据《华尔街日报》12月21日报道,对互联网记录的分析发现,入侵美国政府机构的俄罗斯黑客嫌疑人还入侵了美国大型科技和会计公司、至少一家医院和一所大学。
该杂志发现有二十多家机构的电脑受到感染,这些机构安装了名为SolarWinds Orion的受污染的网络监控软件,允许黑客通过暗中插入的后门进入。这让他们有可能访问到数十项敏感的企业和个人数据。
其中包括:科技巨头思科系统公司,芯片制造商英特尔公司和Nvidia 公司,会计公司德勤有限公司,云计算软件制造商VMware Inc.和贝尔金消费电子公司,贝尔金销售LinkSys和Belkin品牌的家庭和办公室Wi-Fi路由器和网络设备。
攻击者还可以进入加州州立医院部和肯特州立大学。
SolarWinds公司表示,黑客在例行的软件更新中加入恶意代码后,受害者提供了一个小窗口,让人们得以了解黑客攻击的范围,而这场攻击可能困扰到SolarWinds多达1.8万名位客戶。
SolarWinds表示,它追踪到黑客的活动至少可以追溯到2019年10月,它现在正在与安全公司、执法和情报机构合作调查这次攻击。
思科在一份声明中证实,它在一些员工系统和少量实验室系统上发现了恶意软件。该公司仍在调查中。
《华尔街日报》分析发现,英特尔下载并运行了恶意软件。该公司发言人表示,公司正在调查这一事件,没有发现黑客利用后门进入公司网络的证据。
根据《华尔街日报》分析,德勤公司在6月底被黑客感染,它在一份声明中说,“它们已经采取措施解决了恶意的软件,但目前还没有观察到未经授权访问我们系统的迹象。”
VMware公司表示,它在其系统中发现了有限的恶意软件实例,但其内部调查没有发现任何利用的迹象。
(图源:Unsplash)
肯特州立大学的一位女发言人表示,学校已经了解到这一情况,正在对这一严重事件进行评估。
据该杂志分析,加州州立医院部在8月初安装了SolarWinds防护门。加利福尼亚州州长紧急服务办公室发言人表示,州政府官员正在与联邦和州政府机构合作,以解决SolarWinds防护门的影响,他拒绝对受影响的具体机构发表评论。
Nvidia公司发言人在一份声明中表示,该公司目前没有证据表明Nvidia受到了不利影响,他们的调查正在进行中。
该杂志从威胁情报公司Farsight Security和RiskIQ收集的受害者电脑中收集数字线索,然后使用解密方法揭示了一些下载恶意代码的服务器的身份。在某些情况下,分析显示了受影响组织的身份,并显示了代码可能被激活的时间,表明黑客有访问权限。
目前还不知道黑客在各个组织内部做了什么,也不知道他们是否使用了许多公司的后门。但调查人员和安全专家表示,除了内部通信和其他政府机密外,黑客可能还在寻找公司高管的电子邮件、正在开发的敏感技术的文件,以及日后入侵更多系统的其他方式。
这种不确定性让SolarWinds的客户,其中包括大型科技公司、400多家财富500强企业和许多政府机构,争先恐后地确定后果以及黑客是否还在内部。
这次攻击融合了超乎寻常的隐秘手段,使用了以往攻击中从未出现过的网络工具,其策略是将所有美国企业和政府机构所依赖的软件供应链中的一个薄弱环节作为攻击重点。这是安全专家们长期以来所担心的,但从未以如此协调一致的方式用于美国。
政府机构和网络安全专家仍在努力拼凑这次大规模的疑似间谍行动。至少有6个联邦机构,包括国务院、国土安全部、商务部和能源部被黑客攻击,这是行动的一部分。
网络安全和基础设施安全局上周发布警报称,此次黑客攻击事件严重且持续不断。SolarWinds已经发布了关闭防护门的更新,微软公司已经控制了黑客的部分基础设施,以防止攻击蔓延。
联邦调查人员认为,俄罗斯政府很可能对这次黑客攻击负责,部分原因是涉及的技术水平。最近几天收到简报的几位参议员都公开称这是俄罗斯的行动。周五,国务卿蓬佩奥成为首位公开指责莫斯科的特朗普政府官员。
公司TrustedSec LLC正在调查这次黑客攻击。对于许多公司来说,担心的是攻击者是否窃取了数据,或者在企业网络内仍未被发现。更重要的是,由于攻击可以追溯到许多个月前,一些公司可能不再拥有做完整调查所需的取证数据。
网络安全专家、银都政策加速器智库的联合创始人德米特里·阿尔佩罗维奇说:“如果这确实是俄罗斯联邦外国情报局,正如我们所认为的那样,把那些家伙从网络中踢出去是非常困难的。”
阿尔佩罗维奇表示,一些组织在其系统上保持更好的活动记录,将可能用来确定是否有人通过俄罗斯后门进入到他们的网络上,他还共同创办了网络安全公司CrowdStrike控股公司。但对于其他人来说,尤其是小型或中型公司,这将是一项困难而昂贵的任务,许多人可能会忽略,这意味着俄罗斯可能会无限期地在一些网络中保持存在。
对于许多企业受害者来说,现在迫在眉睫的担心是,黑客可能会利用它们作为一种途径来接近他们的客户。例如,微软在上周四发布的研究报告中发现,其在攻击中受到冲击的40多家客户中,有近一半是信息技术服务公司,这些公司往往可以广泛地访问客户的网络。
微软本身也是SolarWinds的客户,上周表示,它也在自己的网络上检测到了与黑客相关的恶意软件,但没有迹象表明微软的系统被用来攻击他人。