美國政府和某些美國大型企業遭遇了大規模且長達幾個月的駭客攻擊,此次網路攻擊在實施過程中利用了一個看起來不太可能的「源頭」:總部位於德州奧斯汀、鮮為人知的軟體公司SolarWinds Inc. 。在本周之前,只有電腦網路管理員聽過這家公司的名字。
安全調查人員表示,SolarWinds自稱財富500強企業中有400多家公司都是其客戶,許多政府機構也是其客戶,在俄羅斯對外情報局精心實施的一場入侵行動中,這樣一家公司提供了完美的傳送機制。
本文為風傳媒與華爾街日報正式合作授權轉載。欲看更多華爾街日報全文報導,請訂閱特別版華爾街日報VVIP方案,本方案僅風傳媒讀者專屬,以低於原價3折以下之全球最優惠價,即可無限暢讀中英日文全版本之華爾街日報全部內容。
此次事件中,駭客瞄準的軟體是大多數企業的基礎軟體,但通常不受關注,主要是供維護電腦網路和軟體正常運行的技術人員使用。產業研究公司國際數據公司(International Data Corporation,IDC)副總裁艾略特(Stephen Elliot)說,SolarWinds所處的位置猶如公司的管道系統。
透過在SolarWinds軟體中建立一個後門,駭客能夠侵入美國國土安全部、財政部、商務部、國家安全機構、國防承包商,以及其他數百個潛在實體的系統。
這種間接的網路攻擊(以供應商為目標,藉此入侵其客戶)目前已經成為政府和網路安全專家越來越擔心的問題。雖然企業已經加強了網路保護,但大多數客戶並沒有仔細檢查供應商提供的軟體。
安全諮詢公司Bishop Fox的首席執行長Vincent Liu說:「你很自然地相信,供應商已經對他們賣給你的產品進行了盡職調查。」他說,除了某些大型金融服務公司和高科技公司之外,很少有公司會對購買的軟體做安全評估。
對俄羅斯駭客來說,利用這種攻擊方式並不新鮮。2017年,同樣與莫斯科有關聯的駭客使用這種技術,侵入不知名的烏克蘭公司M.E. Docs,修改了發給客戶的稅務軟體,植入破壞性病毒,擾亂了世界各地的公司。俄羅斯政府否認入侵美國政府或公司,俄羅斯駐美國大使館否認與SolarWinds攻擊事件有任何關聯。
微軟(Microsoft Co.)的分析顯示,最近這起事件中,駭客似乎透過向SolarWinds Orion軟體添加後門代碼,侵入了受害者的網路。該軟體一旦安裝,就會連接到由駭客控制的伺服器上,讓駭客可以對SolarWinds客戶發起進一步攻擊,竊取數據。SolarWinds表示,這些易受到攻擊的軟體更新是在3月至6月間提供給客戶的。
Liu說:「他們本來可以只入侵SolarWinds,但他們實際做的遠不止於此。」他說:「他們把一次入侵變成了很多次,天知道有多少,我們要花數周的時間才能弄清楚。我們可能永遠都掌握不了全部的影響。」
SolarWinds發言人說,公司正在與美國大型網路安全公司FireEye Inc.、情報部門和執法部門合作進行調查。
調查人員說,這些駭客很老練,行動不急不徐、深思熟慮,他們入侵受害者的網路,電腦系統進行刺探,最終竊取資訊。FireEye是此次事件的受害者之一。該公司上周表示,駭客竊取了一套該公司部署用來檢測客戶安全的防駭客軟體。
美國網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)13日晚間發出緊急警報,敦促聯邦機構停止使用受到影響的SolarWinds產品。
企業通常與數十個軟體供應商簽訂合約,但數量可能因產業而異。根據供應鏈分析公司Interos Inc.的數據,以銀行業為例,直接軟體供應商的平均數量為83家;在資訊技術服務業,平均數量是55家。
據SolarWinds提供的資訊,多達1.8萬名用戶可能已經下載了這款含有後門的軟體,但調查人員預計受害者總數要少得多。安全專家表示,即使用戶關閉了SolarWinds軟體,他們仍可能需要做數周的工作,才能確保駭客不再於其網絡的其他地方獲得立足點。
電腦安全公司Dragos Inc.的威脅情報副總裁卡爾塔吉羅內(Sergio Caltagirone)表示,對於某些正匆忙確定自己是否在運作SolarWinds的公司而言,這款軟體的低知名度為他們帶來了惱人的意外。
卡爾塔吉羅內表示,他自己在14日花了很多時間詢問客戶是否使用了SolarWinds產品。其中大多數最初說沒有,進一步檢查後才意識到他們正在使用這些工具。卡爾塔吉羅內稱:「人們發現到處都是它。」
國際數據公司的艾略特表示,SolarWinds是數十家向政府和企業銷售網路監控和管理軟體或服務的供應商之一,這份全球市場的規模為115億美元(約台幣3230億元)。SolarWinds擁有逾3200名員工。
目前仍不確定駭客是如何進入SolarWinds系統並引入惡意代碼的。SolarWinds表示,其微軟電子郵件帳戶已經被入侵,這份訪問權可能已被用於從該公司的Office生產力工具收集更多數據。
這起事件被公諸於眾時,成立了21年的SolarWinds正值領導層大幅變動之際。本月稍早,就在SolarWinds披露這起駭客攻擊事件的四天前,該公司稱首席執行長湯普森(Kevin Thompson)將離職,明年1月4日生效,其職位將由安全公司Pulse Secure LLC前首席執行長羅摩克里希納(Sudhakar Ramakrishna)接任。同樣在本月,SolarWinds工程主管Joseph Kim在領英(Linkedin)上的資料顯示他已離開該公司,到軟體開發商思傑系統公司(Citrix Systems Inc.)工作。10月份時,SolarWinds首席資訊長約翰森(Rani Johnson)跳槽到另一家供應商Tibco Software Inc..工作。這些高層均未回覆尋求回應的訊息。
SolarWinds 2019年銷售額為9.33億美元,該公司先前預計今年的收入將超過10億美元。該公司表示,Orion產品占其收入的45%左右。SolarWinds表示,公司無法預測該事件對財務的影響。14日,該公司股價大幅下跌近17%。
