FBI、CISA与国安局共发声:SolarWinds攻击可能是俄罗斯黑客所为

由美国联邦调查局(FBI)、美国国土安全部旗下的网络安全暨基础架构安全局(CISA)、国家情报总监(DNI)与国安局(NSA)共同组成的“网络统一协调小组”(Cyber Unified Coordination Group,UCG),在周二(1/5)发布一调查报告,指出可能是来自俄罗斯的高端持续性威胁(Advanced Persistent Threat,APT)团队,应对近来大部分美国政府及非政府网络遭到攻击的事件负责。

为了调查黑客借由危害SolarWinds供应链以渗透美国联邦机构的安全事件,由美国总统川普(Donald Trump)担任主席的国家安全会议(National Security Council)筹组了UCG,在这个小组中,由NSA扮演支持的角色,其它成员则肩负不同的任务。

例如FBI负责识别受害者、搜集并分析证据以判断攻击来源,并与政府及私人企业分享调查结果,以创建情报信息及改善网络防御;CISA则聚焦于快速传达重要信息给联邦机构,也打造了一个免费工具来侦测与该攻击相关的恶意活动;DNI负责与情报界交流,确保拥有最新的情报以推动美国政府的缓解与回应行动;NSA同时与DNI及业界合作,评估该安全事件的规模,并提供技术缓解措施。

不过,尽管UCG宣称它们日以继夜地调查,连假期都未松懈,但迄今仍无法百分之百地确定受到这起安全事件影响的范围,连攻击来源都仅说“可能”(likely)源自俄罗斯。

最新的调查结果显示,虽然有接近1.8万个组织采用了含有木马的Solar Winds Orion系统,但只有非常少数的组织受到黑客的进一步攻击,目前确定遭到黑客攻击的美国联邦组织不超过10个,也正在识别及通知同样遭到攻击的私人组织。

一开始SolarWinds攻击现形时,即有安全企业推测是源自俄罗斯的黑客集团,微软也曾暗示黑客来自俄罗斯,但俄罗斯大使馆在被点名的同一天就发布了声明,表示这是毫无根据的指控,宣称俄罗斯不会在网络空间上执行攻击行动。