华尔街日报

2020-12-20 01:54:17

美国涉嫌与SolarWinds软件有关的俄罗斯黑客入侵,危及了美国政府的部分人员,其执行规模甚至令资深安全专家都感到惊讶

据调查人员称,可疑的俄罗斯黑客入侵使美国政府部分受损,其执行范围和复杂程度令资深安全专家感到惊讶,并暴露了美国技术基础设施中潜在的严重漏洞。

随着对大规模黑客活动的调查不断深入(该网络几乎覆盖了18,000家公司和政府机构),安全专家正在发现新证据,表明该行动是范围更广,以前未被发现的网络间谍活动的一部分,该活动可能会持续数年。

这次攻击使用了以前攻击中从未见过的网络工具,将非常隐秘的商业手段混为一谈,其策略将美国所有企业和政府机构所依赖的软件供应链中的薄弱环节归于零,安全专家长期以来一直担心这种方法。但是从未有过这样一种协调一致的方式用于美国目标。

黑客利用间谍伪装的数字等同物来混入通过政府和企业网络流动的大量数据,并且未被发现。他们抢夺了多年历史,但放弃了互联网域名,将其重新用于黑客攻击,并命名了其软件以模仿合法的公司工具。最具有破坏性的是,他们将恶意代码潜入了受信任的软件制造商的合法软件中-一家位于奥斯汀的公司名为SolarWinds,其软件名为Orion。

负责保护美国网络的网络安全与基础设施安全局(Cyber​​security and Infrastructure Security Agency)在周四的警报中表示,有证据表明,黑客已设法利用SolarWinds软件以外的漏洞闯入了计算机网络。该警报将黑客行为标记为对受害受害者的“严重威胁”,它说包括多个政府机构,关键基础设施实体和私营部门公司。

数小时后,美国最高的网络间谍组织国家安全局向防御机构和承包商发出了更广泛的警告,警告诸如SolarWinds攻击所暴露的漏洞。黑客表示,他们正在寻找方法来伪造计算机凭据,以跨网络获得更广泛的访问,并窃取存储在内部服务器和云数据中心中的受保护数据。美国国家安全局说,这种方法可能已经用于对间谍软件机构本月初警告的,用于国家安全界的VMware Inc.软件的攻击。

知情人士称,政府官员和网络安全专家得出结论认为,俄罗斯可能是此次黑客入侵的罪魁祸首,部分原因是涉及的极端技能以及其他机密线索。最近几天,至少有两名参议员接受了简报,并将其公开称为俄罗斯行动。莫斯科否认了责任。

政府官员和立法者仍在努力了解这次黑客攻击的全部后果,这被视为监视内部通讯和窃取可能对莫斯科情报机构有价值的信息的经典但非常成功的尝试。不像过去发生的一些主要网络攻击那样,它被认为是破坏或关闭计算机系统的破坏性攻击。

网络安全公司FireEye表示,全球私营部门客户可能已受到影响。调查人员说,受这次袭击影响的大多数公司都位于美国和西欧。没有外国政府宣布对其自身系统的妥协。一位前英国高级情报官员说,除美国外,西方国家政府都希望在未来几周内发现其系统受到损害的证据。

SolarWinds攻击是美国安全措施无法企及的地方,它不是情报官员发现的,而是几乎偶然地发现的,这要归功于最近几周发给FireEye员工的自动安全警报,该警报本身已经被悄悄地破坏了。

该警告也已发送给公司的安全团队,它告诉FireEye员工,有人使用员工的凭据从无法识别的设备登录公司的虚拟专用网络,这是公司工作人员通常删除的一种安全消息。官员们说,如果这没有引起FireEye高管的审查,很可能仍无法发现这种攻击。

攻击的隐性减慢了确定网络入侵范围的努力,每天都有新的消息出现。能源部周四表示,其业务网络已遭到破坏。部门发言人说,包括国家核安全局在内的关键任务国家安全职能并未受到影响。

尽管美国政府机构显然是目标,但微软周四发布的研究表明,在被确定为SolarWinds黑客攻击受害者的40多个客户中,有44%是IT服务公司。尽管80%的受害公司位于美国,但微软表示,在英国,加拿大,墨西哥,比利时,西班牙,以色列和阿拉伯联合酋长国也达到了目标。

综上所述,调查人员发现,具有历史意义的间谍活动的标志表明,怀疑俄罗斯的黑客行动比几天前所担心的还要广泛。

现在,一些安全专家认为,有线索表明,针对攻击的准备工作可以追溯到四年之前。

知情人士说,这些黑客进入了国土安全部,庞大的国务院,财政和商务部门以及其他部门。多达18,000家公司下载了恶意的SolarWinds更新。调查人员怀疑,由于需要一定的资源和时间来悄悄地渗透到网络中,因此,利用该漏洞,黑客可能潜入数十个或数百个黑客。

但是,由于专家们一直没有发现它,并且由于黑客的专业知识,成千上万的潜在受害者可能永远无法确定他们是否受到威胁,安全专家说。

行业信息共享组织网络威胁联盟(Cyber​​ Threat Alliance)首席执行官,奥巴马政府前白宫网络安全协调员J. Michael Daniel说:“范围非常广泛,并且有可能损害我们的经济安全。” “要弄清楚损害的全部范围和程度,将需要很长时间,而且修复可能会花费很多钱。”

对于美国情报界来说,这也是一双黑眼睛。美国情报界一年中的大部分时间都在担心俄罗斯或其他针对美国总统大选的黑客行为,并且在这种情况发生时怀有庆祝的心情。实际的攻击最终以不同的目标(政府和公司网络)为目标,并且几乎没有被FireEye而非政府安全机构发现并发现。

有关登录尝试的警告在网络供应商处发出了红色警报,该警报负责帮助保护一些最大的公司的网络。 FireEye在大约3,400名员工中投入了100多名网络侦探。经过培训可以调查其他公司的违规行为,他们现在发现自己正在搜索公司自己的网络。

FireEye首席执行官凯文·曼迪亚(Kevin Mandia)谈到明显的入侵时说:“它酥脆,干净。” “经过多年对违规行为的回应,多年对细节的理解,对此事情有所不同。”

FireEye事件响应部门高级副总裁Charles Carmakal领导了该公司的调查。 Carmakal先生说,在此过程的早期,他意识到公司正在与他见过的最先进,纪律最严谨的黑客组织竞争。

在令人担忧的迹象中,攻击者似乎了解通常会帮助像FireEye这样的公司发现入侵的危险信号,并且他们四处导航:他们使用了完全位于美国的计算机基础架构;他们给系统起了与真正的FireEye员工系统相同的名称,这是一种异常熟练的策略,旨在进一步掩盖黑客的身影。

更令人震惊的是,FireEye,情报界的其他安全公司和合作伙伴以及执法部门找不到任何证据将该基础设施与对其他受害者的攻击联系起来。黑客,即使是好的黑客,也经常重用其网络工具,因为这样做更容易,更便宜,而且速度更快。

FireEye等人说,激光聚焦使攻击更难检测。曼迪亚先生将这次活动比作“狙击手穿过防弹背心”。

Carmakal先生说,一旦他们注意到SolarWinds Orion产品发出可疑活动,该公司的恶意软件分析师就搜寻了大约50,000行代码,以寻找“一堆针”,最终发现了数十行可疑代码,似乎没有任何理由在那里。进一步的分析证实它是黑客入侵的根源。

自周三起,该公司通知了软件供应商SolarWinds,该软件供应商自3月以来就无意间发送了受污染的软件,并告知了其最新发现,并更新了美国政府。 SolarWinds周四表示:“我们动员了事件响应团队,并迅速转移了大量内部资源来调查和修复漏洞。”

SolarWinds表示,本周发布了一个快速修复程序,为客户修复了安全问题。但是专家警告说,仅仅切断黑客的访问点并不能保证将其删除,尤其是因为他们会利用自己在这些网络中的时间来进一步隐藏其活动。

尽管情报官员和安全专家普遍认为俄罗斯应对此负责,有些人认为这是莫斯科外国情报部门的工作,但FireEye和Microsoft以及一些政府官员认为,这次袭击是由从未有过的黑客组织实施的,其工具和技术以前未知。

国家安全局前总顾问格伦·格斯特尔(Glenn Gerstell)说:“当我们这样做时,我们很幸运被抓住。”格斯特尔说,尽管间谍软件具有强大的间谍功能,并承诺不断监视外国黑客在海外的行为,但法律限制使美国情报机构不适合追随像SolarWinds黑客那样在国内计算机基础设施上扎营的有能力的对手。

SolarWinds黑客的复杂性和广泛的成功代表了网络安全的新领域,但是以前曾使用过使用受信任的软件提供商作为特洛伊木马入侵其客户的技术。 2017年,与俄罗斯有联系的黑客也将恶意软件纳入了一个晦涩的乌克兰税收计划中,导致全球范围内爆发了名为NotPetya的破坏性软件。联邦快递后来表示,该事件使该公司损失了4亿美元。另一个受害者,默克公司Co.估计清理费用为6.7亿美元。

随着SolarWinds的攻击,隐身而不是破坏是首要任务。这使得它很久以来未被发现,并且还表明黑客可以通过访问具有美国政府和《财富》 500强公司网络的中型公司的软件开发工具来走多远。

黑客如何获得对SolarWinds系统的访问以引入恶意代码仍不确定。该公司表示,其Microsoft电子邮件帐户已被盗用,该访问权限可能已用于从该公司的Office生产力工具中收集更多数据。

威胁情报公司DomainTools LLC的研究人员乔·斯洛维克(Joe Slowik)称,去年,当黑客收购了互联网域时,就已经部署了SolarWinds黑客的关键要素。安装后,恶意软件将连接到位于这些域中的服务器上,从而使它们可以对SolarWinds客户发起进一步的攻击并窃取数据。

网络安全公司Volexity Inc.的总裁史蒂芬·阿代尔(Steven Adair)表示,该公司追踪SolarWinds黑客的行为至少可以追溯到四年之前。

今年7月,他调查了一个使用SolarWinds软件的智囊团的闯入事件,但他拒绝透露这个消息。阿代尔说,由于黑客试图阅读特定员工的电子邮件,智囊团遭受了四年攻击。他们第一次获得访问权限时,就使用了未知的方法。他们第二次利用Microsoft Exchange软件中的错误。当FireEye在周日公开发布SolarWinds调查结果时,Adair先生说,他“在几秒钟内”知道这与他在夏天调查的事件有关。

Carmakal先生说,FireEye最近几天接到了一些客户的电话,这些客户认为即使他们从未在其网络上未安装SolarWinds软件,他们也被相同的黑客渗透。

卡玛卡尔说:“认为我们在组织中必须打破的唯一技术就是SolarWinds,这对我们来说是愚蠢的。” “随着我们继续调查,我们可能会发现攻击者使用了另一种途径来访问这些组织。”

出现在2020年12月18日,印刷版为' U.S。网络攻击表明存在更复杂的黑客攻击。'