍活动,远远低于冲突的门槛)(我称之为塑造适合自己目的的国际环境)与网络安全过程息息相关。因此,尽管这当然是最高水准,但导致此类事件的日常比赛对于球场而言是无与伦比的。我认为我们可能需要在政策界花费更多时间来思考其含义。现在非常清楚,无论是政策还是技术方面的现状都不能阻止我们开展这项活动,也不能从技术上阻止这项活动。
