资料来源:调查人员正在检查SolarWinds是否通过其位于捷克,波兰和白俄罗斯的办公室被黑客入侵,这些公司将大部分工程移至了那里

2021-01-03 09:55:18

选举日,美国最高的网络战士保罗·中曾根将军报告说,与俄罗斯干涉总统大选的斗争取得了重大成功,并暴露了对方的在线武器,工具和工艺。

他对记者说:“我们扩大了业务范围,目前处于良好状态。”

八周后,中曾根将军和其他负责网络安全的美国官员现在被至少九个月的失踪所吞没:黑客入侵,据信已经影响了250多个联邦机构和企业,俄罗斯的目的不是选举制度但是在美国政府的其余部分以及许多大型美国公司中。

入侵事件曝光三周后,美国官员仍在试图了解俄国人撤出的仅仅是在美国官僚机构内部进行的间谍活动还是更险恶的事情,从而为政府机构,大公司插入了“后门”通道,开发和运输新一代核武器的电网和实验室。

至少,它引发了有关美国政府和私营部门网络容易受到攻击的警报,并引发了有关美国网络防御如何以及为何如此惨败的问题。

鉴于没有共同承担网络防御责任的任何政府机构都发现了这些漏洞,因此这些问题显得尤为紧迫-军事部门的网络司令部和国家安全局均由中曾根将军和国土部负责管理安全性-但由私人网络安全公司FireEye提供。

“这看起来比我最初担心的要糟糕得多,”弗吉尼亚州民主党参议员,参议院情报委员会排名成员马克·沃纳说。 “它的规模不断扩大。显然,美国政府没有这样做。”

他补充说:“如果FireEye没有挺身而出,我不确定今天是否会充分意识到这一点。”

与主要参与者的访谈,调查了哪些情报机构认为这是俄罗斯S.V.R.的行动。情报部门透露了以下几点:

违反的范围比最初认为的要广泛得多。最初的估计是,俄罗斯将代码插入德克萨斯州一家名为SolarWinds的公司生产的网络管理软件时,仅向他们访问的18,000个政府和私有网络中的几十个发送了调查。但是,随着提供云服务的亚马逊和微软等公司越来越深入地寻找证据,现在看来,俄罗斯利用了供应链的多层结构来访问多达250个网络。

骇客利用美国国家安全局(National Security Agency)的法律禁令从事国内监视,并掩盖了国土安全部部署的网络防御,以管理来自美国内部服务器的入侵。

网络指挥部和国家安全局在外国网络内部放置的“预警”传感器明显无法识别酿造攻击。还没有迹象表明任何人类情报使美国警惕了这种黑客入侵。

政府对选举防御的重视虽然在2020年至关重要,但可能已将长期的问题转移到了资源和注意力上,例如保护软件的“供应链”。在私营部门,FireEye和Microsoft等专注于选举安全的公司现在也透露,它们是大型供应链攻击中的一部分。

据现任和前雇员以及政府调查人员称,SolarWinds是骇客用来进行攻击的渠道,该公司在其产品上的安全性一直很差,因此很容易成为攻击目标。该公司首席执行官凯文·汤普森(Kevin B. Thompson)在工作11年后离职,他回避了自己的公司是否应该发现入侵的问题。

一些被盗用的SolarWinds软件是在东欧设计的,美国调查人员现在正在研究入侵是否起源于俄罗斯情报人员扎根的地方。

袭击背后的意图仍然笼罩。但是,随着新政府上任三个星期,一些分析人士说,俄罗斯可能试图动摇华盛顿在其通信安全的信心,展示其cyberarsenal获得前核武器谈判对总统当选人拜登的杠杆作用。

“我们仍然不知道俄罗斯的战略目标是什么,”奥巴马政府任职国土安全部高级网络官员的苏珊娜•斯波丁(Suzanne Spaulding)说。 “但我们应该担心,其中一部分可能会超出侦察范围。他们的目标可能是使自己有能力对新政府发挥杠杆作用,例如高举枪头以阻止我们采取行动对抗普京。”

美国政府显然是这次袭击的主要焦点,据证实这些机构已经渗透到了财政部,国务院,商务部,能源部和五角大楼的部分地区。 (尽管国防部没有提供任何证据,但它坚称对其系统的攻击并未成功。)

但是黑客攻击也违反了许多公司,其中许多公司还没有前进。据信,SolarWinds是俄罗斯用于黑客攻击的几个供应链供应商之一。截至12月17日,已有40名受害者被捕的微软最初表示,它没有受到侵犯,只是在本周才发现它曾经遭到侵犯,而且其软件的经销商也曾遭到侵犯。亚马逊情报团队此前未进行过的评估发现,受害者人数可能是原来的五倍,尽管官员们警告说,其中一些人可能是重复计算的。

官方已经公开表示,他们不相信来自俄罗斯S.V.R.的黑客。破坏了包含敏感通信和计划的机密系统。但官员私下里说,他们仍然不清楚被盗的可能。

他们说,他们担心黑客可能从联邦能源管理委员会等受害人那里获取的精致但未经分类的数据,包括黑启动,这是美国计划在发生灾难性停电后恢复电力的详细技术蓝图。

该计划将给俄罗斯提供一系列打击攻击的系统,以防止在2015年在乌克兰袭击时恢复电力供应,在冬天死后将电力切断6个小时。莫斯科很久以前就在美国电网中植入了恶意软件,而美国对俄罗斯也起到了威慑作用。

迄今为止,调查的主要重点是SolarWinds,该公司总部位于奥斯丁,其软件更新了被黑客入侵的软件。

但是国土安全部的网络安全部门得出结论,黑客也通过其他渠道工作。上周,另一家安全公司CrowdStrike透露,同样的黑客也未成功地将它作为目标,但通过一家销售Microsoft软件的公司进行。

由于经常委托转售商来设置客户的软件,因此像SolarWinds一样,他们可以广泛访问Microsoft客户的网络。结果,它们可以成为俄罗斯黑客的理想特洛伊木马。情报官员对微软没有及早发现攻击感到愤怒。该公司周四表示,黑客已经查看了其源代码,但尚未透露其哪些产品受到了影响或黑客进入其网络已有多长时间。

Obsidian Security创始人Glenn Chisholm说:“他们通过我们最信任的关系锁定了供应链中最薄弱的环节。”

对SolarWinds现有和前雇员的采访表明,即使将安全软件作为首要任务也很缓慢,尽管其软件已被美国主要的网络安全公司和联邦机构采用。

员工们说,在汤普森先生(经过培训的会计师和前首席财务官)的领导下,公司业务的每个部分都经过了成本节省检查,由于费用昂贵,避免了常规安全措施。他的方法使SolarWinds的年利润率几乎翻了三番,从2010年的1.52亿美元增至2019年的4.53亿美元。

但是其中一些措施可能使公司及其客户遭受攻击的风险更大。 SolarWinds将其大部分工程移到了捷克共和国,波兰和白俄罗斯的卫星办公室,在那里工程师可以广泛使用俄罗斯代理商入侵的Orion网络管理软件。

该公司仅表示,操纵软件是黑客的工作,而不是计算机程序。它尚未公开解决内部人员参与违规行为的可能性。

最近几周《纽约时报》联系的SolarWinds客户中没有一个知道他们依赖东欧维护的软件。许多人说,直到最近他们才知道自己正在使用SolarWinds软件。

员工们说,即使在整个联邦网络中都安装了其软件,SolarWinds还是在2017年才加入安全性,受到新的欧洲隐私法的处罚威胁。员工们说,只有到那时,SolarWinds才聘请其第一任首席信息官并任命“安全架构”副总裁。

SolarWinds的前网络安全顾问Ian Thornton-Trump说,他在那年警告管理层,除非采取更积极的内部安全措施,否则网络安全将是“灾难性的”。在他的基本建议被忽略之后,桑顿·特朗普先生离开了公司。

SolarWinds拒绝回答有关其安全性是否足够的问题。它在一份声明中说,这是“高度复杂,针对性强的网络攻击的受害者”,并且正在与执法机构,情报机构和安全专家密切合作进行调查。

但是安全专家指出,在发现俄国人的攻击之后,SolarWinds的网站停止向客户提供受感染的代码才花了好几天。

近年来,数十亿美元的网络安全预算流向了进攻性间谍活动和先发制人的行动计划,中曾根将军称,有必要“入侵”敌人的网络,以尽早了解其行动并采取对策在自己的网络内部,然后根据需要进行攻击。

但是,这种方法虽然被誉为抢先攻击的早就应该采取的策略,但却错过了俄罗斯的入侵。

根据FireEye的说法,俄罗斯人是从美国境内的服务器发动攻击,有时甚至使用与受害者在同一城镇的计算机,从而利用了国家安全局权限的限制。国会没有授予该机构或国土安全任何进入或捍卫私人部门网络的权限。 S.V.R.正是在这些网络上操作人员不太谨慎,留下了有关FireEye最终能够发现的入侵线索。

通过将自己插入到SolarWinds的Orion更新中并使用自定义工具,他们还避免了触发“爱因斯坦”检测系统的警报,该系统被国土安全部门部署在政府机构中,以捕获已知的恶意软件,以及所谓的C.D.M.该程序专门设计用于提醒机构注意可疑活动。

一些情报官员质疑政府是否过于关注选举干预,以至于在其他地方创造了空缺。

情报机构几个月前得出结论,俄罗斯已确定无法渗透足够多的选举系统来影响选举结果,而是将注意力转移到偏转勒索软件攻击上,这可能会使选民失去选举权,并影响旨在播种不和的行动,从而引发对该系统的怀疑。正直和改变选民的想法。

最早于2019年10月开始的SolarWinds骇客入侵,以及对微软经销商的入侵,使俄罗斯有机会攻击多个联邦机构中最脆弱,防御最少的网络。

中曾根将军拒绝接受采访。但是国家安全局发言人查尔斯·K·斯塔德兰德(Charles K. Stadtlander)说:“我们不认为这是'或非'的取舍。在选举安全工作中构建的行动,见解和新框架对国家和美国政府的网络安全态势产生了广泛的积极影响。”

实际上,美国似乎已经成功说服了俄罗斯,旨在改变选票的攻击将导致代价高昂的报复。但是,随着入侵规模逐渐成为人们关注的焦点,很明显,美国政府未能说服俄罗斯,对联邦政府和公司网络实施广泛的黑客攻击将产生类似的后果。

情报官员说,他们可能需要数月甚至数年才能完全了解这种黑客行为。

自2017年选拔一位克里姆林宫高级情报员以来,CIA对俄罗斯行动的了解已减少。还有S.V.R.情报官员说,通过避免可能会将其机密泄露给国家安全局的电子通信,美国一直是世界上最强大的情报服务之一。

S.V.R.的最佳评估来自荷兰。 2014年,为荷兰通用情报与安全局工作的黑客闯入了该小组使用的计算机,至少观看了一年,然后将其捕获在摄像机上。

正是荷兰人帮助白宫和国务院向S.V.R.他们在2014年和2015年对他们的系统进行了黑客攻击,上个月,他们抓获了荷兰的两个S.V.R.并将其驱逐出荷兰。特工被指控渗入那里的技术公司。尽管不知道该组织具有破坏性,但众所周知,很难从其渗透的计算机系统中撤出该组织。

当S.V.R.在进入国务院和白宫的未分类系统时,时任国家安全局副局长的理查德·莱奇特(Richard Ledgett)表示,该局从事的是“当场作战”的数字形式。在某一时刻,S.V.R。获得了调查员用来根除俄罗斯后门的NetWitness Investigator工具的访问权限,从而以黑客继续逃避检测的方式进行操作。

调查人员说,他们会以为自己已经踢出了S.V.R.,只是发现该组织已经从另一扇门爬进来了。

一些安全专家说,消除了如此庞大的S.V.R.联邦机构。可能是徒劳的,唯一的解决方法可能是关闭系统并重新启动。其他人则表示,在大流行期间采取这种行动成本高得令人望而却步,而且新政府必须努力确定并遏制每一个受到威胁的系统,然后才能校准应对措施。

“ S.V.R.前政府情报分析师亚当·达拉(Adam Darrah)说道,他现在是安全公司Vigilante的情报主管。

他补充说,制裁,起诉和其他措施未能阻止S.V.R.,这表明它可以迅速适应。

达拉说:“他们现在正在密切关注我们。” “而且他们将相应地进行调整。”