黑客攻击源头分析:一家鲜为人知但无处不在的软件公司
美国财政部和商务部已经有部分计算机系统遭到入侵。图片来源:ANDREW HARRER/BLOOMBERG NEWS
美国政府和一些美国大型企业遭遇了大规模且长达数月的黑客攻击,此次网络攻击在实施过程中至少利用了一个看起来不太可能的“源头”:总部位于得克萨斯州奥斯汀的鲜为人知的软件公司SolarWinds Inc. (SWI)。在这之前,只有计算机网络管理员听到过这家公司的名字。
安全调查人员表示,SolarWinds自称财富500强企业中有400多家公司都是其客户,许多政府机构也是其客户,这样一家公司为俄罗斯对外情报局精心实施一场入侵行动提供了完美的传送机制。
在此次事件中,黑客瞄准的软件是大多数企业的基础软件,但通常不受关注,主要供维护计算机网络和软件正常运行的技术人员使用。行业研究公司国际数据公司(International Data Corporation, 简称IDC)的副总裁埃利奥特(Stephen Elliot)说,SolarWinds所处的位置犹如公司的管道系统。
通过在SolarWinds软件中创建一个后门,黑客能够侵入美国国土安全部、财政部、商务部、国家安全机构、国防承包商,以及潜在的数百个其他实体的系统。
这种间接的网络攻击(以供应商为目标,借此入侵其客户)目前已经成为政府和网络安全专家越来越担心的问题。虽然企业已经加强了网络保护,但大多数客户并没有仔细检查供应商提供的软件。
SolarWinds表示,多达1.8万名用户可能已经下载了包含被黑客植入后门的软件。图片来源:PATRICK SEMANSKY/ASSOCIATED PRESS
这项更新本来特别难以被识别为一项威胁,当中包含了调查人员所称的一个后门,黑客本来可以通过该后门轻松访问近1.8万个下载了该更新的实体。调查人员预计,实际完全遭入侵的受害者数量要小于这个数字,可能总计有数百个。
对俄罗斯黑客来说,利用这种攻击方式并不新鲜。2017年,同样与莫斯科有关联的黑客使用这一技术,侵入不知名的乌克兰公司M.E. Docs,修改了发给客户的税务软件,植入破坏性病毒,扰乱了世界各地的公司。俄罗斯政府否认入侵美国政府或公司,俄罗斯驻美国大使馆否认与SolarWinds袭击事件有任何关联。
微软(Microsoft Co., MSFT)对事件的一项分析显示,最近的这起事件中,黑客似乎通过向SolarWinds Orion软件添加后门代码,侵入了受害者的网络。该软件一旦安装,就连接到由黑客控制的服务器上,使黑客可以对SolarWinds客户发起进一步攻击,窃取数据。SolarWinds表示,这些易受攻击的软件更新是在3月至6月间提供给客户的。
Liu说:“他们本来可以只入侵SolarWinds,但他们实际做的远不止于此。”他说:“他们把一次入侵变成了很多次,天知道有多少,我们要花数周的时间才能弄清楚。我们可能永远都掌握不了全部的影响。”
SolarWinds发言人说,公司正在与美国大型网络安全公司FireEye Inc.、情报部门和执法部门合作进行调查。
调查人员说,这些黑客很老练,行动不紧不慢、深思熟虑,他们入侵受害者的网络,对计算机系统进行刺探,最终窃取信息。FireEye是此次事件的受害者之一。该公司表示,黑客窃取了该公司部署的一套用来检测客户安全的防黑客软件。
美国网络安全公司FireEye称被外国政府黑客入侵。图片来源:BECK DIEFENBACH/REUTERS
该公司表示,黑客还侵入了一些内部系统,主要寻求有关政府客户的信息。FireEye表示,到目前为止,还没有任何证据表明,存储客户数据的主系统泄露了客户的数据。
FireEye不愿就该公司认为谁是侵入其黑客工具的幕后黑手置评。专家们称,这些工具可能被用于未来对该公司客户的攻击,FireEye的客户包括多个美国和西方的国家安全机构和企业。
FBI网络部门助理主管Matt Gorham在一份书面声明中表示:“FBI正在调查这起事件,初步迹象显示,实施者的老练程度达到了国家级别。”
了解调查情况的人士称,黑客们训练有素,罕见地使用了多种攻击工具的组合,其中一些工具显然以前没有在任何已知的网络攻击中使用过,老练程度非同一般,同时也展示了不寻常的意志决心,而且这些工具是专门用于破坏FireEye的。这些黑客据称还采用了先进的手段来隐藏自己的活动与身份。
一位了解调查情况的人士称:“这好比是狙击手一枪命中目标。”
调查人员不知道黑客打算利用FireEye被攻破的“红队工具”(Red Team tools)做什么。网络安全公司使用这些工具来检查他们客户的防御系统,找出可能被攻击的漏洞。Mandia称,已经采取了300多项应对措施来保护客户和整个互联网社区,而且到目前为止,尚无证据表明已有任何被盗的红队工具被用于恶意目的,美国国土安全部在另一份声明中也对该结论表示了认同。
目前还不清楚此次攻击是在何时发生的,也不清楚FireEye获悉该攻击的确切时间,了解调查情况的人士称,该公司并不确定攻击者是如何入侵其系统的。
企业通常与数十个软件供应商签订合同,但数量可能因行业而异。根据供应链分析公司Interos Inc.的数据,以银行业为例,直接软件供应商的平均数量为83家;在信息技术服务业,平均数量是55家。
安全专家表示,即使用户关闭了SolarWinds软件,他们仍可能需要做数周的工作,才能确保黑客不再在其网络的其他地方获得立足点。
电脑安全公司Dragos Inc.的威胁情报副总裁卡尔塔吉罗内(Sergio Caltagirone)表示,对于一些正匆忙确定自己是否在运行SolarWinds的公司而言,这款软件的低知名度给他们带来了恼人的意外。
卡尔塔吉罗内表示,他自己花了很多时间询问客户是否使用了SolarWinds产品。他们中的大多数最初说没有,进一步检查后才意识到他们正在使用这些工具。卡尔塔吉罗内称:“人们发现到处都是它。”
国际数据公司的埃利奥特表示,SolarWinds是数十家向政府和企业销售网络监控和管理软件或服务的供应商之一,这一全球市场的规模为115亿美元。SolarWinds拥有逾3,200名员工。
攻击事件被曝光的数天前,SolarWinds表示CEO汤普森将离职。图为汤普森于2018年。图片来源:BRENDAN MCDERMID/REUTERS
这起事件被公之于众时,正值成立了21年的SolarWinds经历领导层大幅变动之际。就在SolarWinds披露这起黑客攻击事件的四天前,该公司称首席执行官汤普森(Kevin Thompson)将离职,2021年1月4日生效,其职位将由安全公司Pulse Secure LLC前首席执行官罗摩克里希纳(Sudhakar Ramakrishna)接任。同样,SolarWinds工程主管Joseph Kim在领英(Linkedin, LNKD)上的资料显示,他已离开该公司,到软件开发商思杰系统公司(Citrix Systems Inc., CTXS)工作。2020年10月份时,SolarWinds首席信息官约翰逊(Rani Johnson)跳槽到另一家供应商Tibco Software Inc..工作。这些高管均未回复寻求置评的信息。
SolarWinds 2019年销售额为9.33亿美元,该公司此前预计2020年的收入将超过10亿美元。该公司表示,Orion产品占其收入的45%左右。SolarWinds表示,公司无法预测该事件对财务的影响。
美国财政部有部分系统在此次攻击中被侵入。图片来源:PATRICK SEMANSKY/ASSOCIATED PRESS
虽然知情人士无法准确说明此次攻击的规模或其对美国政府造成的破坏,但一些人表示,这可能是多年来最令人担忧的网络攻击之一,因为俄罗斯可能由此获取了美国政府机构、国防承包商和其他行业的高度机密信息。一位知情人士表示,如果将网络间谍活动按可能的严重性和对国家安全的影响划分1-10个等级,此次行动的等级能达到10级。
美国商务部在一份声明中证实,其下属的一个局被入侵,商务部正在与联邦调查局(FBI)等联邦合作伙伴调查此事,但不予进一步置评。知情人士表示,遭到黑客攻击的商务部系统包括美国国家电信和信息管理局(National Telecommunications and Information Administration);该部门研究技术政策问题。
FBI称,已知悉有关黑客攻击的公开报道,并“适当介入”,但不予进一步置评。美国财政部没有回应置评请求,FireEye的发言人也没有回应。
俄罗斯驻华盛顿大使馆否认对此负责,并表示这些指控是“美国媒体企图毫无根据地指责俄罗斯”。
据相关企业和知情人士透露,黑客侵入政府机构和FireEye的系统,是经由美国网络管理公司SolarWinds Inc.一款产品的一次恶意软件更新。
SolarWinds技术中的一个漏洞显然被利用,可能是问题所在。该公司称,它在全球拥有30多万客户,包括400多家美国财富500强公司。
总部位于得克萨斯州奥斯汀的SolarWinds Worldwide LLC拥有3,200多名员工,该公司网站显示,其客户中包括博思艾伦咨询有限公司(Booz Allen Hamilton Inc.)、美国特勤局(Secret Service)、美国国防部、美国联邦储备委员会、洛克希德-马丁公司(Lockheed Martin Co., LMT)、普华永道(PriceWaterhouseCoopers)和美国国家安全局(National Security Agency)。
SolarWinds的一位发言人表示,该公司意识到2020年3月至6月发布的Orion技术管理软件更新存在潜在漏洞。
SolarWinds还经营着一项托管服务提供商业务,但该公司认为,这项业务没有受到此次安全事件的影响。
参议员们在信中指出,美国国税局似乎是SolarWinds的客户。图为位于华盛顿的美国国税局总部。图片来源:ARIEL ZAMBELICH/THE WALL STREET JOURNAL
这两位议员希望了解IRS如何减轻潜在损害并确保黑客不再能访问国税局的内部系统,以及IRS采取了什么举措来避免纳税人的数据再次遭到黑客入侵。
一位发言人表示,SolarWinds正与美国网络安全公司FireEye以及情报界和执法部门合作进行调查。调查人员仍在努力评估由此产生的整体后果。
Robert McMillan / Dustin Volz / Richard Rubin
注:本文版权归道琼斯公司所有,未经许可不得翻译或转载。
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's, WSJ, MarketWatch, Factiva, Risk& Compliance等品牌。“道琼斯风险合规”是全球风险管理和合规治理品牌,由道琼斯风险合规中国团队运营。欢迎关注公众号或联系:Johnson.Ma@dowjones.com