財政軍方核能全遭駭,美資安受震撼教育

作者 | 發布日期 2020 年 12 月 18 日 16:30 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


美國聯邦官員 12 月 17 日緊急警告,這次駭客大規模滲透聯邦機構所用的手法,遠較先前所知更廣泛多樣,為聯邦政府帶來「嚴重風險」。總統當選人拜登誓言要讓元凶付出代價。

《紐約時報》報導,隨著這次網攻規模陸續浮現,也讓聯邦調查人員評估損害、釐清失竊範圍時面對的挑戰益發複雜;遭受網攻的機構已擴大到核子實驗室、五角大廈、財政部等單位的系統。美國情報單位相信駭客是為俄羅斯工作。

資安公司也被攻破

國土安全部資安部門發出聲明後,拜登旋即警告,待他的政府上任後一定會讓該負責的對象「付出可觀代價」。

拜登說:「好的防禦並不夠,首先還需阻斷、嚇阻敵手發動重大網攻。我國面臨網攻時,我絕不會袖手旁觀。」總統川普到目前都仍未對美國遭受重大網攻說過一句話。

微軟(Microsoft)17 日呼應政府示警時指出,他們已確認至少 40 間企業、政府機構與智庫的資料遭疑為俄國的駭客所偷,當中近半是私人科技公司,其中更不乏火眼(Fire Eye)這類為公家與私人單位做防護的資安企業。

美方官員尚未公開點名誰是這次網攻的元凶,但情報單位告訴國會,他們相信是俄國對外情報局(SVR)所為。微軟的「熱點地圖」顯示,遭惡意程式感染者 80% 是在美國,俄國一點事都沒有。

遭駭軟體深植公私部門,美急令斷電斷網

美聯社報導,美國國土安全部資安部門 13 日深夜發出緊急指令,警告行政機構恐面臨「不可承受的威脅」,是國土安全部相關機制 2015 年成立以來第 5 次發出緊急指令,要求相關機構應即刻切斷操作 SolarWinds 遇駭軟體的網路連結或斷電。

SolarWinds 網站顯示,全球有 30 萬客戶,包括美國《財星雜誌》(Fortune)評選全美 500 大企業的多數公司、美國前 10 大電信商、美軍 5 個軍種、五角大廈、國務院、國家安全局(NSA)、白宮及美國國家航空暨太空總署(NASA)。

微軟資安研究人員 14 日從規模研判,網攻應屬「國家級」行為;資安專家阿爾佩洛維奇(Dmitri Alperovitch)說:「這恐成為史上衝擊最大的諜報活動之一。」

《華爾街日報》揭露,這次網攻駭客混合罕見的隱匿諜報技術使用從未見過的工具犯案,策略是瞄準全體美國企業與政府機構所仰賴的軟體供應鏈裡一個弱點,是資安專家長久擔憂但美國從未遇過的協同手法。

美今春已被駭卻渾然不覺

駭客用的是所謂供應鏈攻擊,利用 SolarWinds 公司的管理軟體更新,讓惡意程式碼植入目標伺服器。SolarWinds 名為獵戶座(Orion)的網路管理軟體獲政府機構與財星雜誌 500 大企業(Fortune 500)廣泛採用,駭客今年 3~6 月曾入侵 SolarWinds 植入惡意程式,藉軟體更新時滲透至客戶端。

約 1.8 萬客戶更新軟體時感染,惡意程式類似特洛伊木馬等待駭客指令,讓駭客能潛伏於網路並竊取資料,也能侵入電郵、下載被害方的軟體,還能裝出一副在網路偵巡的狀態不易為被害人察覺。

令美方震驚的是,這次發現網攻靠的竟是偶然而非情報官員。最近幾週一名火眼公司人員收到系統自動示警,顯示自身認證已悄悄被入侵,警示內容稱有人用他的帳號從一個未經認可的裝置登入公司虛擬私人網路。若火眼高層沒展開檢查,這場網攻可能迄今還不會被察覺。

火眼公司表示,全球的私人部門客戶很可能都受衝擊。調查人員表示受攻擊影響的多為設於歐美的企業,目前沒有外國政府宣布自家系統受損;一名前英國情報官表示,美國以外的西方國家政府預料幾週內也會發現受害的跡證,但也有資安專家認為,由於駭客手法高超,數千潛在受害者可能永遠不會發現遭駭。

美頂尖資安專家嘆:遇罕逢敵手

《華爾街日報》認為,美國情報單位今年多半憂心俄羅斯等外國勢力鎖定美國大選攻擊,近來還在慶幸這回終於沒出事之際就爆出這次前所未見的網攻,著實讓美國情報圈灰頭土臉,尤其網攻潛伏多時,還是火眼公司幸運發現而非政府維安機構破獲。

火眼公司負責調查的人是應變單位的資深副總卡瑪卡(Charles Carmakal),才一接手就說意識到正與所見過最高竿、最訓練有素的駭客集團交手。

火眼公司執行長曼迪亞(Kevin Mandia)談到這次的網攻說:「來得乾淨俐落,經多年因應這類攻擊與了解相關細節後,感覺這回真的不一樣。」

(譯者:陳亦偉;首圖來源:shutterstock)

延伸閱讀: