分析发现24个以上安装了SolarWinds代码的组织,包括Cisco,Intel,Nvidia,VMware,Belkin,CA医院和肯特州立大学
《华尔街日报》对互联网记录的分析发现,在美国政府机构遭到破坏的可疑俄罗斯黑客还可以访问美国主要的技术和会计公司,至少一所医院和一所大学。
《华尔街日报》在两个十几个组织中发现了受感染的计算机,这些组织安装了被称为SolarWinds Orion的受污染的网络监视软件,该软件允许黑客通过秘密插入的后门进入。它使他们有可能访问许多敏感的公司和个人数据。
其中包括:技术巨头思科系统芯片制造商英特尔和Nvidia,会计公司Deloitte LLP,云计算软件制造商VMware和Belkin International Inc.,后者以LinkSys和Belkin品牌销售家用和办公用Wi-Fi路由器以及网络设备。攻击者还可以访问加利福尼亚州立医院和肯特州立大学。
受害者说,这为黑客入侵的范围提供了一个小窗口。该公司称,在黑客将例行软件更新与恶意代码捆绑在一起之后,这可能会吸引多达18,000名总部位于奥斯丁的SolarWinds Corp.客户。
SolarWinds表示,它追踪到的黑客活动至少可以追溯到2019年10月,并且它目前正在与安全公司,执法机构和情报机构合作调查这次攻击。
思科确认已在某些员工系统和少量实验室系统上找到了恶意软件。该公司仍在调查中。公司发言人说:“目前,对思科的产品或报价没有已知的影响。”
《华尔街日报》的分析发现,英特尔下载并运行了该恶意软件。该公司发言人称,该公司正在调查此事件,没有发现黑客利用后门访问公司网络的证据。
根据《华尔街日报》的分析,Deloitte于6月下旬受到感染,它表示“已采取步骤解决”该恶意软件,但“目前尚未发现未经授权访问我们系统的迹象”。
一位发言人说,VMware表示已经在其系统中找到了恶意软件的“有限实例”,但是其“内部调查并未发现任何被利用的迹象。”
贝尔金在一封电子邮件中说,在上周联邦官员发出警报后,它立即删除了后门。公司发言人说:“迄今为止,尚未发现任何已知的负面影响。”
肯特州立大学的一位女发言人说,学校“已经意识到了这种情况,并正在评估这一严重问题。”
据《华尔街日报》的分析,加州州立医院部门已于8月初安装了后门程序。加利福尼亚州州长紧急服务办公室发言人说,各州官员正在与联邦和州机构合作,以解决SolarWinds后门的影响,但他拒绝评论受影响的特定机构。
英伟达发言人表示,该公司“目前没有证据表明英伟达受到了不利影响,我们的调查正在进行中。”
《华尔街日报》从威胁情报公司Farsight Security和RiskIQ收集的受害者计算机中收集了数字线索,然后使用解密方法来揭示某些下载了恶意代码的服务器的身份。在某些情况下,分析得出了受感染组织的身份,并显示了何时激活了代码-表示黑客可以访问。
尚不清楚黑客在各个组织内部的行为,或者他们甚至对许多公司都使用了后门程序。但是调查人员和安全专家说,除了内部通讯和其他政府机密之外,黑客可能还寻求企业高管的电子邮件,有关正在开发的敏感技术的文件以及以后危害更多系统的其他方法。
不确定性使SolarWinds的客户(包括主要的技术公司,超过400家的财富500强公司和许多政府机构)争先恐后地确定了后果以及黑客是否留在公司内部。
这次攻击使用了以前攻击中从未见过的网络工具,将非常隐秘的贸易手段混为一谈,其策略将美国所有企业和政府机构所依赖的软件供应链中的薄弱环节归零-安全专家长期以来一直担心这种方法但是从来没有像现在这样以协调一致的方式在美国目标上使用过这种武器。
政府机构和网络安全专家仍在努力组织大规模的涉嫌间谍活动。至少有六个联邦机构,包括州,国土安全,商务和能源部,被黑了。
网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency)上周发布了一条警报,称该黑客攻击“严重”且仍在持续。 SolarWinds已发布了一个关闭后门的更新程序,并且Microsoft已控制了部分黑客基础结构,以防止攻击扩散。
联邦调查人员得出的结论是,俄罗斯政府可能对此黑客行为负责,部分原因是涉及的技能水平。最近几天收到简报的几位参议员公开称其为俄罗斯行动。周五,国务卿迈克·庞培成为特朗普政府第一位公开谴责莫斯科的官员,尽管特朗普总统在周六的一条推文中暗示没有证据表明中国可能对此负责。
“客户肯定吓坏了,”戴维·肯尼迪(David Kennedy)说,他的公司TrustedSec LLC正在调查这种黑客行为。他说,对于许多公司而言,令人担忧的是攻击者是在企业网络中窃取了数据还是仍未被发现。更重要的是,由于攻击可以追溯到数月之久,因此某些公司可能不再拥有进行完整调查所需的取证数据。
“如果确实如我们所愿,这确实是SVR,那么这些家伙很难被赶出网络,”网络安全专家,Silverado Policy Accelerator智囊团的联合创始人Dmitri Alperovitch说,他指的是俄罗斯外国情报服务。
Alperovitch先生说,有些组织在其系统上拥有更好的活动记录,很可能能够确定是否有人通过俄罗斯的后门进入了他们的网络,他也是网络安全公司CrowdStrike Holdings的共同创始人,但对于其他组织,尤其是中小型企业对于公司而言,这将是一项艰巨而昂贵的任务,许多人可能会忽略这一任务-这意味着俄罗斯可以无限期地维持在某些网络中的存在。
阿尔珀罗维奇表示:“他们可能只是要拆除后门,然后继续前进。”
对于许多公司受害者而言,现在迫在眉睫的担心是,黑客可能会将其用作获取客户的途径。例如,微软在周四发布的研究中发现,在遭受攻击的40多个客户中,近一半是信息技术服务公司,这些公司通常可以广泛访问其客户的网络。
微软本身就是SolarWinds的客户,上周表示,它也已经在其自己的网络上检测到与黑客攻击有关的恶意软件,但“没有迹象表明我们的系统曾被用来攻击其他系统,”公司发言人说。该公司的调查仍在继续。
写信给[email protected]的Kevin Poulsen,写信给[email protected]的Robert McMillan,写信给[email protected]的Dustin Volz。
