网络安全公司FireEye表示,美国政府机构受到网络攻击的“全球入侵运动”的攻击,该攻击利用了软件公司更新中的漏洞,《华盛顿邮报》报道这是俄罗斯政府黑客的违规行为。
该报报道说,攻击是在美国财政部和商务部以及其他政府机构的系统上进行的,该漏洞始于几个月前。据路透社报道,其中包括侦查美国财政部和商务部的电子邮件。
“我们已经确定了一个全球性的运动,引入了一个妥协到通过软件的供应链公共和私人组织的网络,” FireEye的在博客中称帖子周日晚,不点名特定组的突破口。“这种妥协是通过对广泛使用的IT基础架构管理软件(SolarWinds的Orion网络监控产品)进行更新来实现的。”
该系列攻击可能使其成为近期记忆最差的一次,因为总部位于德克萨斯州奥斯汀的SolarWinds Corp.将技术产品出售给敏感目标的“谁是谁”列表。根据该公司的网站和政府数据,这些机构包括国务院,疾病预防控制中心,海军信息战系统司令部,联邦调查局,美军的所有五个分支机构以及《财富》 500强中的425家公司。
国家安全委员会发言人约翰·乌利奥特(John Ullyot)在一份声明中说:“美国政府已意识到这些报告,我们正在采取一切必要步骤,以识别和纠正与这种情况有关的任何可能问题。”
美国网络安全和基础设施安全局命令所有联邦民用机构检查其网络,并立即断开或关闭SolarWinds Orion产品的电源。周日晚些时候的紧急指令还要求这些机构在周一中午美国东部时间进行评估。
“ SolarWinds的Orion网络管理产品的妥协给联邦网络的安全带来了无法接受的风险,”代理总监布兰登·威尔斯在一份声明中说。“今晚的指令旨在减轻联邦民用网络内部的潜在妥协,我们敦促我们的所有合作伙伴-公共和私营部门-评估他们遭受这种妥协的风险,并确保其网络免受任何剥削。”
据FireEye称,这些黑客袭击了北美,欧洲,亚洲和中东等全球组织,涉及政府,技术,电信咨询以及石油和天然气等多个领域。该公司认为,这个名单将会增加。
“顶级商人”
FireEye在博客中说:“该活动展示了与国家资助的威胁行为者相一致的顶级运营商和资源。” “基于我们的分析,我们现在已经确定了多个组织,在这些组织中我们可以看到可以追溯到2020年春季的妥协迹象。”
所有这些表明,随着美国政府在过去几个月中专注于发现和应对俄罗斯可能对美国总统大选的干预(这一努力在很大程度上被认为是成功的),怀疑俄罗斯黑客正在悄悄地进入计算机工作。美国政府机构和敏感的公司受害者网络未被发现。
FireEye的高级主管约翰·霍尔特奎斯特(John Hultquist)表示:“如果是网络间谍活动,那将是我们很长时间以来见到的最有效的网络间谍活动之一。”
SolarWinds发表了一份声明,似乎是在确认其产品之一的软件更新系统已用于向客户发送恶意软件。
“我们知道一个潜在的漏洞,目前认为该漏洞与2020年3月至2020年6月之间发布的Orion监控产品更新有关。我们认为,此漏洞是一个民族国家高度复杂,有针对性的手动供应链攻击的结果。” SolarWinds总裁兼首席执行官Kevin Thompson在周日晚间的声明中说。
“适当地”参与
汤普森说,他的公司正在与联邦调查局以及其他机构合作进行调查。联邦调查局表示正在“适当参与”,并拒绝发表进一步评论。
有两个人向调查员通报情况,因为几乎所有使用该产品的SolarWinds客户都获得了被操纵的软件,最终受害者人数可能达到数千人。知情人士说,黑客似乎首先将注意力集中在最有吸引力和最敏感的目标上,因此各种受害者遭受的伤害可能差异很大,因为信息不公开,他们不愿透露姓名。
据知情人士透露,FireEye在周日告诉客户,该公司至少知道有25家实体受到袭击。
迅速扩大的调查在12月8日引起了公众的关注,当时FireEye宣布已在一次高度复杂的攻击中被违反,该攻击归因于美国对手支持的黑客。FireEye在调查漏洞的过程中发现了该黑客。
第一受害者
随着调查人员追踪攻击者的数字踪迹,现在看来FireEye可能仅仅是检测到攻击的第一位受害者。美国政府调查人员现在正在竞相确定哪些机构也可能遭到破坏,以及黑客在多大程度上访问了敏感信息,这一过程可能需要数天或数周的时间。
FireEye说上周,攻击者非常谨慎,不会被发现,在这种情况下,他们设法窃取了安全公司用来测试其客户端网络安全性的工具。FireEye还表示,黑客寻求与政府客户有关的信息,但似乎并未窃取客户数据。
美国商务部发言人证实,“在我们的一个局中”存在违规行为,路透社将其定为国家电信和信息管理局。据路透社报道,袭击事件令人担忧,以至于国家安全委员会星期六在白宫开会。财政部没有回应置评请求。
《华盛顿邮报》报道称,名为Cozy Bear或APT 29的俄罗斯黑客组织是该活动的幕后黑手。该黑客组织与可追溯至2015年的民主党全国委员会的网络攻击背后的黑客组织相同。美国和英国当局在7月还指控该组织渗透了参与开发Covid-19疫苗的组织。
美国政府上一次如此彻底地措手不及可能是在五年前,当时中国黑客从人事管理办公室的计算机上窃取了与任何申请或获得国家安全许可的人有关的信息。
这项调查持续了几个月,使一些美国官员丧命,并导致大规模,昂贵的努力,以提高美国未分类政府计算机网络的安全性。
这次攻击以及接下来的几周将说明这些措施在多大程度上取得了成功。
免责声明:本文来自腾讯新闻客户端自媒体,不代表腾讯网的观点和立场。