森伯斯特骇客事件骇人听闻,骇人听闻-网络安全专家的5个观察结果

2021年1月7日

通过 保罗·沙卡里安(Paulo Shakarian), 亚利桑那州立大学 

关于所谓的Sunburst黑客(针对美国政府机构和公司的网络攻击),目前还知之甚少。美国官员 广泛相信 俄罗斯政府赞助的黑客应对此负责。

这次袭击使犯罪者有机会接触众多重要的美国企业和政府组织。即时影响将难以判断,并且不太可能对损失进行全面评估。但是,仅受影响组织的性质就清楚地表明,这可能是迄今为止针对美国的最严重的网络攻击。

网络战争的行为通常不像炸弹,它会立即造成人们容易理解的破坏。相反,它更像是癌症,它检测缓慢,难以根除,并且会在很长一段时间内造成持续的严重损害。网路安全专家(比喻为癌症的肿瘤学家)可以根据目前的已知情况提出以下5点。

1.受害者是难以攻克的坚果

从顶级网络安全公司FireEye到美国财政部,微软,英特尔和许多其他组织,攻击的受害者大部分是具有全面网络安全实践的公司。的清单 使用受感染软件的组织 包括MasterCard,Lockheed Martin和PricewaterhouseCoopers等公司。 SolarWinds估计约 18,000个公司 受了影响。


获取我们的每周交易者承诺报告: -每周查看最大的交易者(对冲基金和商业对冲者)在期货市场上的位置。




获取我们的免费Metatrader 4指标 -当您加入我们的每周时事通讯时,将我们的免费MetaTrader 4自定义指标显示在图表上






作为网络安全公司Cyber​​ Reconnaissance Inc.的首席执行官, 计算机科学副教授 在亚利桑那州立大学,我结识了许多目标组织的安全专家。许多组织都有世界一流的网络安全团队。这些是美国企业最难达到的目标。森伯斯特的受害者是特别针对的目标,可能主要集中在情报收集上。

2.这几乎可以肯定是一个国家的工作,而不是罪犯

犯罪黑客专注于近期的经济利益。他们使用勒索软件之类的技术从受害者那里勒索金钱,窃取金融信息,并收集计算资源用于发送垃圾邮件或挖掘加密货币之类的活动。

犯罪黑客利用众所周知的安全漏洞,如果受害者在安全方面更加彻底,则可以避免。黑客通常以安全性较弱的组织为目标,例如医疗保健系统,大学和市政府。众所周知,大学网络是分散的,难以保护的,而且常常使网络安全资金不足。医疗系统倾向于使用运行较旧的,易升级的,难以升级的软件的专用医疗设备。

另一方面,与国家政府相关的黑客具有完全不同的动机。他们寻求对关键基础设施的长期访问,收集情报并开发使某些行业瘫痪的方法。他们还窃取知识产权,尤其是在高科技,医学,国防和农业等领域开发昂贵的知识产权。

渗透到森伯斯特受害者公司之一的巨大努力也是一个明显的迹象,表明这不仅仅是犯罪活动。例如,像FireEye这样的公司天生就是犯罪攻击者的目标。它只有不到4,000名员工,但计算机安全性却与世界一流的国防和金融企业相当。

3.攻击利用了受信任的第三方软件

黑客通过将恶意软件放到SolarWinds Orion软件的软件更新中来获得访问权限,该软件被广泛用于管理大型组织网络。 Sunburst攻击依赖于目标组织与SolarWinds之间的可信任关系。当Orion的用户在2020年春季更新系统时,他们无意间邀请了特洛伊木马进入他们的计算机网络。

除了 关于宽松安全性的报告 在SolarWinds,对于黑客如何获得SolarWinds的最初访问权知之甚少。但是,在2017年之前,俄罗斯人已经采取了破坏第三方软件更新过程的策略。 NotPetya 攻击,这在财务上被认为是最 历史上的破坏性网络攻击.

4.损坏程度未知

需要花费时间才能发现损坏的程度。该调查非常复杂,因为攻击者在2020年春季可以接触到大多数受害者,这使黑客有时间扩展和隐藏他们对受害者系统的访问和控制权。例如, 一些专家认为 VMWare(一种在公司网络中广泛使用的软件)中的漏洞也被用来获得受害者系统的访问权限, 虽然公司否认了.

建筑物侧面的Microsoft徽标
一些受感染的组织(例如Microsoft)仅有限地使用了SolarWinds软件,该软件似乎包含了遭受的破坏。
雷蒙德·斯派克(Raimond Spekking), CC BY-SA

我希望损失在受害人之间分布不均。这将取决于各种因素,例如组织使用SolarWinds软件的程度,其网络的分段程度以及软件维护周期的性质。例如,微软 据报道,猎户座的部署有限,因此攻击对其系统的影响有限。

相比之下,黑客从FireEye窃取的赏金包括 渗透测试工具,用于测试高端FireEye客户的防御能力。这些工具的盗窃可能会被黑客珍视,以增强其在未来攻击中的功能,并深入了解FireEye客户端所防护的内容。

5.后果可能包括现实世界的危害

收集信息与造成现实伤害之间的界限非常狭窄,通常不存在。可能从间谍或间谍活动开始,很容易升级为战争。

为攻击者提供更大用户权限的计算机系统上存在恶意软件是危险的。黑客可以使用对计算机系统的控制来破坏计算机系统,就像 2012年伊朗对沙特阿美的网络攻击并损害物理基础架构 2010年Stuxnet袭击伊朗核设施.

此外,仅凭信息就能对个人造成真正的伤害。例如, 中国违反Equifax 在2017年,美国最大的战略竞争对手之一将数以百万计的美国人的详细财务和个人信息掌握在手中。

没有人知道森伯斯特袭击的全部范围,但是范围很大,受害者是美国政府,经济和关键基础设施的重要支柱。从这些系统和恶意软件中窃取的信息(黑客可能留给他们的恶意软件)可用于后续攻击。我相信,朝阳爆炸可能会对美国人造成伤害。

关于作者:

保罗·沙卡里安(Paulo Shakarian),计算机科学副教授, 亚利桑那州立大学

该文章重新发布于 谈话 根据知识共享许可。阅读 来源文章.