数以千计的公司和政府都在竞相发现他们是否受到了俄罗斯黑客的袭击,据报道,他们已经渗透到美国多个政府机构。据报道,最初的违规行为发生在12月13日,其中包括财政部以及商务部和国土安全部。但是黑客使用的隐秘技术意味着识别所有受害者并删除他们安装的所有间谍软件可能需要几个月的时间。
为了进行破坏,黑客首先闯入了美国软件公司SolarWinds的系统。他们在那里在那里为公司的产品之一Orion插入了一扇后门,供组织用来查看和管理庞大的内部计算机网络。从3月开始的几周内,任何更新到Orion的最新版本的客户端(由SolarWinds数字签名,因此看上去合法)都无意中下载了受感染的软件,从而为黑客提供了进入其系统的途径。
SolarWinds在全球拥有约300,000个客户,其中包括大多数《财富》 500强企业和许多政府。在向美国证券交易委员会提交的新文件中,该公司表示,“只有不到18,000个组织下载了此漏洞更新。 (SolarWinds表示,目前尚不清楚其中有多少系统实际上遭到了黑客攻击。)标准的网络安全做法是使您的软件保持最新状态-讽刺的是,大多数SolarWinds客户受到了保护,因为他们没有听从这些建议。
前联邦首席信息安全官格雷格·图希尔(Greg Touhill)说,这些黑客“极其聪明和有战略性”。即使他们通过猎户座(Orion)的后门(称为森伯斯特(Sunburst))进入,他们仍会缓慢而有意识地移动。根据安全公司FireEye的一份报告,他们没有立即渗透到可能容易引起怀疑的许多系统,而是专注于少数选定的目标。
报告称,Sunburst在醒来之前一直安静了整整两个星期,并开始与黑客进行沟通。该恶意软件将其网络流量伪装为“ Orion Improvement Program''并将数据存储在合法文件中以便更好地融合。它还会在受感染的计算机上搜索安全性和防病毒工具,以免它们被滥用。
为了进一步掩盖他们的踪迹,黑客非常小心地使用计算机和网络与给定目标的后门进行一次通信,这相当于使用刻录机进行非法对话。他们很少使用恶意软件,因为它相对容易发现;相反,一旦他们可以通过后门进行初始访问,他们倾向于选择一种更安静的途径,即使用真实的被盗凭证来远程访问受害者的计算机。而且他们确实部署的恶意软件不会重复使用代码,这使得间谍活动更难以捕获,因为安全程序会寻找以前的黑客程序中显示的代码。
根据微软和FireEye的安全报告,入侵活动的迹象可以追溯到3月,后者刚刚在上周披露了与其自身网络相关的漏洞。这意味着任何怀疑可能已成为目标的组织现在都必须筛选至少10个月的系统日志,以查找可疑活动,这项任务超出了许多安全团队的能力。
为了帮助组织确定他们的系统是否遭到黑客攻击,FireEye和Microsoft发布了很长的“危害指标”列表-可能显示恶意活动证据的取证数据。这些指示器包括Sunburst本身的存在,以及一些IP地址,这些IP地址用于标识黑客用来与之通信的计算机和网络。如果团队在其网络日志中找到了这些IP地址中的任何一个,则表明它确实是坏消息。但是由于黑客只使用每个地址一次,因此不能保证安全。他们居住在网络上的发现也并不意味着成功驱逐他们很容易,因为他们可以在网络上搜寻新的藏身点。
可疑的黑客来自俄罗斯的主要外国情报机构SVR。他们被称为“舒适熊”和“ APT29”,它们已经整理了很长的漏洞清单,包括2016年对民主党全国委员会的黑客入侵。俄罗斯否认介入。
安全的基础设施公司Appgate Federal Group的总裁Touhill说:“这使他们能够后门进入主要网络。” “他们有能力坐在那里,住所有流量,对其进行分析。我们需要密切关注这些参与者还在寻找什么?他们还能在哪里?他们可能还会潜伏在哪里?如果他们有访问权限,就不会轻易放弃。”