大规模网络攻击?美国官方网络刮过“太阳风”

大家好,我是观察者网《科工力量》栏目主播,冬晓。近期,美国企业和政府突然遭遇大规模网络攻击。黑客可能利用了太阳风公司软件(SolarWinds)的系统漏洞,入侵了美国多个联邦机构及财富500强企业的网络。这是一家美国信息技术公司,为多个国家的企业提供软件、网络服务。

该公司的声明指出:18000多名客户下载的更新软件,被植入木马,黑客在长达9个月的时间里,深入美国政府和企业网络。此次攻击受到的机构里,不但包括美国财政部,美国国土安全局、美国国家卫生院,甚至美国国务院,也未能幸免。

“太阳风事件”的来龙去脉是怎么回事?各方又做出了什么样的反应?更进一步的网络安全又该如何建设?这些问题值得我们的深入关注。

12月8日,知名网络安全公司FireEye发出声明:声称旗下数千名客户遭受了黑客袭击。这些攻击者尝试访问内部系统,搜寻政府客户的相关信息。尽管FireEye指出:并没有证据表明,客户的数据被泄露,但是这次攻击,还是破坏了测试公司安全防御能力的软件。

随着时间的推移,事情的性质变得更加恶劣。根据美媒的报道,12月13日,美国财政部发出声明,旗下机构已经因为“太阳风”公司的软件,遭受黑客攻击。后来国土安全局和商务部也表示,自己的线上管理平台,也遭遇类似的攻击。

事态不断发酵,影响范围甚至扩散到核电站。在不到一周的时间里,美国能源部、美国国家核安全管理局也表示:自己遭到了网络攻击。像后者,负责维护美国储备的核武器,如果他们的网络被黑客入侵,很多保密资料都会泄密,影响国家安全。除了这些联邦政府机构,一些技术企业、基层管理机构,例如:思科、英伟达、英特尔,甚至连亚利桑那州政府,也遭到了攻击。“太阳风事件已经不单是国家安全问题,还影响到基层民众的日常生活。

面对规模如此庞大的攻击,美国的网络安全机构,也做出了反应。他们在第一时间内与事件受害方联系,停掉了“太阳风”软件的相关应用。微软和其他科技公司,攻陷了SolarWinds黑客攻击的关键域名。夺取域名之后,他们正在找出所有受害者,同时阻止黑客对受感染网络的持续入侵。

经过这些科技公司的努力,“太阳风事件”的攻击来源,终于搞清了。软件更新包中,有一个名为SUNBURST的恶意软件。这个软件有点狡猾,安装到电脑上,会休眠12到14天。躲过安全检查后,它会启动运行,窃取网络中的数据。

实际上,丑闻爆发两个月之前,“太阳风”公司的CEO 凯文·汤普森,还在公司电话会议中,吹捧公司的业务水平,强调公司在网络管理软件领域,处于行业领先地位。遗憾的是,“太阳风事件”发生后,公司股价从23.50美元,一路跌到18.06美元,跌幅超过23%,场面一度非常赛博朋克。

一名安全研究员表示:他去年曾经提醒过太阳风,软件更新的服务器密码是“solarwinds123”,任何人都可以访问,很容易作为操控工具,被网络攻击者利用。甚至还有网络安全机构发现:在遭受恶意攻击后,恶意更新包,仍然可以下载,公司毫无安全防御意识。

企业防御意识不够高,那相关政府部门呢?实际上,根据美媒的报道,政府已经花费数十亿美元,建立了专门防备恶意软件的“爱因斯坦防御系统”。但是,一份2018年的政府报告指出:该系统只能识别已知威胁。

这个没派上用场的“网络金钟罩”是谁造的呢?答案是CISA,全称“”网络安全与基础设施安全局”,这家机构成立于2018年10月,目的是保护国家的关键基础设施安全,防御网络安全攻击。该机构在美国大选期间,高调表态:专门辟谣称“不存在选举舞弊”,还专门写报告称这届选举是“美国历史上最安全的大选”。气的特朗普在推特上大骂CISA局长克里斯·克雷布斯,还在11月17日将他解职。实际上,如果特朗普再能多一点耐心,等上一个月,他就可以借助“太阳风事件”开除这位“辟谣局长”,顺便展示一下自己的帝王权术。

12月16日晚,美国高级别安全机构:联邦调查局、网络安全与基础设施安全局、国家情报局,在一份联合声明中正式确认,这场黑客攻击仍在持续。这三个机构成立了一个联合指挥部,对这起大规模的网络攻击展开调查。

据CNN报道,受到攻击的微软公司表示,其已在全球范围内确认超过40个政府机构、智库、非政府组织以及科技公司遭到了此次黑客攻击。其中,绝大部分机构都在美国,但加拿大、墨西哥、英国、西班牙等国家也遭受了攻击。

美国国会议员称,政府目前仍不清楚攻击影响范围有多广。众议院监督和改革委员会主席史蒂芬·林奇称,“此次攻击规模太大,以致我们的网络安全专家都不能真切了解此次攻击的范围”。

委员会另一位成员杰米·拉斯金则直接称,“我们知道的远没有我们不知道的多”,共和党参议员米特·罗姆尼甚至称,“我最惊讶的是,这种程度的网络攻击实际上相当于,俄罗斯轰炸机在整个国家飞行却没有被发现”。

“遇事不决,先骂俄罗斯”。美国国务卿蓬佩奥18日在接受采访时表示,俄罗斯是此次大规模、持续的网络攻击行动的幕后黑手。这是特朗普政府官员首次公开指责俄罗斯实施此次袭击,在网络安全领域,这种攻击性的表态,可以说是特朗普执政四年的头一回。

提到供应链,很多人想到的都是硬件生产的供应链。但是在软件行业中,供应链的概念也同样存在。根据Solarwind中文官网的说法,Solarwind从IT架构、IT应用,到存储管理、云系统监控,负责了相当多的基础业务。他们不单是在线办公的基建提供商,也是数据供应链中的基础一环。


遗憾的是,在这些企业的身上经常有着矛盾的两种气质。作为互联网基建他们强调独霸天下,尤其在针对企业的业务中,他们经常强调统一平台的便捷性,提供全套方案。但是遇到安全维护问题时,他们却很难尽到管理者的责任,甚至在Solarwind出现黑客问题后,吹嘘业务的CEO汤普森也在第一时间选择了跑路。

作为当事人,这些企业没能尽到应有的义务。作为监管者,政府也没有进行有效的管理。影响到众多部门的“太阳风事件”,最开始的爆料者居然是私营的网络安全公司,这家网络安全公司爆料的原因,也是由于自己的业务受到了损失。CISA这样的机构,本应监督互联网基建,却在这个事件中形同虚设,不得不让人对互联网管理模式产生新的思考。

在这次攻击中,黑客把常规的软件更新包变成特洛伊木马,深入客户的日常业务中,并且一开始并没有迅速爆发。黑客甚至还专门留出了一段时间的潜伏期,骗过安全系统的检测,进行的攻击也以搜索数据为主。这种深层次的网络攻击,更容易深入到要害机构和日常生活的关键节点,也会造成更恶劣的影响。

近些年来的艺术作品中,对于黑客攻击的展现。也从传统的恐怖袭击、窃取钱财变成了现在的基建攻击。从交易所到发电站,黑客的攻击目标已经转移到了社会运行的关键节点。“太阳风事件”把这种可能变成了现实,或许互联网领域的基建工程,并没有我们想的那么高枕无忧。

能力越大,责任越大。当互联网企业享受大市场带来的便利时,不要忘了背后的安全压力、监管压力和社会责任。纷繁的网络世界,并非只是数据迷梦那么简单,隐藏在背后的暗流同样需要关注和把控。在互联网的相关治理中,深层次的安全管理和完善的监管机制,在互联网基建中同样不可或缺。“太阳风”可能已经呼啸而过,但我们依旧要为下一场风暴做好准备。

全部专栏