關(guān)于所謂的“Sunburst”(熾日行動(dòng))“迄今為止對(duì)美國(guó)造成的最嚴(yán)重的網(wǎng)絡(luò)攻擊”(針對(duì)美國(guó)政府機(jī)構(gòu)和公司)，目前美國(guó)政府尚無(wú)最終定論。美國(guó)官員普遍認(rèn)為，俄羅斯政府資助的黑客應(yīng)對(duì)此負(fù)責(zé)。

　　這次襲擊使黑客有機(jī)會(huì)接觸眾多重要的美國(guó)企業(yè)和政府組織。即時(shí)影響將難以判斷，并且不太可能對(duì)損失進(jìn)行全面評(píng)估。但是，僅受影響組織的性質(zhì)就清楚表明，這可能是迄今為止針對(duì)美國(guó)的最嚴(yán)重的網(wǎng)絡(luò)攻擊。

　　網(wǎng)絡(luò)攻擊的行為通常不像實(shí)體炸彈，它不會(huì)立即造成人們?nèi)菀桌斫獾钠茐?。相反，它更像是癌癥-它檢測(cè)緩慢，難以根除，并且會(huì)在很長(zhǎng)一段時(shí)間內(nèi)造成持續(xù)的嚴(yán)重?fù)p害。網(wǎng)絡(luò)安全專家(類似診斷癌癥的腫瘤學(xué)家)給出以下5個(gè)觀察結(jié)果來(lái)說(shuō)明迄今所知。

　　1.受害者都是難以攻克的堅(jiān)果

　　從頂級(jí)網(wǎng)絡(luò)安全公司FireEye自爆被黑到美國(guó)財(cái)政部等一系列政府部門，微軟，英特爾和許多其他組織，攻擊的受害者大部分是具有全面網(wǎng)絡(luò)安全實(shí)踐的公司。使用受損軟件的組織列表包括萬(wàn)事達(dá)卡，洛克希德·馬丁公司和普華永道公司等。SolarWinds估計(jì)約有18000家公司受到影響。

　　18000家公司其實(shí)囊括了來(lái)自許多目標(biāo)組織的安全專家，許多組織都有世界一流的網(wǎng)絡(luò)安全團(tuán)隊(duì)，且是美國(guó)大多企業(yè)最難達(dá)到的安全防護(hù)能力。熾日行動(dòng)的受害者是特別針對(duì)的目標(biāo)，可能主要集中在情報(bào)收集上。

　　2.這幾乎可以肯定是一個(gè)國(guó)家的工作，而不是罪犯

　　大多數(shù)犯罪黑客專注于短期的經(jīng)濟(jì)利益。他們使用勒索軟件之類的技術(shù)從受害者那里勒索金錢，竊取金融信息，并收集計(jì)算資源用于發(fā)送垃圾郵件或挖掘加密貨幣之類的活動(dòng)。

　　犯罪黑客利用眾所周知的安全漏洞，如果受害者在安全方面更加徹底，則可以避免。黑客通常以安全性較弱的組織為目標(biāo)，例如醫(yī)療保健系統(tǒng)，大學(xué)和市政府。眾所周知，大學(xué)網(wǎng)絡(luò)是分散的，難以保護(hù)的，而且常常使網(wǎng)絡(luò)安全資金不足;醫(yī)療系統(tǒng)傾向于使用運(yùn)行較舊的，易升級(jí)的，難以升級(jí)的軟件的專用醫(yī)療設(shè)備。

　　另一方面，與國(guó)家政府相關(guān)的黑客具有完全不同的動(dòng)機(jī)。他們尋求對(duì)關(guān)鍵基礎(chǔ)設(shè)施的長(zhǎng)期訪問(wèn)，收集情報(bào)并開(kāi)發(fā)使某些行業(yè)癱瘓的方法。他們還竊取知識(shí)產(chǎn)權(quán)，尤其是在高科技，醫(yī)學(xué)，國(guó)防和農(nóng)業(yè)等領(lǐng)域開(kāi)發(fā)昂貴的知識(shí)產(chǎn)權(quán)。

　　針對(duì)的組織之一：網(wǎng)絡(luò)安全公司FireEye，對(duì)于普通網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)將是一個(gè)糟糕的選擇，但對(duì)于俄羅斯政府或美國(guó)的其他對(duì)手來(lái)說(shuō)，這是非常理想的選擇。滲透到熾日行動(dòng)受害者公司之一的巨大努力也是一個(gè)明顯的跡象，表明這不僅僅是犯罪活動(dòng)。例如，像FireEye這樣的公司天生就是犯罪攻擊者的目標(biāo)。它只有不到4,000名員工，但計(jì)算機(jī)安全性卻與世界一流的國(guó)防和金融企業(yè)相當(dāng)。

　　3.攻擊利用了受信任的第三方軟件

　　黑客通過(guò)將惡意軟件放到SolarWinds的Orion軟件的軟件更新中來(lái)獲得訪問(wèn)權(quán)限，該軟件被廣泛用于管理大型組織網(wǎng)絡(luò)。Sunburst攻擊依賴于目標(biāo)組織與SolarWinds之間的可信任關(guān)系。當(dāng)Orion的用戶在2020年春季更新系統(tǒng)時(shí)，他們無(wú)意間邀請(qǐng)了特洛伊木馬進(jìn)入他們的計(jì)算機(jī)網(wǎng)絡(luò)。

　　除了關(guān)于SolarWinds安全性寬松的報(bào)告之外，對(duì)于黑客如何獲得對(duì)SolarWinds的初始訪問(wèn)權(quán)知之甚少。但是，俄羅斯黑客在2017年之前就采用了破壞第三方軟件更新過(guò)程的策略，那就是在臭名昭著的NotPetya攻擊，該攻擊被認(rèn)為是歷史上造成財(cái)務(wù)損失最大的網(wǎng)絡(luò)攻擊。

　　4.損壞程度未知

　　目前需要花費(fèi)很長(zhǎng)時(shí)間才能發(fā)現(xiàn)損壞的程度。由于攻擊者在2020年春季獲得了對(duì)大多數(shù)受害者的訪問(wèn)權(quán)限，這給黑客提供了擴(kuò)展和隱藏他們對(duì)受害者系統(tǒng)的訪問(wèn)和控制的時(shí)間，因此調(diào)查異常復(fù)雜。例如，一些專家認(rèn)為，盡管公司否認(rèn)了VMWare(一種廣泛用于公司網(wǎng)絡(luò)的軟件)中的漏洞，但該漏洞也已被用來(lái)獲得對(duì)受害者系統(tǒng)的訪問(wèn)權(quán)限。

　　專家希望損失在受害人之間分布不均。這將取決于各種因素，例如組織使用SolarWinds軟件的程度，其網(wǎng)絡(luò)的分段程度以及軟件維護(hù)周期的性質(zhì)。例如，據(jù)報(bào)道，Microsoft Orion的部署有限，因此該攻擊對(duì)其系統(tǒng)的影響有限。

　　相比之下，黑客從FireEye竊取的賞金包括滲透測(cè)試工具，該工具用于測(cè)試高端FireEye客戶的防御。這些工具的盜竊可能會(huì)被黑客珍視，以增強(qiáng)其在未來(lái)攻擊中的功能，并深入了解FireEye客戶端所防護(hù)的內(nèi)容。

　　5.后果可能包括現(xiàn)實(shí)世界的危害

　　收集信息與造成現(xiàn)實(shí)傷害之間的界限非常狹窄，通常不存在。可能從間諜或間諜活動(dòng)開(kāi)始，很容易升級(jí)為戰(zhàn)爭(zhēng)。

　　為攻擊者提供更大用戶權(quán)限的計(jì)算機(jī)系統(tǒng)上存在惡意軟件是危險(xiǎn)的。黑客可以利用對(duì)計(jì)算機(jī)系統(tǒng)的控制來(lái)摧毀計(jì)算機(jī)系統(tǒng)，就像2012年對(duì)沙特阿美的伊朗網(wǎng)絡(luò)攻擊一樣，并損害物理基礎(chǔ)設(shè)施，還像2010年Stuxnet對(duì)伊朗核設(shè)施的攻擊一樣。

　　此外，僅憑信息就能對(duì)個(gè)人造成真正的傷害。例如，2017年Equifax被入侵，將有關(guān)數(shù)百萬(wàn)美國(guó)人的詳細(xì)財(cái)務(wù)和個(gè)人信息掌握在美國(guó)最大的戰(zhàn)略競(jìng)爭(zhēng)對(duì)手之一的手中。

　　沒(méi)有人知道熾日行動(dòng)襲擊的全部范圍，但是范圍很大，受害者是美國(guó)政府，經(jīng)濟(jì)和關(guān)鍵基礎(chǔ)設(shè)施的重要支柱。從這些系統(tǒng)和惡意軟件中竊取的信息(黑客可能留給他們的惡意軟件)也可用于后續(xù)攻擊。

　　專家介紹

　　Paulo Shakarian博士是Cyber Reconnaissance，Inc.(CYR3CON)的首席執(zhí)行官兼聯(lián)合創(chuàng)始人，該公司致力于將人工智能與從惡意黑客社區(qū)中獲取的信息相結(jié)合，從而避免網(wǎng)絡(luò)攻擊。他領(lǐng)導(dǎo)了由IARPA，DARPA，ONR，AFOSR和ARO資助的研究工作。Shakarian被評(píng)為“ KDD冉冉升起的新星”，獲得了空軍青年調(diào)查員獎(jiǎng)，獲得了多個(gè)“最佳論文”獎(jiǎng)，并在CNN和The Economist等主要新聞媒體中脫穎而出。Paulo是美國(guó)陸軍的野戰(zhàn)級(jí)軍官，曾在伊拉克進(jìn)行過(guò)兩次戰(zhàn)斗訪問(wèn)，獲得了銅星獎(jiǎng)和勇氣軍表彰獎(jiǎng)?wù)隆３藖喞Ｄ侵萘⒋髮W(xué)的教職外，他還曾擔(dān)任DARPA軍事研究員和West Point的助理教授。

　　來(lái)源：紅數(shù)位