俄罗斯的SolarWinds袭击

最近的新闻都在谈论俄罗斯对美国的大规模网络攻击，但这在两个方面是错误的。就国际关系而言，这不是网络攻击，而是间谍活动。受害者不仅仅是美国，而是整个世界。但是它很大，很危险。

和平时期在国际上允许进行间谍活动。问题在于，间谍活动和网络攻击都需要相同的计算机和网络入侵，而且区别仅在于几次击键。而且，由于这项俄罗斯行动根本不是针对性的，因此整个世界都处于危险之中-而不仅仅是来自俄罗斯。许多国家/地区开展此类行动，其范围比美国更广泛。解决方案是将安全和防御置于间谍和攻击之上。

我们所了解的是：Orion是来自SolarWinds公司的网络管理产品，在全球拥有300,000多个客户。 3月之前的某个时候，为俄罗斯SVR工作的黑客（以前称为KGB）入侵了SolarWinds，并将后门插入了Orion软件更新。 （我们不知道如何，但是去年该公司的更新服务器受到密码“ solarwinds123”的保护，这说明缺乏安全文化。）3月至6月之间下载并安装了损坏的更新的用户不经意间提供了SVR。黑客访问其网络。

这称为供应链攻击，因为它针对组织而不是组织本身针对供应商，并且可能影响所有供应商的客户。这是一种越来越常见的攻击网络的方法。这种攻击的其他示例包括Google Play商店中的假冒应用程序，以及黑客入侵了智能手机的替换屏幕。

SolarWinds已从其网站上删除了客户列表，但Internet存档将其保存：美国军方，国务院，白宫，国家安全局的全部五个分支机构，《财富》 500强公司中的425个，前五名会计中的全部五个公司，以及数百所大学和学院。在向美国证券交易委员会提交的文件中，SolarWinds表示相信“不到18,000”的客户安装了此恶意更新，另一种说法是超过17,000。

那是很多易受攻击的网络，而且SVR渗透到了它们的全部是不可想象的。相反，它从聚宝盆中仔细选择了目标。微软的分析确定了利用此漏洞渗透的40个客户。其中绝大多数是在美国，但也针对了加拿大，墨西哥，比利时，西班牙，英国，以色列和阿联酋的网络。该清单包括政府，政府承包商，IT公司，智囊团和NGO，并且肯定会增长。

一旦进入网络，SVR黑客就会遵循标准的操作手册：建立持久访问，即使最初的漏洞已修复，该访问也将保留；通过破坏附加系统和帐户在网络中横向移动；然后提取数据。不成为SolarWinds客户不能保证安全。该SVR操作还使用了其他初始感染媒介和技术。这些都是老练且耐心的黑客，我们只是在这里学习其中涉及的一些技术。

要从这种攻击中恢复过来并不容易。由于任何SVR黑客都会建立持久访问权限，因此确保您的网络不受损害的唯一方法是将其刻录到地面并进行重建，这类似于重新安装计算机的操作系统以从严重的黑客攻击中恢复过来。这就是许多系统管理员要度过圣诞节假期的方式，即使这样他们也不能确定。建立持久访问的方法有很多，可以重建单个计算机和网络。例如，我们知道有一种NSA漏洞利用，即使重新格式化后也仍然保留在硬盘上。影子经纪人（再次被认为是俄罗斯）从NSA窃取并于2016年发布，该漏洞利用代码是Equation Group工具的一部分，该影子经纪人再次被认为是俄罗斯。SVR可能具有相同的工具。

即使没有这些警告，许多网络管理员也不会经历漫长，痛苦且可能耗资巨大的重建过程。他们只是希望最好。

很难高估这有多严重。我们仍在了解遭到破坏的美国政府组织：国务院，财政部，国土安全，洛斯阿拉莫斯和桑迪亚国家实验室（开发核武器的国家），国家核安全局，国家卫生研究院，以及许多更多。在这一点上，虽然这很容易改变，但没有迹象表明有任何分类网络被渗透。了解SVR渗透到哪些网络以及它仍可访问的位置将花费数年。其中大部分可能会被分类，这意味着我们公众永远不会知道。

而且，既然Orion漏洞是公开的，其他政府和网络犯罪分子将使用它来入侵易受攻击的网络。我可以向您保证，美国国家安全局（NSA）正在使用SVR的黑客入侵其他网络；他们为什么不呢？ （是否有俄罗斯组织在使用Orion？可能是。）

尽管这是一个巨大的安全失败，但正如参议员理查德班（Richard Durban）所说，这并不是“实际上是俄罗斯对美国宣战”。虽然当选总统拜登说，他会做出这样的首要任务，这是不可能的，他会做很多工作来报复。

原因是，按照国际规范，俄罗斯没有做错任何事情。这是正常情况。各国一直在互相监视。没有规则，甚至没有规范，基本上是“买方当心”。美国经常没有对报复行动进行报复，例如中国对个人管理办公室（OPM）的入侵和俄罗斯以前的入侵。因为我们也这样做。在谈到OPM黑客攻击时，当时的国家情报总监詹姆斯·克拉珀（James Clapper）说：“您必须为中国人的所作所为向他们致敬。如果我们有机会做到这一点，我想我们不会犹豫一分钟。”

我们没有，我相信NSA员工对SVR印象深刻。迄今为止，美国拥有世界上最广泛和最具侵略性的情报机构。 NSA的预算是所有情报机构中最大的。它积极利用美国控制大多数互联网骨干网和大多数主要互联网公司的地位。爱德华·斯诺登（Edward Snowden）透露了其2014年左右的努力目标，然后包括193个国家，世界银行，国际货币基金组织和国际原子能机构。毫无疑问，我们目前正以这种SVR行动规模进行进攻性行动，而且它可能永远不会公开。 2016年，奥巴马总统吹嘘说，“我们在进攻和防御上的能力都超过任何人。”

他可能对我们的防御能力过于乐观。与攻击性网络安全相比，美国在攻击方面的优先级和支出是防御性网络安全的许多倍。近年来，国家安全局（NSA）采取了“持续参与”策略，有时也称为“向前防御”。我们的想法是，我们不是被动地等待敌人攻击我们的网络和基础架构，而是继续进攻并在攻击到达我们之前将其中断。俄罗斯互联网研究机构（Russian Internet Research Agency）挫败了一场破坏2018年大选的阴谋，这一战略功不可没。

但是，如果持续参与如此有效，它怎么会错过这种大规模的SVR操作呢？似乎整个美国政府都在不知不觉中将信息发送回莫斯科。如果我们一直在观察俄国人的所作所为，那么我们会看到一些证据。在美国国家安全局（NSA）和美国网络司令部（US Cyber​​ Command）的密切关注下，俄罗斯人的成功表明这是一种失败的做法。

美国的防御能力又如何错过这一点？我们知道此漏洞的唯一原因是，本月初，安全公司FireEye发现该漏洞已被黑客入侵。在对其网络进行自己的审核期间，它发现了Orion漏洞，并向美国政府发出了警报。为什么像国务院，财政部和国土安全部这样的组织不定期对自己的系统进行这种级别的审计？政府的入侵检测系统Einstein 3在这里失败了，因为它没有检测到新的复杂攻击-一种在2018年指出的缺陷，但从未修复。我们不必依靠一家私人网络安全公司来向我们发出重大民族国家袭击的警报。

如果有的话，美国将进攻放在防御上的优先地位使我们不太安全。为了监视起见，美国国家安全局（NSA）推行了不安全的手机加密标准，并在随机数生成器（对于安全加密很重要）中使用了后门。司法部从未坚持过要通过后门使世界上流行的加密系统不安全，这是攻击和防御冲突的另一个热点。换句话说，我们允许不安全的标准和系统，因为我们可以使用它们来监视其他人。

我们需要采取以国防为主导的战略。随着计算机和互联网对社会越来越重要，网络攻击可能是实际战争的先兆。即使我们不得不放弃利用那些不安全感来监视他人的优势，我们在优先考虑进攻时也太脆弱了。

我们的漏洞被放大，因为窃听可能会渗入直接攻击。通过SVR的访问，他们不仅可以进行窃听，还可以修改数据，降低网络性能或擦除整个网络。第一种可能是正常的间谍活动，但第二种肯定可以视为战争行为。俄罗斯几乎可以肯定正在为未来的袭击打下基础。

这项准备工作并非史无前例。世界上发生了很多攻击。 2010年，美国和以色列袭击了伊朗的核计划。 2012年，伊朗袭击了沙特国家石油公司。朝鲜在2014年袭击了索尼。俄罗斯在2015年和2016年袭击了乌克兰电网。俄罗斯入侵了美国电网，美国入侵了俄罗斯电网，以防万一有一天需要该能力。所有这些攻击都是从间谍活动开始的。安全漏洞会在现实世界中造成后果。

我们将无法在这个无规则的，免费的，每个网络都是自己的世界中保护我们的网络和系统。 美国需要自愿放弃其在网络空间的部分进攻优势，以换取更安全的全球网络空间。 我们需要投资以保护全球供应链免受此类攻击，并敦促优先考虑网络安全的国际规范和协议，例如2018年巴黎网络空间信任与安全呼吁或网络空间稳定性全球委员会。 强化广泛使用的软件，例如Orion（或核心互联网协议），对每个人都有帮助。 我们需要制止这种进攻性军备竞赛，而不是加剧它，并努力实现网络和平。 否则，虚伪地批评俄国人做我们每天都做的同样的事情，将无助于创造一个我们都希望生活的更安全的世界。