什么 we know about 俄国'最近被指控的美国政府黑客攻击

国土安全部是几个与SolarWinds中的漏洞有关的黑客活动的一部分,联邦机构之一'Orion网络监控产品。
国土安全部是几个与SolarWinds中的漏洞有关的黑客活动的一部分,联邦机构之一'Orion网络监控产品。
Mandel Ngan /法新社通过Getty Images

更新时间:12月21日下午5:38 |发表:12月15日,下午3:50

大规模的计算机漏洞使黑客可以花数月时间浏览众多美国政府网络和私人公司'世界各地的系统。行业专家说,一个国家发动了复杂的黑客攻击-政府官员说,俄罗斯对此负责。

黑客将他们的恶意软件附加到了得克萨斯州奥斯汀市公司SolarWinds的软件更新中。全球许多联邦机构和数千家公司都在使用SolarWinds'Orion软件可以监视其计算机网络。

太阳风 表示,从今年3月到6月,它的近18,000个客户(包括政府和私营部门)收到了受污染的软件更新。

这里'我们对这次攻击的了解:

谁是负责的人?

俄国's foreign intelligence service, the SVR, is believed to have carried out the hack, according to cybersecurity experts who cite the extremely sophisticated nature of the attack. 俄国 has denied involvement.

特朗普总统对这次黑客攻击一直保持沉默,他的政府也没有归咎于此。但是,美国情报机构已开始向国会议员通报情况,几位议员表示他们所提供的信息'我看到了指向俄罗斯的观点。

参议院军事委员会成员包括俄克拉荷马州的共和党主席詹姆斯·英霍夫(James Inhofe),以及面板上的最高民主党人罗德岛的杰克·里德(Jack Reed)周四发表联合声明"网络入侵似乎仍在继续,并且具有俄罗斯情报部门的标志。"

经过几天的相对较少的发言后, 美国网络安全和基础设施安全局 在星期四发出了不祥的警告,说黑客"poses a grave risk"联邦,州和地方政府以及私人公司和组织。

此外,CISA表示,删除恶意软件将"对组织而言非常复杂且具有挑战性。"

The episode is the latest in what has become a long list of suspected 俄国n electronic incursions into other nations under President Vladimir Putin. Multiple countries have 先前被指控 俄国 of using hackers, bots 和 other means in attempts to influence elections in the U.S. 和 elsewhere.

美国国家安全机构做出了重大努力,以防止俄罗斯干预2020年大选。但是这些机构似乎被黑客们蒙蔽了双眼,这些黑客们已经在美国政府系统内部摸索了数月之久。

"It'好像您是在一个早晨醒来,突然意识到过去六个月来一直有盗贼进出您的房子,"国家安全局的格伦·格斯特尔说'2015年至2020年担任首席法律顾问。

谁受到了影响?

到目前为止,据报道,受影响的美国政府实体名单包括商务部,国土安全部,五角大楼,财政部,美国邮政局和国立卫生研究院。

能源部承认其计算机系统已受到威胁,尽管它表示恶意软件"仅与业务网络隔离,并且未影响该部门的任务必不可少的国家安全职能,包括国家核安全局。"

太阳风 拥有约30万客户,但它说"fewer than 18,000"安装了其Orion产品的版本,该版本似乎已受到威胁。

根据安全公司FireEye的说法,受害者包括政府,咨询,技术,电信以及北美,欧洲,亚洲和中东的其他实体,这有助于引发有关违规的警报。

在研究了恶意软件之后,FireEye说,它认为漏洞是针对性的:"这些妥协不是自我传播的。每种攻击都需要精心计划和手动交互。"

微软正在协助调查该黑客事件,并表示已经查明了40个渗透到其中的政府机构,公司和智囊团。在美国有30多名受害者的同时,加拿大,墨西哥,比利时,西班牙,英国,以色列和阿拉伯联合酋长国也受到组织的打击。

"不幸的是,该攻击代表了针对美国政府的机密信息以及公司用来保护它们的技术工具的一次广泛,成功的基于间谍活动的攻击," 微软'总统布拉德·史密斯(Brad Smith) 写道。

"尽管各国政府相互监视了数百年,但最近的攻击者使用的技术已使整个经济的技术供应链处于危险之中," he added.

骇客如何运作?

黑客利用软件公司分发更新的方式,将恶意软件添加到合法软件包中。安全分析师表示,恶意代码给黑客提供了"backdoor"-立足于目标'计算机网络-然后用于获得更高的凭据。

太阳风 追踪"supply chain"在3月到6月之间攻击Orion网络产品的更新。

"经过长达两个星期的初始休眠期后,它会检索并执行命令,称为'Jobs,'包括传输文件,执行文件,分析系统,重新引导计算机以及禁用系统服务的功能, " FireEye说 .

FireEye说,该恶意软件被设计为隐身的,以伪装成正常活动的方式进行操作。它补充说,恶意软件还可以识别可能威胁其的取证和反病毒工具。它说,它过去在系统内移动的凭证是"总是不同于用于远程访问的。"

微软表示,在获得访问权限后,入侵者还进行了更改以确保长期访问,方法是添加新的凭据并使用管理员特权为其自身授予更多权限。

FireEye正在呼叫"Trojanized"SolarWinds软件Sunburst。它命名了另一种恶意软件-TEARDROP,据说以前从未见过。

什么 are investigators doing now?

太阳风 表示正在与FBI,美国情报界和其他调查机构合作,以了解有关该恶意软件及其影响的更多信息。该公司和安全公司还表示,任何受影响的机构或客户都应更新至最新软件,以减少其对该漏洞的暴露。

微软现在已经控制了黑客用来与被Orion更新破坏的系统进行通信的域名。 安全专家Brian Krebs 。他说,这种访问可以帮助揭示黑客的范围。

什么'接下来是被黑的代理商和公司吗?

FireEye的首席执行官Kevin Mandia告诉NPR,随着公司和代理商的学习,'我已经被妥协了'有很多事情要做:他们必须调查攻击的规模和范围,并从攻击者的网络中根除他们'仍然活跃。即使他们'由于仍不活跃,他预计将进行数月的补救。

曼迪亚说,对于美国政府来说,还有更大的问题要解决-包括有关美国期望国家的理论' rules of engagement 将会发生什么,以及对违反该学说的人的反应是什么。

这个故事最初于12月15日发布,并已更新。

Copyright 2020 NPR. To see more, visit //www.npr.org.

您的支持很重要。

您使MPR新闻成为可能。在全州我们的记者,报道与我们之间的联系以及提供观点的对话中,个人捐款的背后是清晰的。帮助确保MPR仍然是将明尼苏达州人聚集在一起的资源。