据路透社报道,美国国土安全部和数千家企业周一争分夺秒地调查和应对一场大规模的黑客攻击活动,官员们怀疑该活动是由俄罗斯政府指挥的。三位知情人士周一告诉路透社记者,作为复杂的系列漏洞的一部分,负责边境安全和防御黑客攻击的国土安全部官员发送的电子邮件被黑客监控。周日首次披露的攻击事件还袭击了美国财政部和商务部。
科技公司SolarWinds是黑客使用的关键“踏脚石”,该公司表示,其多达1.8万名客户下载了一个被入侵的软件更新,使黑客能够在近9个月的时间里不被察觉地监视企业和机构。
美国周日发出紧急警告,命令政府用户断开SolarWinds软件的连接,称该软件已被“恶意行为者”入侵。这一警告是在路透社报道疑似俄罗斯黑客利用劫持的SolarWinds软件更新侵入包括财政部和商务部在内的多个美国政府机构之后发出的。莫斯科否认与攻击有任何关系。其中一位熟悉黑客活动的人士表示,国土安全部网络安全部门用来保护基础设施的关键网络,包括最近的选举,都没有被攻破。
国土安全部表示知道这些报道,但没有直接证实这些报道,也没有说受影响有多严重。国土安全部是一个庞大的官僚机构,其中负责保障COVID-19疫苗的分发。在国土安全部(DHS)下属网络安全和基础设施安全局(CISA)局长克里斯托弗·克雷布斯(Christopher Krebs)称2020年总统选举是美国历史上最安全的选举后,美国总统特朗普解雇了负责人克雷布斯。他的副手和选举负责人也已经离开。
SolarWinds在一份监管披露中表示,它认为这次攻击是 "外部民族国家 "所为,他们在今年3月至6月间发布的Orion网络管理软件更新中插入了恶意代码。
"SolarWinds目前认为,可能安装了包含此漏洞的Orion产品的客户实际数量不到1.8万,"它说。
该公司没有回应有关受影响客户的确切数量或这些组织的任何违规程度的评论请求。该公司表示,它并不知道其其他产品存在漏洞,目前正在美国执法部门和外部网络安全专家的帮助下进行调查。
SolarWinds在全球拥有30万客户,其中包括美国财富500强企业的大部分,以及美国和英国政府的一些最敏感的部分--如白宫、国防部门和两国的信号情报机构。目前,世界各地的调查人员都在争分夺秒地寻找黑客。英国政府发言人表示,英国目前还不知道这次黑客攻击有什么影响,但仍在调查。
三位熟悉黑客调查的人士告诉路透社,任何运行Orion软件受损版本的机构都会被攻击者在其电脑系统中安装了“后门”。“在那之后,只是攻击者是否决定进一步利用这一权限的问题,”其中一位消息人士说。
据两位熟悉周一上午启动的企业网络安全调查浪潮的人士称,早期迹象表明,黑客在选择入侵对象时是有区别的。"我们看到的是远远少于所有的可能性,"一位人士说。"他们正在像使用手术刀一样使用这个。"
与此次事件有关的知名网络安全公司FireEye在此间的一篇博客中表示,其他目标包括 "北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体"。"如果是网络间谍活动,那么这是我们在相当长一段时间内看到的最有效的网络间谍活动之一。"FireEye的情报分析总监John Hultquist说。
专家表示,由于攻击者可以利用SolarWinds进入网络内部,然后创建一个新的后门,因此仅仅断开网络管理程序还不足以将黑客引导出去。为此,成千上万的客户都在寻找黑客存在的迹象,并试图猎取并禁用这些额外的工具。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态