您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
專家就“美國最嚴(yán)重網(wǎng)絡(luò)攻擊”給出5點觀察結(jié)果
關(guān)于所謂的“Sunburst”(熾日行動)“迄今為止對美國造成的最嚴(yán)重的網(wǎng)絡(luò)攻擊”(針對美國政府機構(gòu)和公司),目前美國政府尚無最終定論。美國官員普遍認(rèn)為,俄羅斯政府資助的黑客應(yīng)對此負(fù)責(zé)。
這次襲擊使黑客有機會接觸眾多重要的美國企業(yè)和政府組織。即時影響將難以判斷,并且不太可能對損失進(jìn)行全面評估。但是,僅受影響組織的性質(zhì)就清楚表明,這可能是迄今為止針對美國的最嚴(yán)重的網(wǎng)絡(luò)攻擊。
網(wǎng)絡(luò)攻擊的行為通常不像實體炸彈,它不會立即造成人們?nèi)菀桌斫獾钠茐?。相反,它更像是癌癥-它檢測緩慢,難以根除,并且會在很長一段時間內(nèi)造成持續(xù)的嚴(yán)重?fù)p害。網(wǎng)絡(luò)安全專家(類似診斷癌癥的腫瘤學(xué)家)給出以下5個觀察結(jié)果來說明迄今所知。
1.受害者都是難以攻克的堅果
從頂級網(wǎng)絡(luò)安全公司FireEye自爆被黑到美國財政部等一系列政府部門,微軟,英特爾和許多其他組織,攻擊的受害者大部分是具有全面網(wǎng)絡(luò)安全實踐的公司。使用受損軟件的組織列表包括萬事達(dá)卡,洛克希德·馬丁公司和普華永道公司等。SolarWinds估計約有18000家公司受到影響。
18000家公司其實囊括了來自許多目標(biāo)組織的安全專家,許多組織都有世界一流的網(wǎng)絡(luò)安全團隊,且是美國大多企業(yè)最難達(dá)到的安全防護能力。熾日行動的受害者是特別針對的目標(biāo),可能主要集中在情報收集上。
2.這幾乎可以肯定是一個國家的工作,而不是罪犯
大多數(shù)犯罪黑客專注于短期的經(jīng)濟利益。他們使用勒索軟件之類的技術(shù)從受害者那里勒索金錢,竊取金融信息,并收集計算資源用于發(fā)送垃圾郵件或挖掘加密貨幣之類的活動。
犯罪黑客利用眾所周知的安全漏洞,如果受害者在安全方面更加徹底,則可以避免。黑客通常以安全性較弱的組織為目標(biāo),例如醫(yī)療保健系統(tǒng),大學(xué)和市政府。眾所周知,大學(xué)網(wǎng)絡(luò)是分散的,難以保護的,而且常常使網(wǎng)絡(luò)安全資金不足;醫(yī)療系統(tǒng)傾向于使用運行較舊的,易升級的,難以升級的軟件的專用醫(yī)療設(shè)備。
另一方面,與國家政府相關(guān)的黑客具有完全不同的動機。他們尋求對關(guān)鍵基礎(chǔ)設(shè)施的長期訪問,收集情報并開發(fā)使某些行業(yè)癱瘓的方法。他們還竊取知識產(chǎn)權(quán),尤其是在高科技,醫(yī)學(xué),國防和農(nóng)業(yè)等領(lǐng)域開發(fā)昂貴的知識產(chǎn)權(quán)。
針對的組織之一:網(wǎng)絡(luò)安全公司FireEye,對于普通網(wǎng)絡(luò)犯罪分子來說將是一個糟糕的選擇,但對于俄羅斯政府或美國的其他對手來說,這是非常理想的選擇。滲透到熾日行動受害者公司之一的巨大努力也是一個明顯的跡象,表明這不僅僅是犯罪活動。例如,像FireEye這樣的公司天生就是犯罪攻擊者的目標(biāo)。它只有不到4,000名員工,但計算機安全性卻與世界一流的國防和金融企業(yè)相當(dāng)。
3.攻擊利用了受信任的第三方軟件
黑客通過將惡意軟件放到SolarWinds的Orion軟件的軟件更新中來獲得訪問權(quán)限,該軟件被廣泛用于管理大型組織網(wǎng)絡(luò)。Sunburst攻擊依賴于目標(biāo)組織與SolarWinds之間的可信任關(guān)系。當(dāng)Orion的用戶在2020年春季更新系統(tǒng)時,他們無意間邀請了特洛伊木馬進(jìn)入他們的計算機網(wǎng)絡(luò)。
除了關(guān)于SolarWinds安全性寬松的報告之外,對于黑客如何獲得對SolarWinds的初始訪問權(quán)知之甚少。但是,俄羅斯黑客在2017年之前就采用了破壞第三方軟件更新過程的策略,那就是在臭名昭著的NotPetya攻擊,該攻擊被認(rèn)為是歷史上造成財務(wù)損失最大的網(wǎng)絡(luò)攻擊。
4.損壞程度未知
目前需要花費很長時間才能發(fā)現(xiàn)損壞的程度。由于攻擊者在2020年春季獲得了對大多數(shù)受害者的訪問權(quán)限,這給黑客提供了擴展和隱藏他們對受害者系統(tǒng)的訪問和控制的時間,因此調(diào)查異常復(fù)雜。例如,一些專家認(rèn)為,盡管公司否認(rèn)了VMWare(一種廣泛用于公司網(wǎng)絡(luò)的軟件)中的漏洞,但該漏洞也已被用來獲得對受害者系統(tǒng)的訪問權(quán)限。
專家希望損失在受害人之間分布不均。這將取決于各種因素,例如組織使用SolarWinds軟件的程度,其網(wǎng)絡(luò)的分段程度以及軟件維護周期的性質(zhì)。例如,據(jù)報道,Microsoft Orion的部署有限,因此該攻擊對其系統(tǒng)的影響有限。
相比之下,黑客從FireEye竊取的賞金包括滲透測試工具,該工具用于測試高端FireEye客戶的防御。這些工具的盜竊可能會被黑客珍視,以增強其在未來攻擊中的功能,并深入了解FireEye客戶端所防護的內(nèi)容。
5.后果可能包括現(xiàn)實世界的危害
收集信息與造成現(xiàn)實傷害之間的界限非常狹窄,通常不存在??赡軓拈g諜或間諜活動開始,很容易升級為戰(zhàn)爭。
為攻擊者提供更大用戶權(quán)限的計算機系統(tǒng)上存在惡意軟件是危險的。黑客可以利用對計算機系統(tǒng)的控制來摧毀計算機系統(tǒng),就像2012年對沙特阿美的伊朗網(wǎng)絡(luò)攻擊一樣,并損害物理基礎(chǔ)設(shè)施,還像2010年Stuxnet對伊朗核設(shè)施的攻擊一樣。
此外,僅憑信息就能對個人造成真正的傷害。例如,2017年Equifax被入侵,將有關(guān)數(shù)百萬美國人的詳細(xì)財務(wù)和個人信息掌握在美國最大的戰(zhàn)略競爭對手之一的手中。
沒有人知道熾日行動襲擊的全部范圍,但是范圍很大,受害者是美國政府,經(jīng)濟和關(guān)鍵基礎(chǔ)設(shè)施的重要支柱。從這些系統(tǒng)和惡意軟件中竊取的信息(黑客可能留給他們的惡意軟件)也可用于后續(xù)攻擊。
專家介紹
Paulo Shakarian博士是Cyber Reconnaissance,Inc.(CYR3CON)的首席執(zhí)行官兼聯(lián)合創(chuàng)始人,該公司致力于將人工智能與從惡意黑客社區(qū)中獲取的信息相結(jié)合,從而避免網(wǎng)絡(luò)攻擊。他領(lǐng)導(dǎo)了由IARPA,DARPA,ONR,AFOSR和ARO資助的研究工作。Shakarian被評為“ KDD冉冉升起的新星”,獲得了空軍青年調(diào)查員獎,獲得了多個“最佳論文”獎,并在CNN和The Economist等主要新聞媒體中脫穎而出。Paulo是美國陸軍的野戰(zhàn)級軍官,曾在伊拉克進(jìn)行過兩次戰(zhàn)斗訪問,獲得了銅星獎和勇氣軍表彰獎?wù)隆3藖喞D侵萘⒋髮W(xué)的教職外,他還曾擔(dān)任DARPA軍事研究員和West Point的助理教授。
來源:紅數(shù)位