2021-02-03 19:26:58
五名知情人士周二(2月2日)对路透表示,去年,可疑的中国黑客利用太阳风公司(SolarWinds Corp.)软件中的一个漏洞,帮助侵入美国政府电脑。这标志着美国立法者称其为国家安全紧急状态的大规模网络安全漏洞事件出现了新的转折。
两名了解此案情况的人士说,联邦调查局(FBI)调查人员最近发现,美国农业部下属的联邦工资发放机构国家金融中心(National Finance Center)也在受影响的机构之列,这让人担心数十万名政府雇员的数据可能已被泄露。
这个可疑的中国组织利用的软件漏洞,与美国指控俄罗斯政府特工利用的漏洞是分开的。美国指控俄罗斯政府特工利用该漏洞劫持太阳风公司的Orion网络监控软件,危及多达1.8万名太阳风客户,包括敏感的联邦机构。
安全研究人员此前曾表示,在所谓的俄罗斯黑客攻击事件发生的同时,还有第二批黑客在滥用太阳风公司的软件,但与中国的可疑联系以及随后发生的美国政府入侵事件,此前没有报道。
路透社无法确定有多少组织受到了可疑的中国行动的影响。这名不愿透露姓名的消息人士说,攻击者使用的是计算机基础设施和黑客工具,这些工具以前是由有政府背景的中国网络间谍部署的。
中国外交部表示,网络攻击的归因是一个“复杂的技术问题”,任何指控都应该有证据支持。中国在一份声明中表示,中国坚决反对并打击任何形式的网络攻击和网络盗窃。
太阳风公司表示,它知道有一名客户受到第二批黑客的攻击,但“没有找到任何确凿的证据”来证明谁应该对此负责。该公司补充称,攻击者没有进入其内部系统,并在去年12月发布了一个更新,以修复被利用的软件漏洞。
美国农业部一位发言人承认发生了数据泄露,但拒绝进一步置评。FBI拒绝置评。
据四名调查过攻击事件的人士和审查过这两组黑客使用的代码的外部专家说,尽管这两起间谍行动有重叠之处,而且都针对美国政府,但它们是不同的、明显不同的行动。
消息人士称,这些俄罗斯黑客深入太阳风网络,在Orion软件更新中隐藏了一个“后门”,然后发送给客户,而这个可疑的中国组织利用Orion代码中的另一个漏洞,帮助在他们已经攻破的网络中传播。
这些并肩作战的任务表明,黑客们正在关注那些被大公司和政府机构广泛使用的、不起眼但至关重要的软件产品的弱点。
“太阳风显然是不止一个组织的高价值目标,”帕洛阿尔托网络公司(Palo Alto Networks)第42单元的威胁情报副主管珍·米勒-奥斯本(Jen Miller-Osborn)说。
前美国首席信息安全官格雷戈里·图希尔(Gregory Touhill)说,针对同一款软件产品的不同黑客群体并不罕见。“这不是我们第一次看到一个民族国家的行动者跟在别人后面冲浪,这就像全美汽车比赛协会(NASCAR)中的‘牵引力’,一辆赛车通过紧跟另一辆车的领先优势。”
与美国政府一起进行调查的安全分析人士说,针对太阳风客户的第二轮攻击与疑似中国黑客之间的联系直到最近几周才被发现。
路透社无法确定攻击者从美国国家金融中心窃取了哪些信息,也无法确定他们侵入国家金融中心系统的深度。但前美国政府官员对路透表示,潜在影响可能是“巨大的”。
这些前官员说,国家金融中心负责处理多个政府机构的工资,包括联邦调查局、国务院、国土安全部和财政部等几个涉及国家安全的机构。
国家金融中心保存的记录包括联邦雇员的社会安全号码、电话号码、个人电子邮件地址以及银行信息。国家金融中心在其网站上表示,它“为160多家不同的机构提供服务,为60多万名联邦雇员提供工资服务。”
美国农业部发言人在一封电子邮件中说:“美国农业部已经通知了所有数据受到影响的客户(包括个人和组织)。”
美国国土安全部前高级官员汤姆·沃瑞克(Tom Warrick)说:“这可能是一次极其严重的安全漏洞,具体取决于被泄露的数据类型。它可以让对手更多地了解美国官员,提高他们收集情报的能力。”
