情境示意圖,Photo by u.s. airforce

美國上周揭露政府機構史上規模最大的駭客入侵事件,推測是俄羅斯駭客集團藉由危害SolarWinds Orion Platform的構建系統,滲透到採用該平台的各個組織。而紐約時報華盛頓郵報則說,此一攻擊行動躲過美國花了十多年、斥資數百億美元所建造的網路攻擊防禦系統「愛因斯坦」(Einstein)。

Einstein是美國國土安全部US-CERT在2004年發表的專案,它所負責的兩個關鍵角色分別是偵測及封鎖網路攻擊行動以免危害聯邦組織,以及在察覺攻擊情況時將資訊提供給網路安全暨基礎架構安全署(CISA),以保護其它的政府組織及民間組織。不過, Einstein顯然這次兩件事都沒做到。

率先公開披露遭到攻擊的是美國資安業者FireEye,接著傳出美國財政部與商務部也受到危害,駭客於SolarWinds今年3月到6月間釋出的Orion Platform 2019.4 HF 5至2020.2.1版本中植入Sunburst木馬程式,藉由供應鏈攻擊了採用Orion Platform的各大組織。除FireEye、美國財政部與商務部外,美國國務院、國土安全部、美國國家衛生院據傳也遭到危害,而且完整的受駭範圍仍在統計中。

更令人訝異的是,駭客的攻擊行動從今年3月就展開,但Einstein似乎一無所知。

華盛頓郵報分析,這是因為Einstein只能偵測已知的惡意程式與惡意IP,但駭客使用全新的惡意程式,且C&C伺服器亦設立於未被列入黑名單的美國IP位址。此事彰顯了美國政府的網路監控系統無法偵測到由先進國家級駭客所主導的複雜網路攻擊行動。

值得提醒的是,根據SolarWinds的統計,全球有接近1.8萬個組織部署了被危害的Orion Platform,因此除美國與當地政府機構之外,全球各地還有更多的受害者。

熱門新聞

Advertisement