一場駭客活動已經獲得了包括美國財政部、商務部和國土安全部在內的許多政府和行業組織的私人資訊。這些網路攻擊最早於上週末被報道,是透過入侵一家名為 SolarWinds 的供應商生產的軟體平臺實施的。
SolarWinds 總裁兼執行長凱文·湯普森在一份透過電子郵件分享的準備好的宣告中解釋說:“我們意識到一個潛在的漏洞,如果存在,目前據信與 2020 年 3 月至 6 月期間釋出給我們的 Orion 監控產品的更新有關。” “我們認為,此漏洞是由一個民族國家發起的高度複雜、有針對性且人工的供應鏈攻擊造成的。我們正在與 FireEye、聯邦調查局、情報界和其他執法部門密切協調,調查這些事件。”
由於數千家客戶依賴 SolarWinds 的產品,專家預計未來幾天將會有更多漏洞被披露。《大眾科學》與喬治城大學外交學院專門研究網路安全和治國之道的教授本·布坎南進行了交談,討論了為什麼這麼多組織依賴此類第三方軟體,以及這種軟體的compromise如何使他們容易受到網路攻擊。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
[以下是採訪的編輯稿。]
駭客是如何設法入侵如此多團體的?
這裡的核心問題是,對於大型組織(如政府機構或公司)而言,他們的計算機網路非常複雜。他們經常求助於軟體來嘗試管理這些計算機網路:瞭解流量如何流動、網路上有哪些裝置、事物是如何配置的。SolarWinds 就是這種軟體的一個例子,它似乎在政府和行業中得到廣泛使用。但因為它用於管理這些網路,所以它具有特權地位,可以看到很多正在發生的事情。如果您入侵了 SolarWinds,那麼就有可能入侵更廣泛的計算機網路。
這就是這裡發生的事情嗎?
沒錯。我們仍在瞭解更多資訊,但似乎發生的事情是,駭客不知何故獲得了操縱 SolarWinds 自身程式碼的能力;本質上,他們在 SolarWinds 中植入了一個後門,讓他們能夠進行惡意活動。SolarWinds 的客戶將此軟體更新下載到他們的系統中,但沒有意識到它部分是惡意的,在 3 月[之後]的某個時候——一旦他們這樣做了,他們實際上就給了駭客一個進入他們網路的入口點。從那裡,駭客開始做諸如收集密碼和其他憑據之類的事情,以嘗試進一步訪問他們[已經]透過入侵 SolarWinds 獲得的初始立足點所compromise的每個網路。
利用他們獲得的密碼,他們幾乎肯定會用它來訪問目標組織內更多的計算機和更多帳戶。似乎他們的最終目標不僅僅是獲取密碼,還要獲取檔案等,然後將這些資訊提取出來,進行間諜活動。我認為現在說這種間諜活動有多廣泛還為時過早,說有多少可能的受害者實際上以這種方式被入侵也為時過早。SolarWinds 表示少於 18,000 個組織——這不是一個令人放心的數字,因為它很大。這似乎是間諜活動範圍的上限。
成千上萬的組織使用 SolarWinds,但有多少組織依賴其他類似的軟體?
我確信每個大型組織都依賴類似的東西來管理一個特別複雜的網路。這種企業管理只是運營現代大型組織的一部分——而現在的挑戰是,這些組織必須信任某個公司的軟體。在這種情況下,他們信任的公司之一原來已被入侵。我確信 SolarWinds 不是唯一處於這種信任地位的組織。而且我確信任何看到自己被如此多引人注目的目標使用的組織本身也是一個目標。
調查人員如何找出誰應對此類攻擊負責?
正如警察透過尋找作案手法或將一起搶劫案與另一起搶劫案聯絡起來的法醫證據來調查一系列銀行搶劫案一樣,您也可以對駭客行動做同樣的事情。調查人員——通常在私營部門,有時在政府部門——將跨一系列案件尋找駭客的作案模式。他們會將不同的作案模式歸類到不同的群體。而報告表明,在這種情況下,活動模式表明這是俄羅斯對外情報局 (SVR),我們之前曾見過它對美國和全球目標進行過非常複雜的駭客行動——從未進行過破壞性攻擊,但始終是這些針對高價值目標的錯綜複雜的間諜活動。
您預測接下來會發生什麼?
下一步肯定將是一項非常徹底的調查,這將是我們見過的最重大的網路調查之一,僅僅是因為這次漏洞的範圍如此之大。我們談論的可能是數百或數千個組織——我估計可能是數百個——可能在此次漏洞中受到compromise。一旦像 SVR 這樣複雜的機構訪問了一個網路,就很難將他們趕出去。因此,補救這次漏洞將非常困難。在未來的幾周內,我們將開始意識到被盜資訊的一些程度,以及受害者的一些程度。[對於]其中的每一個,我認為都將是又一次打擊,並提高對此行動的關注程度。
網路安全社群如何防禦此類攻擊?
因為入侵做得如此出色,所以很難提出一份簡單的修復方法清單。因為這些都是老練的對手,他們入侵了一個系統 SolarWinds,這個系統被非常廣泛地使用和信任。他們基本上利用了這種信任來開展他們的行動,而這是非常難以防禦的。這與僅僅修復一個軟體漏洞並應用補丁不同——對抗這種威脅要困難得多。
這揭示了各國在網路空間中的競爭有多麼激烈。我們花費大量時間談論諸如威懾、規範和國家間訊號傳遞之類的事情。但我的觀點是,這種活動——競爭、間諜活動,遠低於衝突門檻,我稱之為塑造國際環境以適應自己的目的——這在網路安全中是司空見慣的。因此,雖然這當然是一個高水位線,但導致此類事件發生的日常競爭是司空見慣的。我認為我們可能需要在政策領域花費更多時間思考這其中的含義。現在非常清楚,[在]政策和技術方面,現狀都無法阻止這種活動,也無法在技術上阻止這種活動。