美国网络代理:计算机黑客冒充'grave risk'

国土安全部是几个与SolarWinds中的漏洞有关的黑客活动的一部分,联邦机构之一'Orion网络监控产品。
国土安全部是几个与SolarWinds中的漏洞有关的黑客活动的一部分,联邦机构之一'Orion网络监控产品。
Mandel Ngan /法新社通过Getty Images

美国网络安全和基础设施安全局 在星期四发出了关于 重大计算机入侵 ,说出来"poses a 重大风险"联邦,州和地方政府以及私人公司和组织。

自上周末首次宣布对多家机构的政府计算机进行黑客攻击以来,特朗普政府一直表示相对较少。

但是,国土安全部下属的CISA在其最新评论中提供了广泛的概述。该机构指出,攻击始于3月左右,目前仍在持续-这意味着'被放置在计算机上可能仍在捕获有价值的信息。

此外,CISA表示,删除恶意软件将"对组织而言非常复杂且具有挑战性。"

俄国's Foreign Intelligence Service, the SVR, is believed responsible, according to cybersecurity experts who cite the extremely sophisticated nature of the attack. But the Trump administration has not formally blamed 俄国, 和 俄国 has denied involvement.

"我怎么能证明我'm innocent if I didn't do it. Let's sit together. Let's discuss. Let'重新开始对话," 俄国n Ambassador Anatoly Antonov said Wednesday in a Zoom call from the 俄国n Embassy in Washington.

U.S. intelligence agencies have started briefing members of Congress, 和 Sen. Richard Blumenthal, a Connecticut Democrat, said the information clearly pointed to Cozy Bear, a hacking group widely considered to be 俄国n foreign intelligence.

"Russia'网络攻击使我深感震惊,实际上彻头彻尾的恐惧。美国人应该知道什么's going 上 ," 布卢门撒尔说 与黑客有关的几条推文之一。

Blumenthal说他将努力使更多信息公开。

到目前为止,据报道,受影响的美国政府实体名单包括商务部,国土安全部,五角大楼,财政部,美国邮政局和国立卫生研究院。

据政府官员和网络安全专家称,注意力集中在破坏美国政府网络上,但该恶意软件也可能感染了数千家私营公司和组织的计算机。

联邦调查局,国土安全部和国家情报局局长办公室星期三宣布,他们现在已经组成一个特别的统一小组,称他们将"协调政府对这一重大网络事件的响应。"

特朗普总统尚未公开提及黑客入侵。

黑客针对的是得克萨斯州奥斯汀市的SolarWinds公司的软件。许多联邦机构和数千家公司都在使用SolarWinds'Orion软件可以监视其计算机网络。

CISA发布了 紧急指令 星期天告诉联邦机构"立即从网络中断开受影响的SolarWinds Orion产品的连接或关闭电源。"

的 incident is the latest in what has become a long list of suspected 俄国n electronic incursions into other nations – particularly the U.S. – under President Vladimir Putin. Multiple countries have 先前被指控 俄国 of using hackers, bots 和 other means in attempts to influence elections in the U.S. 和 elsewhere.

U.S. national security agencies made major efforts to prevent 俄国 from interfering in the 2020 election. But those same agencies seem to have been blindsided by the hackers who have had months to dig around inside U.S. government systems.

"It'好像您是在一个早晨醒来,突然意识到过去六个月来一直有盗贼进出您的房子,"国家安全局的格伦·格斯特尔说'2015年至2020年担任首席法律顾问。

这里'我们对这次攻击的了解:

谁受到了影响?

太阳风 有大约300,000个客户,但它说"fewer than 18,000"安装了其Orion产品的版本,该版本似乎已受到威胁。

根据安全公司FireEye的说法,受害者包括政府,咨询,技术,电信以及北美,欧洲,亚洲和中东的其他实体,这有助于引发有关违规的警报。

"我们认为这是针对政府和私营部门的大规模的国家活动," 微软说 因为它分享了有关它所谓的一些细节"我们的威胁活动've在过去几周内被发现。"

在研究了恶意软件之后,FireEye说,它认为漏洞是针对性的:"这些妥协不是自我传播的。每种攻击都需要精心计划和手动交互。"

骇客如何运作?

黑客利用软件公司分发更新的方式,将恶意软件添加到合法软件包中。安全分析师表示,恶意代码给黑客提供了"backdoor"-立足于目标'计算机网络-然后用于获得更高的凭据。

太阳风 追踪"supply chain"在3月到6月之间攻击Orion网络产品的更新。

"经过长达两个星期的初始休眠期后,它会检索并执行命令,称为'Jobs,'包括传输文件,执行文件,分析系统,重新引导计算机以及禁用系统服务的功能," FireEye说 .

FireEye表示,该恶意软件被设计为非常隐蔽,其运作方式会伪装成正常活动。它补充说,恶意软件还可以识别可能威胁其的取证和反病毒工具。它说它过去在系统内移动的凭证是"总是不同于用于远程访问的。"

微软说,在获得访问权限后,入侵者还进行了更改以确保长期访问,方法是添加新的凭据并使用管理员特权为其自身授予更多权限。

FireEye正在呼叫"Trojanized"SolarWinds软件Sunburst。它命名了另一种恶意软件-TEARDROP,据说以前从未见过。

调查员现在在做什么?

太阳风 表示正在与FBI,美国情报界和其他调查机构合作,以了解有关该恶意软件及其影响的更多信息。该公司和安全公司还表示,任何受影响的机构或客户都应更新到最新软件,以减少他们对该漏洞的暴露。

描述一些侦探作品'现在发生了,格斯特尔说,"You'd必须返回并查看每个房间,以查看所拍摄的内容,可能碰到的内容。当然,'只是一个可怕的想法。"

他说,入侵者很小心掩盖他们的踪迹。

"You couldn'告诉他们他们进来了,你不能't tell that they left the back door open. 您 couldn'甚至不必说出他们何时进来,环顾四周以及何时离开。"

微软现在已经控制了黑客用来与被Orion更新破坏的系统进行通信的域名。 安全专家Brian Krebs 。他说,这种访问可以帮助揭示黑客的范围。

他说,入侵可能只是间谍活动,一个政府试图了解其对手正在做什么。

这个故事最初于12月15日发布,并已更新。

Copyright 2020 NPR. To see more, visit //www.npr.org.

您r support matters.

您使MPR新闻成为可能。在全州我们的记者,报道与我们之间的联系以及提供观点的对话中,个人捐款的背后是清晰的。帮助确保MPR仍然是将明尼苏达州人聚集在一起的资源。