解密俄罗斯发动的SolarWinds袭击（附完整感染企业名单）

已经失控的俄罗斯黑客对美国政府关键部门的大规模网络攻击（SolarWinds供应链攻击）无疑是本月最热门的科技新闻之一，这次攻击由于渗透到多个美国政府关键部门内部，甚至全球上万家企业和机构都中招，被很多业内专家看作是过去十年最严重的网络攻击事件。包括美国当选总统拜登和国务卿蓬佩奥在内的多位美国政府官员都指责俄罗斯是是攻击的主使者。

上周一，俄罗斯政府发言人德米特里·佩斯科夫（Dmitry Peskov）公开否认对SolarWinds供应链攻击行动负责。随后在上周六的两条推文中，特朗普有意淡化了SolarWinds袭击的严重性，并调转矛头将怀疑对象从俄罗斯转移到了中国。据美联社报道，原本白宫上周五准备发布声明正式宣布俄罗斯是攻击的主使者，但在最后关头被撤下。

但是，负责监管美国国家网络安全计划的前战略和国际研究中心官员詹姆斯·刘易斯指出：“政府中有这么多官员（将这些归因于俄罗斯），显然，这不可能是毫无依据的指控。取证人员正在研究黑客在网络上留下的痕迹，但这可能不是最佳的溯源方法，政府也在使用其他方法进行归因和溯源。因此，即便网络安全专业取证人员尚未发现证据，并不意味着政府情报部门没有完整的图片。”

目前，SolarWinds黑客攻击的范围仍是未知数，但到目前为止，已经呈报遭受攻击的组织包括：美国国土安全部、商务部和财政部；至少两个国家实验室；联邦能源管理委员会；维护国家核武器库存的美国国家核安全局；微软、思科和英特尔等众多科技巨头也被感染了。（详细名单在文末尾）

此外，政府机构的许多入侵行为不仅限于SolarWinds恶意软件感染。参议员罗恩·怀登（Ron Wyden）上周透露，黑客能够阅读和窃取美国财政部一些高级官员的电子邮件。

怀恩认为SolarWinds供应链攻击不是普通的间谍活动，黑客对关键基础设施的入侵可制造更大的威胁。而俄罗斯，恰恰是为数不多的（如果不是唯一的），具备验证过的破坏关键基础设施的能力的国家。

但是，知名密码学大咖，斯诺登事件中发挥关键作用的安全专家布鲁斯施奈尔认为，业界的认知存在两个错误：1.就国际关系而言，这不是网络攻击，而是间谍活动。2.受害者不仅仅是美国，而是整个世界。这个威胁比很多人想象的更严重，规模很大，很危险。

施奈尔指出，和平时期在国际上允许进行间谍活动。问题在于，间谍活动和网络攻击都需要相同的计算机和网络入侵，而且区别仅在于几次击键。而且，由于这一俄罗斯行动根本不是针对性的，因此整个世界都面临着危险–不仅仅是来自俄罗斯。许多国家/地区开展此类行动，其范围比美国更广泛。解决方案是将安全和防御置于间谍和攻击之上。（编者：而不是特朗普和奥巴马时期的重攻轻守）

以下是布鲁斯施奈尔在卫报署名文章（点击访问英文原文）中对此事件的观点，编译转载如下：

以下内容由于包含不宜被广泛转载的专业信息已设置付费墙

[wshop_paid post_id=”33546″ show_buy_btn=”true”]

这就是我们所知道的：Orion是来自SolarWinds公司的网络管理产品，在全球拥有300,000多个客户。3月之前的某个时候，为俄罗斯SVR工作的黑客（以前称为KGB）入侵了SolarWinds，并将后门插入了Orion软件更新。（我们不知道如何，但是安全研究人员曝出去年SolarWinds公司的更新服务器密码居然是“ solarwinds123”，这说明该公司缺乏必要的安全文化。）3月至6月之间包括美国军方五角大楼白宫财政部等关键政府部门和超过9成的财富五百强企业在内的全球1.8万个组织下载并安装了被植入木马后门的Orion更新版本的用户不经意间为SVR的黑客打开了大门。

这被称为供应链攻击，因为它将供应商针对组织而不是组织本身，并且会影响所有供应商的客户。这是一种越来越常见的攻击网络的方法。

微软的分析确定了利用此漏洞渗透的40个客户。其中绝大多数是在美国，但也针对了加拿大，墨西哥，比利时，西班牙，英国，以色列和阿联酋的网络。该清单包括政府，政府承包商，IT公司，智囊团和非政府组织-并且肯定会增长。

进入网络后，SVR黑客遵循标准的操作手册：建立持久访问，即使最初的漏洞已修复，该访问也将保留；通过破坏附加系统和帐户在网络中横向移动；然后提取数据。不成为SolarWinds客户不能保证安全。该SVR操作还使用了其他初始感染媒介和技术。这些都是老练且耐心的黑客，我们只是在这里学习其中涉及的一些技术。

要从这种攻击中恢复过来并不容易。因为任何SVR黑客都会建立持久访问权限，所以确保您的网络不受损害的唯一方法是将其“烧掉”并重建它，类似于重新安装计算机的操作系统以从恶意黑客中恢复过来。这就是许多系统管理员要度过圣诞节假期的方式，即使这样他们也不能确定是否能从根本上清除威胁。建立持久访问的方法有很多，可以重建单个计算机和网络。例如，我们知道有一种NSA漏洞利用，即使重新格式化后也仍然保留在硬盘上。该漏洞利用的代码是 影子经纪人（再次被认为是俄罗斯）从国家安全局窃取并在2016年发布了方程组工具。SVR可能拥有相同的工具。

即使收到警告，相信许多网络管理员也不愿选择如此漫长、痛苦且昂贵的重建过程。他们能做的只是祈祷运气不要太差。

很难评估这次攻击这有多严重。我们仍在了解遭到破坏的美国政府组织：国务院，财政部，国土安全，洛斯阿拉莫斯和桑迪亚国家实验室（开发核武器的国家），国家核安全局，国家卫生研究院，以及许多更多。在这一点上，没有迹象表明任何分类网络都已渗透，尽管这很容易改变。了解SVR渗透到哪些网络以及它仍可访问的位置将花费数年。其中大部分可能会被分类，这意味着我们公众永远不会知道。

既然Orion漏洞是公开的，其他政府和网络犯罪分子将使用它来入侵易受攻击的网络。我可以向您保证，美国国家安全局（NSA）正在使用SVR的黑客手段来渗透其他网络；他们为什么不呢？（是否有俄罗斯组织在使用Orion？可能是。）

尽管这是一个巨大的安全失败，但正如参议员理查德班（Richard Durban）所说，这并不是“俄罗斯对美国宣战”。

原因是，按照国际规范，俄罗斯没有做错任何事情。这是正常情况。各国一直在互相监视。没有规则，甚至没有规范，基本上是“买方当心”。美国经常没有对报复行动进行报复，例如x国对个人管理办公室（OPM）的入侵和俄罗斯先前的入侵-因为我们也这样做。在谈到OPM黑客攻击时，当时的国家情报总监詹姆斯·克拉珀（James Clapper）说：“您必须为中国人的所作所为向他们致敬。如果我们有机会做到这一点，我想我们不会犹豫一分钟。”

我们没有，我相信NSA员工对SVR印象深刻。迄今为止，美国拥有世界上最广泛和最具侵略性的情报机构。国家安全局的预算是所有情报机构中最大的。它积极利用美国控制大多数互联网骨干网和大多数主要互联网公司的地位。爱德华·斯诺登（Edward Snowden）透露了其2014年左右的努力目标，当时包括193个国家，世界银行，国际货币基金组织和国际原子能机构。毫无疑问，我们现在正以这种SVR行动规模进行进攻性行动，而且它可能永远不会公开。2016年，奥巴马总统吹嘘自己 我们拥有“比任何人在攻守上都更强大的能力”。

他可能对我们的防御能力过于乐观。与攻击性网络安全相比，美国在攻击方面的优先级和支出是防御性网络安全的许多倍。近年来，国家安全局（NSA）采取 了 “持续参与”策略，有时也称为“向前防御”。我们的想法是，我们不是被动地等待敌人攻击我们的网络和基础架构，而是继续进攻，并在攻击到达我们之前将其中断。俄罗斯互联网研究机构（Russian Internet Research Agency）挫败了一场破坏2018年大选的阴谋，这一战略功不可没。

但是，如果持续参与如此有效，它怎么会错过这种大规模的SVR操作呢？似乎整个美国政府都在不知不觉中将信息发送回莫斯科。如果我们一直在观察俄国人的所作所为，那么我们会看到一些证据。在美国国家安全局（NSA）和美国网络司令部（US Cyber​​ Command）的密切关注下，俄罗斯人的成功表明这是一种失败的做法。

美国的防御能力又如何错过这一点？我们知道此漏洞的唯一原因是，本月初，安全公司FireEye发现该漏洞已被黑客入侵。在对其网络进行自己的审核期间，它发现了Orion漏洞，并向美国政府发出了警报。为什么像国务院，财政部和国土安全部这样的组织不定期对自己的系统进行这种级别的审计？政府的入侵检测系统Einstein 3在这里失败了，因为它没有检测到新的复杂攻击-一种在2018年指出的缺陷，但从未修复。我们不必依靠一家私人网络安全公司来向我们发出重大民族国家袭击的警报。

如果有的话，美国将进攻放在防御上的优先地位使我们不太安全。为了监视起见，美国国家安全局（NSA）推行了不安全的手机加密标准，并在随机数生成器（对于安全加密很重要）中使用了后门。美国司法部从未坚持过要通过后门使世界上流行的加密系统不安全，这是攻击和防御冲突的另一个热点。换句话说，我们允许不安全的标准和系统，因为我们可以使用它们来监视其他人。

我们需要采取以国防为主导的战略。随着计算机和互联网对社会越来越重要，网络攻击可能是实际战争的先兆。即使我们不得不放弃利用那些不安全感来监视他人的优势，我们在优先考虑进攻时也太脆弱了。

我们的漏洞被放大，因为窃听可能会渗入直接攻击。通过SVR的访问，他们不仅可以进行窃听，还可以修改数据，降低网络性能或擦除整个网络。第一种可能是正常的间谍活动，但第二种肯定可以视为战争行为。俄罗斯几乎可以肯定正在为未来的袭击打下基础。

这项准备工作并非史无前例。世界上发生了很多攻击。2010年，美国和以色列袭击了伊朗的核计划。2012年，伊朗袭击了沙特国家石油公司。朝鲜抨击索尼在2014年俄罗斯袭击了乌克兰电网在2015年和2016年。俄罗斯正在入侵美国的电网，而美国正在入侵俄罗斯的电网，以防万一有一天需要这种能力。所有这些攻击都是从间谍活动开始的。安全漏洞会带来现实的后果。

我们将无法在这个无规则的，免费的，每个网络都是自己的世界中保护我们的网络和系统。美国需要自愿放弃其在网络空间的部分进攻优势，以换取更安全的全球网络空间。我们需要投资以保护全球供应链免受此类攻击，并争取优先考虑网络安全的国际规范和协议，例如2018年巴黎网络空间信任与安全呼吁或网络空间稳定性全球委员会。强化广泛使用的软件，例如Orion（或核心互联网协议），对每个人都有帮助。我们需要制止这种进攻性军备竞赛，而不是加剧它，并努力实现网络和平。否则，虚伪地批评俄国人做我们每天都做的同样的事情，将无助于创造一个我们都想生活的更安全的世界。

SolarWinds黑客攻击受害者名单：（部分，截取自互联网档案库archive.org）

共计1.8万组织机构下载了木马化的Orion软件，包括美国军方，国务院，白宫，NSA的所有五个分支机构，《财富》 500强公司中的425个，全部五大会计师事务所，美国十大电信公司，以及数百所大学和学院。

通过破解DGA获取的完整名单请参考Truesec公司的报告：https://blog.truesec.com/2020/12/17/the-solarwinds-orion-sunburst-supply-chain-attack/

[/wshop_paid]