网络安全公司如何发现大规模计算机黑客

网络安全公司FireEye的首席执行官Kevin Mandia在2017年向参议院情报委员会作证。'的公司是第一个在12月8日发出有关政府机构和私人公司大规模入侵的警报的公司。
网络安全公司FireEye的首席执行官Kevin Mandia在2017年向参议院情报委员会作证。'的公司是第一个在12月8日发出有关政府机构和私人公司大规模入侵的警报的公司。
苏珊·沃尔什/美联社

黑客对美国计算机网络进行了高度复杂的入侵的第一句话是12月8日,当时该网络安全公司 FireEye宣布 它已被破坏,其中一些最有价值的工具被盗。

"从我第一次通报的那一刻起,我们就迅速升级了,'嘿,我们发生了某种程度的安全事件,' "FireEye首席执行官凯文·曼迪亚(Kevin Mandia)告诉《一切都被考虑》的共同主持人玛丽·路易斯·凯利。"我的直觉告诉我,这是我们需要立即将人们送走的东西。"

曼迪亚说得对。在几天之内,黑客的范围开始出现。

成功地将多个美国机构作为目标,包括州,财政,商务,能源和国土安全部门以及美国国立卫生研究院。

黑客将其恶意软件附加到德克萨斯州奥斯汀公司SolarWinds的软件更新中,该更新使许多联邦机构和数千家私营公司使用该软件来监视其计算机网络。

俄罗斯SVR'国务卿迈克·蓬佩奥(Mike Pompeo)和一些美国国会议员在接受美国情报界通报后说,美国外交情报局被认为是最可能的罪魁祸首。但是特朗普政府尚未正式将责任归咎于此。

"What I'我们已经看到2020年是要成为信息安全官最艰难的一年," Mandia said. "It'是时候让这个国家提出一些关于我们期望国家的理论'应当遵守参与规则,以及对违反该学说的人们将采取什么政策或采取相应的对策。因为现在在那里'绝对是网络空间的升级。"

这是曼迪亚的摘录 's interview:

当你的那一刻是什么样're figuring out it'您的网络安全公司已经被黑客入侵了吗?

如果您写下了另一个国家可能想要折衷FireEye的原因,您可以提出一些原因。我们要做的是跟踪攻击者,坦率地说,我们将他们赶出去。我们试图弄清楚—在这里'他们的指纹,让's与所有人共享这些指纹,以便他们可以'不能摆脱他们的're doing.

[早期]攻击者有足够的操作安全性,我知道它是专业的。这不是'这些攻击者的第一个牛仔竞技表演。实际上,他们遵循一种技巧,我学到的越多,这个单元就越多'已经运行了十年或更长时间。他们知道自己在做什么,他们拥有新颖的技术。因此,我们知道我们必须对调查进行全场调查。而我们做到了。

谁在这场攻击背后?

对我来说'绝对是一个国家。关于SolarWinds的供应链泄露问题,他们于2019年10月在供应链中进行了无害的代码添加,看到已对其进行了配置和部署-因此,他们知道自己的攻击供应链的技术非常有效。他们从今年3月到今年6月在SolarWinds内部使用了实际的恶意代码。

因此,这是一个耐心,专业的人,让我对此感兴趣的是,我觉得他们比对完成任务更感兴趣,要保持秘密和秘密。

哪些国家具有这种能力?

不是很多。它's very consistent with what 俄国 could do. 那里 might be a group out of China that might be able to do it. And that's probably it.

此攻击是否有与您的其他黑客相符的签名?'ve seen?

那里'大概有六到八个技术细节使我意识到这是一个国家,而且很有可能是外国情报服务机构在违反此规定。其中之一是:他们使用基础结构攻击FireEye。他们用于攻击FireEye的IP地址或系统未在我们发生的任何其他事件中使用're aware of.

换句话说,攻击者建立了攻击FireEye的基础架构,这是攻击FireEye所独有的。这需要大量的维护。这需要大量的协调。那'是一项操作-不仅仅是黑客。大多数威胁组在受到攻击时将使用共享基础结构来攻击许多公司。该小组不这样做。这本身使我意识到这是一项手术。

我们是从私人网络安全公司FireEye发出警报的美国政府中得到的,而不是相反?

We'在这段时间里都在一起。那里'在不同地方的可见度不同。当针对FireEye的攻击发生时,用于攻击我们的所有IP地址都在美国内部。和我'我很清楚[国家安全局]在美国不进行馆藏。因此,我们是自己的人,能够看到并检测到它。

那么你'再说一遍,您可以看到NSA尽管拥有大量资源,但在国内却有防火墙阻止人们看到?

好吧,我不会'不必称其为防火墙。它'只是合法的汇款。您知道,当您查看这些攻击者的行为时,他们'再次攻击美国的美国公司。那不'不一定意味着攻击者坐在美国,但是他们的基础设施'重新设置以攻击像FireEye这样的公司都在美国。因此,恶意意图可能在美国以外不可见,而可能仅在美国内可见。

我们检查了成千上万台计算机,以证明它们遭到了破坏,并且我们无法'在时间范围内不会比SolarWinds系统更早得到任何东西。我们坐在那里看着SolarWinds系统说,"We can'暂时没有发现任何坏处,但是它'是我们妥协的最早证据。东西's wrong."

因此,我们不得不将其移交给反向工程师。大多数公司都可以做到这一点'做。我们经历了14份信息,从SolarWinds获得的更新中超过18,000个文件,超过4,000个可执行文件。我们将它们反编译成数百万行。然后,与真正的恶意软件分析师一起,我们发现了大海捞针。

我们是否知道NSA本身是否被黑客入侵?

我不 't have any idea.

So what now? 那里'联邦调查局以及国家情报局局长和国土安全部网络安全部门的声明说,这种违法行为仍在继续。

我认为当人们被通知或得知他们're compromised, they'要做很多工作。所有这些组织都必须调查发生的事情并弄清其规模和范围,然后他们'如果他们必须将其从网络中消灭,'re still active.

即使他们're not active, you'会稍微弯曲一下肌肉来进行很多补救。那'需要几个月的时间。

但是有一件事'我绝对清楚:攻击者不知道行为的界限,交战的规则是什么。

We'一个勒索软件损失数十亿美元的国家。而我们这个国家,可能只是有史以来最成功的网络间谍活动之一。

Copyright 2020 NPR. To see more, visit //www.npr.org.

您的支持很重要。

您使MPR新闻成为可能。在全州我们的记者,报道与我们之间的联系以及提供观点的对话中,个人捐款的背后是清晰的。帮助确保MPR仍然是将明尼苏达州人聚集在一起的资源。