据美联社(华盛顿)报道,去年获得美国联邦机构计算机系统访问权的俄罗斯精英黑客并没有费心去逐个侵入每个部门的网络。
相反,他们是通过将恶意代码偷偷植入软件更新中,当软件更新推送给数千家政府机构和私营公司时,他们就完成了侵入。
黑客能够利用所谓的供应链中的漏洞,展开大规模的情报收集行动,这并不奇怪。美国官员和网络安全专家多年来一直对这个问题发出警报,这个问题已经造成了破坏,包括数十亿美元的经济损失,但政府和私营部门却不易解决。
上周辞去美国政府首席反间谍官员职务的威廉·埃瓦尼纳(William Evanina)在接受采访时说:“我们将不得不绕过供应链威胁,找到解决方案,这不仅是为了我们美国,也是为了地球。我们必须找到一种方法来确保我们在未来可以拥有一个零风险的情形,并信任我们的供应商。”
一般来说,供应链指的是参与开发某种产品的人和公司的网络,这与一个房屋建筑项目依靠承包商和分包商组成的网络并无二致。在这个过程中,从设计到制造再到分销的步骤数量之多,以及所涉及的不同实体,给希望渗透到企业、机构和基础设施中的黑客提供了众多的切入点。
这可能意味着没有一家公司或高管能独自承担保护整个行业供应链的责任。而且即使产业链中的大多数供应商都是安全的,外国政府黑客需要的也可能是一个单一的漏洞点。实际上,那些建造堡垒般豪宅的房主们会发现,警报系统在安装之前就已经被破坏了。
最近一起针对联邦机构的案件涉及到俄罗斯政府黑客,据信他们将恶意代码潜入到监控企业和政府计算机网络的流行软件中。该产品是由一家位于德克萨斯州的名为“太阳风”(SolarWinds)的公司制造的,该公司在联邦政府和私营部门拥有数千名客户。
该恶意软件让黑客可以远程访问多个机构的网络。目前已知受到影响的有商务部、财政部和司法部。
对于黑客来说,直接针对供应链的商业模式是明智的。
埃瓦尼纳说:“如果你想入侵华尔街的30家公司,为什么要单独入侵它们呢?你可以去入侵服务器,比如仓库、云端,这些公司都在那里存放数据。这样做更聪明、更有效、更高效。”
虽然唐纳德·特朗普总统对网络安全没有表现出什么个人兴趣,甚至在俄罗斯黑客事件曝光前几周还解雇了国土安全部网络安全机构的负责人,但乔·拜登总统表示将把网络安全作为优先事项,让实施攻击的对手付出代价。
供应链保护想必是这些努力的关键部分,显然还有很多工作要做。美国政府问责局(Government Accountability Office)去年12月发布的一份报告称,对23家机构评估和管理供应链风险的协议进行审查后发现,只有少数几家机构实施了七项“基本做法”中的每一项,另外14家根本没有实施。
美国官员表示,这个责任不能由政府单独承担,必须涉及与私营行业的协调。
但政府已经尝试采取措施,包括发布行政命令和规则。《国防授权法》(National Defense Authorization Act)的一项条款禁止联邦机构与使用包括华为在内的五家中国公司的商品或服务的公司签订合同。政府正式的反情报战略将减少对供应链的威胁列为五大核心支柱之一。
在太阳风之前,最著名的供应链入侵事件或许是NotPetya攻击,在这次攻击中,俄罗斯军方黑客植入的恶意代码被发现通过乌克兰的报税软件MeDoc的自动更新释放出来。该恶意软件攻击了其客户,并且这次攻击在全球范围内造成了超过100亿美元(约合人民币647.4亿元)的损失。
司法部在去年9月起诉了5名中国黑客,称他们入侵了软件提供商,然后修改源代码,以便进一步入侵提供商的客户。2018年,该部门宣布了针对两名中国黑客的类似案件,他们被指控闯入云服务提供商并注入恶意软件。
罗德岛州民主党众议员、网络日光委员会(Cyberspace Solarium Commission)成员吉姆·朗格万(Jim Langevin)说:“任何对太阳风感到惊讶的人都没有引起重视。”该委员会是一个两党组织,并发布了一份白皮书,呼吁通过更好的情报和信息共享来保护供应链。
海军陆战队大学(Marine Corps University)的网络安全专家布兰登·瓦莱里亚诺(Brandon Valeriano)说,供应链攻击的部分吸引力在于它是“容易摘到的果子”。作为日光委员会的高级顾问,他认为目前还不清楚这些网络到底有多分散,供应链上的缺陷并不少见。