一场黑客活动已经获得了包括美国财政部、商务部和国土安全部在内的许多政府和行业组织的私人信息。这些网络攻击最早于上周末被报道,是通过入侵一家名为 SolarWinds 的供应商生产的软件平台实施的。
SolarWinds 总裁兼首席执行官凯文·汤普森在一份通过电子邮件分享的准备好的声明中解释说:“我们意识到一个潜在的漏洞,如果存在,目前据信与 2020 年 3 月至 6 月期间发布给我们的 Orion 监控产品的更新有关。” “我们认为,此漏洞是由一个民族国家发起的高度复杂、有针对性且人工的供应链攻击造成的。我们正在与 FireEye、联邦调查局、情报界和其他执法部门密切协调,调查这些事件。”
由于数千家客户依赖 SolarWinds 的产品,专家预计未来几天将会有更多漏洞被披露。《大众科学》与乔治城大学外交学院专门研究网络安全和治国之道的教授本·布坎南进行了交谈,讨论了为什么这么多组织依赖此类第三方软件,以及这种软件的compromise如何使他们容易受到网络攻击。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
[以下是采访的编辑稿。]
黑客是如何设法入侵如此多团体的?
这里的核心问题是,对于大型组织(如政府机构或公司)而言,他们的计算机网络非常复杂。他们经常求助于软件来尝试管理这些计算机网络:了解流量如何流动、网络上有哪些设备、事物是如何配置的。SolarWinds 就是这种软件的一个例子,它似乎在政府和行业中得到广泛使用。但因为它用于管理这些网络,所以它具有特权地位,可以看到很多正在发生的事情。如果您入侵了 SolarWinds,那么就有可能入侵更广泛的计算机网络。
这就是这里发生的事情吗?
没错。我们仍在了解更多信息,但似乎发生的事情是,黑客不知何故获得了操纵 SolarWinds 自身代码的能力;本质上,他们在 SolarWinds 中植入了一个后门,让他们能够进行恶意活动。SolarWinds 的客户将此软件更新下载到他们的系统中,但没有意识到它部分是恶意的,在 3 月[之后]的某个时候——一旦他们这样做了,他们实际上就给了黑客一个进入他们网络的入口点。从那里,黑客开始做诸如收集密码和其他凭据之类的事情,以尝试进一步访问他们[已经]通过入侵 SolarWinds 获得的初始立足点所compromise的每个网络。
利用他们获得的密码,他们几乎肯定会用它来访问目标组织内更多的计算机和更多帐户。似乎他们的最终目标不仅仅是获取密码,还要获取文件等,然后将这些信息提取出来,进行间谍活动。我认为现在说这种间谍活动有多广泛还为时过早,说有多少可能的受害者实际上以这种方式被入侵也为时过早。SolarWinds 表示少于 18,000 个组织——这不是一个令人放心的数字,因为它很大。这似乎是间谍活动范围的上限。
成千上万的组织使用 SolarWinds,但有多少组织依赖其他类似的软件?
我确信每个大型组织都依赖类似的东西来管理一个特别复杂的网络。这种企业管理只是运营现代大型组织的一部分——而现在的挑战是,这些组织必须信任某个公司的软件。在这种情况下,他们信任的公司之一原来已被入侵。我确信 SolarWinds 不是唯一处于这种信任地位的组织。而且我确信任何看到自己被如此多引人注目的目标使用的组织本身也是一个目标。
调查人员如何找出谁应对此类攻击负责?
正如警察通过寻找作案手法或将一起抢劫案与另一起抢劫案联系起来的法医证据来调查一系列银行抢劫案一样,您也可以对黑客行动做同样的事情。调查人员——通常在私营部门,有时在政府部门——将跨一系列案件寻找黑客的作案模式。他们会将不同的作案模式归类到不同的群体。而报告表明,在这种情况下,活动模式表明这是俄罗斯对外情报局 (SVR),我们之前曾见过它对美国和全球目标进行过非常复杂的黑客行动——从未进行过破坏性攻击,但始终是这些针对高价值目标的错综复杂的间谍活动。
您预测接下来会发生什么?
下一步肯定将是一项非常彻底的调查,这将是我们见过的最重大的网络调查之一,仅仅是因为这次漏洞的范围如此之大。我们谈论的可能是数百或数千个组织——我估计可能是数百个——可能在此次漏洞中受到compromise。一旦像 SVR 这样复杂的机构访问了一个网络,就很难将他们赶出去。因此,补救这次漏洞将非常困难。在未来的几周内,我们将开始意识到被盗信息的一些程度,以及受害者的一些程度。[对于]其中的每一个,我认为都将是又一次打击,并提高对此行动的关注程度。
网络安全社区如何防御此类攻击?
因为入侵做得如此出色,所以很难提出一份简单的修复方法清单。因为这些都是老练的对手,他们入侵了一个系统 SolarWinds,这个系统被非常广泛地使用和信任。他们基本上利用了这种信任来开展他们的行动,而这是非常难以防御的。这与仅仅修复一个软件漏洞并应用补丁不同——对抗这种威胁要困难得多。
这揭示了各国在网络空间中的竞争有多么激烈。我们花费大量时间谈论诸如威慑、规范和国家间信号传递之类的事情。但我的观点是,这种活动——竞争、间谍活动,远低于冲突门槛,我称之为塑造国际环境以适应自己的目的——这在网络安全中是司空见惯的。因此,虽然这当然是一个高水位线,但导致此类事件发生的日常竞争是司空见惯的。我认为我们可能需要在政策领域花费更多时间思考这其中的含义。现在非常清楚,[在]政策和技术方面,现状都无法阻止这种活动,也无法在技术上阻止这种活动。