遭俄罗斯黑客攻击后美国政府提高警惕-安全小百科

据《纽约时报》报道，美国网络司令部司令兼美国国安局局长保罗·中曾根在选举日曾报告说，反对俄罗斯干预总统竞选的战斗已经取得了重大成功，并暴露了对方的在线武器、工具和谍报技术。他对记者说：“我们拓宽了行动范围，感觉我们现在的情况非常好。”八周后，中曾根将军和其他负责网络安全的美国官员现在被他们至少9个月来所忽略的事情所消耗：现在被认为影响到多达250个联邦机构和企业的黑客攻击，俄罗斯的目标不是选举系统，而是美国政府的其他部门和许多美国大公司。

入侵事件曝光三周后，美国官员仍在试图了解俄罗斯人的所作所为，究竟是简单的在美国官僚系统内部进行间谍活动，还是将“后门”接入政府机构、大公司、电网以及开发和运输新一代核武器的实验室。

《纽约时报》认为，至少这些事件已经引发了美国政府和私营部门网络易受攻击的警报，并提出了美国国家网络防御系统为何失败的问题。

鉴于此次漏洞并不是由任何一个分担网络防御责任的政府机构–军方的网络司令部和国家安全局（均由中曾根将军掌管）以及国土安全部–发现的，而是由一家私营网络安全公司FireEye发现的，因此这些问题显得尤为紧迫。

“这看起来比我最初担心的要糟糕得多，”弗吉尼亚州民主党参议员、参议院情报委员会排名成员马克·华纳说。“它的规模不断扩大。很明显，美国政府错过了它。”“而如果FireEye没有站出来，”他补充说，“我不确定我们到今天还能不能完全意识到这一点。”

对调查情报机构认为是俄罗斯S.V.R.情报部门行动的关键人物的采访显示了这些要点：

漏洞的范围比最初认为的要大得多。最初的估计是，俄罗斯只向18000个政府和私人网络中的几十个网络发起攻击，他们在德克萨斯州一家名为SolarWinds的公司制造的网络管理软件中插入代码，从而获得了访问权。但随着亚马逊和微软等提供云服务的企业深入挖掘证据，现在看来，俄罗斯利用供应链的多个层面获得了多达250个网络的访问权限。

黑客从美国境内的服务器进行管理入侵，利用国家安全局从事国内监控的法律禁令，躲过了国土安全部部署的网络防御措施。

美国网络司令部和国家安全局在外国网络深处放置的“预警 ”传感器，用于侦测酝酿的攻击，显然是失败的。目前也还没有迹象表明，有任何人类情报机构向美国发出了黑客攻击的警报。

美国政府对选举防御的重视虽然在2020年至关重要，但可能转移了资源和注意力，使其无法解决保护软件“供应链”等酝酿已久的问题。在私营部门，也是如此，像FireEye和微软这样专注于选举安全的公司，现在也透露他们被攻破，成为更大的供应链攻击的一部分。

据现任和前任员工以及政府调查人员称，被黑客用作攻击渠道的SolarWinds公司，其产品的安全性能历来不高，因此很容易成为目标。该公司首席执行官 Kevin B. Thompson已经回避了他的公司是否应该发现入侵的问题。

部分被入侵的SolarWinds软件是在东欧设计的，美国调查人员目前正在研究入侵是否源自那里，因为俄罗斯情报人员在那里根深蒂固。

攻击背后的意图仍被掩盖。但随着新政府在不到三周后上任，一些分析人士表示，俄罗斯人可能试图动摇华盛顿对其通信安全的信心，并展示他们的cyberarsenal，以便在核武谈判之前获得对当选总统拜登的影响力。

“我们仍然不知道俄罗斯的战略目标是什么，”曾在奥巴马政府期间担任国土安全部高级网络官员的Suzanne Spaulding说。“但我们应该关注的是，这其中的一部分可能超出了侦察的范围。他们的目标可能是让自己处于对新政府有影响力的地位，就像拿枪指着我们的脑袋，以阻止我们采取行动对抗普京。”

日益增长的打击名单

美国政府显然是攻击的主要焦点，财政部、国务院、商务部、能源部和五角大楼的部分机构都被证实被渗透。国防部坚持认为对其系统的攻击是不成功的，尽管它没有提供证据。

但黑客攻击也攻破了大量的公司，其中许多公司尚未出面。SolarWinds被认为是俄罗斯在黑客攻击中使用的几家供应链供应商之一。微软截至12月17日已统计出40名受害者，起初它说自己没有被入侵，但本周才发现自己被入侵了–而且其软件的经销商也被入侵了。亚马逊情报团队此前未报告的评估发现，受害者人数可能是其五倍之多，不过官员警告说，其中一些人可能被重复计算。

官员们在公开场合表示，他们不相信来自俄罗斯S.V.R.的黑客攻破了包含敏感通信和计划的机密系统。但私下里，官员们表示，他们仍不清楚可能被窃取的内容。

他们说，他们担心黑客可能从联邦能源监管委员会等受害者那里窃取了微妙但不保密的数据，包括 “黑启动(Black-Start) “，即美国计划在大停电时如何恢复电力的详细技术蓝图。

这些计划将给俄罗斯提供一个目标系统的命中名单，以防止其在2015年在乌克兰发动的攻击中恢复电力，在深冬时关闭电力6小时。莫斯科早就在美国电网中植入了恶意软件，美国也对俄罗斯做了同样的事情，以示威慑。

供应链受损

到目前为止，调查的一个主要焦点是SolarWinds，这家位于奥斯汀的公司，其软件更新被黑客入侵。但美国国土安全部的网络安全部门认为，黑客也是通过其他渠道工作的。而上周，另一家安全公司CrowdStrike透露，它也被同样的黑客盯上了，但没有成功，但通过一家转售微软软件的公司。

由于经销商经常受托设置客户的软件，他们–像SolarWinds一样–可以广泛进入微软客户的网络。因此，他们可以成为俄罗斯黑客的理想木马。情报官员对微软没有更早发现这次攻击表示愤怒；该公司周四表示，黑客查看了其源代码，但没有透露其哪些产品受到影响，也没有透露黑客在其网络内部停留了多长时间。

Obsidian Security公司创始人Glenn Chisholm表示：“他们瞄准了供应链中最薄弱的环节，并通过我们最信任的关系进行攻击。”

对SolarWinds现员工和前员工的采访表明，它迟迟没有将安全作为优先事项，即使其软件被美国首屈一指的网络安全公司和联邦机构采用。员工们表示，在受过培训的会计师和前首席财务官汤普森先生的领导下，公司对业务的每一个部分都进行了检查，以节约成本，而普通的安全实践则因其费用而被摒弃。他的方法帮助SolarWinds的年利润率从2010年的1.52亿美元增加了近三倍，到2019年超过4.53亿美元。

但其中一些措施可能会使公司及其客户面临更大的攻击风险。SolarWinds将其大部分工程转移到捷克共和国、波兰和白俄罗斯的办公室，在那里，工程师可以广泛访问俄罗斯特工入侵的Orion网络管理软件。该公司仅表示，对其软件的操纵是人为黑客所为，而非计算机程序。该公司没有公开处理内部人员参与入侵的可能性。

《纽约时报》最近几周接触的SolarWinds客户中，没有一个人知道他们依赖的是在东欧维护的软件。许多人表示，他们甚至直到最近才知道自己使用的是SolarWinds软件。

即使在整个联邦网络中安装了它的软件，员工们说，SolarWinds只是在2017年，在新的欧洲隐私法的惩罚威胁下，才加装了安全防护措施。员工说，直到那时，SolarWinds才聘请了第一位首席信息官，并安装了一位 “安全架构 “副总裁。

SolarWinds的前网络安全顾问Ian Thornton-Trump表示，他当年曾警告管理层，除非它对内部安全采取更积极的态度，否则网络安全事件将是 “灾难性的”。在他的基本建议被忽视后，桑顿-特朗普先生离开了公司。

SolarWinds拒绝回应有关其安全性是否充分的问题。在一份声明中，它说它是 “高度复杂、复杂和有针对性的网络攻击的受害者”，并正在与执法部门、情报机构和安全专家密切合作进行调查。

但安全专家指出，在发现俄罗斯攻击后数天，SolarWinds的网站才停止向客户提供受影响的代码。

攻大于守

近年来，数十亿美元的网络安全预算流向了进攻性的间谍活动和先发制人计划，也就是中曾根将军所说的 “超前防御 “的需要，通过入侵对手的网络，尽早了解他们的行动，并在必要时，在他们发动攻击之前，在自己的网络内部进行反击。但这种方法虽然被誉为早就应该采取的先发制人的策略，但却错过了俄罗斯的漏洞。

据FireEye报道，俄罗斯人通过从美国境内的服务器发动攻击，在某些情况下，他们使用的计算机与受害者在同一个城镇或城市，利用了国家安全局的权力限制。国会没有赋予该机构或国土安全局任何进入或保卫私营部门网络的权力。正是在这些网络上，S.V.R.特工们不太小心，留下了他们入侵的线索，FireEye最终得以发现。

通过将自己插入到SolarWinds的猎户座更新中，并使用自定义工具，他们还避免了跳过国土安全局在政府机构中部署的 “爱因斯坦 “检测系统的警报，以捕捉已知的恶意软件，以及所谓的C.D.M.程序，该程序是明确设计用来提醒机构注意可疑活动的。

一些情报官员质疑，政府是否如此专注于选举干预，以至于在其他地方制造了空子。情报机构几个月前得出结论，认为俄罗斯已经确定无法渗透到足够多的选举系统来影响选举结果，而是将注意力转移到转移可能剥夺选民权利的勒索软件攻击，以及旨在播撒不和谐的影响行动，引发对系统完整性的怀疑，改变选民的想法。

早在2019年10月就开始的SolarWinds黑客攻击事件，以及对微软经销商的入侵，让俄罗斯有机会攻击多个联邦机构中最脆弱、最不设防的网络。

中曾根将军拒绝接受采访。但国家安全局发言人查尔斯-K-斯塔德兰德说。“我们不认为这是一个’非此即彼’的权衡。选举安全工作中构建的行动、见解和新框架，对国家和美国政府的网络安全态势有着广泛的积极影响。”

事实上，美国似乎已经成功说服了俄罗斯，即旨在改变选票的攻击将促使俄罗斯采取代价高昂的报复行动。但随着入侵规模的凸显，美国政府显然未能说服俄罗斯，执行对联邦政府和企业网络的大范围黑客攻击会有相当的后果。

把黑客“赶出去”

情报官员说，他们可能要花几个月甚至几年的时间才能对黑客攻击事件有一个全面的了解。

自2017年提取一名克里姆林宫高层线人以来，中情局对俄罗斯行动的了解已经减少。而情报官员说，S.V.R.通过避免可能向国家安全局暴露机密的电子通讯，一直保持着世界上最有能力的情报部门之一。

对S.V.R.最好的评估来自荷兰人。2014年，为荷兰情报和安全总局工作的黑客刺破了该组织使用的电脑，至少观察了一年，并一度将其拍下。

正是荷兰人在2014年和2015年帮助提醒白宫和国务院他们的系统遭到S.V.R.黑客攻击，上个月，他们抓住了两名被指控渗透到荷兰科技公司的S.V.R.特工，并将其驱逐出荷兰。虽然该组织并不以破坏性著称，但其渗透到的计算机系统中却很难驱逐。

当S.V.R.闯入国务院和白宫的非机密系统时，时任国家安全局副局长的理查德-莱杰特说，该机构进行的数字相当于“徒手搏斗”。有一次，S.V.R.获得了调查人员用来连根拔除俄罗斯后门的NetWitness Investigator工具的访问权限，以这样的方式操纵它，使黑客继续逃避检测。

调查人员说，他们会认为自己已经把S.V.R.“赶出去”了，却发现这群人从另一扇门“爬了进来”。