热门问题
时间线
聊天
视角
2020年美國聯邦政府資料洩露事件
来自维基百科,自由的百科全书
Remove ads
2020年美國聯邦政府資料洩露事件是指在2020年,一個由他國政府支援的組織發動了一場大規模網路攻擊。[1][27][28]全球包括美國各級政府部門、北約、英國政府、歐洲議會、微軟等至少200個政府單位、組織或公司受到影響,其中一些組織的資料可能也遭到了洩露。[29][30]由於此次網路攻擊和資料洩露事件持續時間久,目標知名度高、敏感性強,多家媒體將其列為美國遭受過的最嚴重的網路安全事件。
此次攻擊在2020年12月13日首次公開報道前已經持續數月,最初披露的報告列明的受影響組織僅包括美國財政部和美國商務部下屬的國家電信和資訊管理局(NTIA)。隨後,更多單位發現其資料遭到洩露。[24][25][1][5][29]
此次網路攻擊事件最晚開始於2020年3月[31][10],期間,攻擊者至少利用了微軟、SolarWinds和VMware三家企業的軟體或憑證。[32][20]攻擊者通過對微軟雲服務實施供應鏈攻擊獲得入侵微軟雲服務客戶的能力[15][16][17]。SolarWinds作為微軟雲客戶之一遭到入侵,隨後其存在嚴重安全缺陷的軟體發布基礎設施遭到控制,其廣泛應用於美國政府和工業部門的Orion軟體被攻擊者植入後門。入侵者利用植入Orion的後門成功竊取大量機密資訊。[33]此外,微軟和VMware產品中的缺陷允許攻擊者非法訪問電子郵件等文件或通過單一登入完成統一身分認證。[22][23][13][14][34][35]
除了資料被盜外,這次攻擊還給成千上萬的SolarWinds客戶帶來了巨大的麻煩。為防不測,他們不得不關閉系統、檢查組織是否被入侵並開始為期數月的污染清除工作。[36][37]美國參議員迪克·德賓稱此次網路攻擊「相當於一次宣戰的攻擊」。[38][4]襲擊被發現後,時任美國總統唐納·川普沉默了幾天,推文稱「假媒體總是優先質疑網路攻擊來自俄羅斯,卻不敢討論網攻可能來自中國。」有媒體解讀川普暗示中國(而不是俄羅斯)具有嫌疑,並表示「一切都在掌控之中」。[39][40]《路透社》2021年2月報導,5名知情人士透露,美國聯邦調查局調查員發現,來自中國的駭客,利用SolarWinds軟體漏洞侵入美國政府電腦,駭客所用的電腦系統和入侵工具,與由政權支援的中國網路間諜所部署的一樣。[41]
Remove ads
背景
此次事件在唐納·川普總統任期的最後一年中持續了8到9個月。由於川普在2018年取消了網路安全協調員這一職位,在攻擊發生時白宮沒有相關專業人才。[42][43]2020年12月13日,當此次攻擊事件被曝光,負責協調此類事故應對的網路安全和基礎設施安全域(CISA)也缺少一名通過參議院確認程式的局長[44]——2020年11月18日,這一美國國家網路安全機構的最高官員克里斯·克雷布斯被川普解僱。[45][46][47]與此同時,CISA的上級機構美國國土安全部(DHS)也缺少通過參議員確認程式的部長、副部長、總顧問、主管情報和分析的次長和負責管理的次長;與此同時,川普仍在逼迫CISA的副部長下台。[48][49][50]此外,美國政府問責署和其他機構提出的許多聯邦網路安全建議也沒有得到實施。[51]
SolarWinds是一家總部位於德克薩斯州的美國政府網路監控服務承包商,在此次攻擊之前其產品就已經曝出一些安全缺陷。[52]SolarWinds組織結構中沒有設定首席資訊安全官或網路安全進階主管。[4][53]早在2017年就有犯罪分子有償提供SolarWinds基礎設施的訪問管道。SolarWinds甚至建議使用者在安裝SolarWinds軟體之前禁用反病毒軟體。2019年11月,一名安全研究人員警告SolarWinds,稱他們的FTP伺服器「任何駭客都可能上傳惡意內容並將這些內容傳送給SolarWinds的客戶「。[54][55][56] 由於SolarWinds的Microsoft Office 365帳戶已經被入侵,駭客可以訪問其電子信箱,甚至可能可以訪問一些檔案。[57][58]
2020年12月7日,也就是公開確認SolarWinds產品被用於大規模網路攻擊的前幾天,SolarWinds的前執行長凱文·湯普森退休。[59][60]當天,與該公司董事會有聯絡的兩家私募股權公司拋售大量該公司股票。然而,被問及時這些公司否認進行內幕交易。[61]
Remove ads
攻擊方法
攻擊者利用了微軟產品、服務和軟體分銷基礎設施中的缺陷。[22][14][9][17]
至少有一家微軟雲服務分銷商被攻擊者入侵,這構成了一種供應鏈攻擊,使得攻擊者能夠訪問被入侵分銷商客戶使用的雲服務。[15][16][17]
除此之外,「Zerologon」漏洞(微軟認證協定NetLogon中的一個漏洞)允許攻擊者取得被入侵的微軟網路中的所有使用者名稱和密碼。[22][23]這使得他們可以取得其他憑證來取得網路上其他合法使用者的權限,幫助他們入侵Microsoft Office 365服務中的電子信箱。
此外,微軟Outlook網頁應用的一個缺陷可能允許攻擊者繞過多重身分驗證。[13][14][64]
此次事件中的攻擊者入侵了Microsoft Office 365,他們在長達幾個月的時間裡監控了美國國家電信資訊局(NTIA)和美國財政部工作人員的內部電子郵件。[9][45]他們的攻擊顯然使用了某種偽造的身分標記來繞過微軟的認證系統。[65][66]單一登入功能的存在則增加了攻擊的可行性。[35]
攻擊者也對SolarWinds使用了供應鏈攻擊。[67]攻擊者可能通過已控制的SolarWindsde的Office 365帳戶控制了其公司的軟體構建系統。[68][52][57][58]
2019年9月之前攻擊者已經控制了SolarWinds的軟體發布基礎設施。[69][70]在構建系統中,攻擊者修改了SolarWinds提供給網路監控軟體Orion使用者的軟體更新。[71][72] 首次已知非法修改作為攻擊者的概念驗證(PoF)發生於2019年10月,這意味著他們已經取得了整個基礎設施網路的控制權。
2020年3月,攻擊者開始在Orion更新中植入用於攻擊目標的遠端訪問工具。[33][73][74][75][9][76] 當使用者安裝更新,惡意程式將隨之安裝至受害者的系統。在休眠12-14天後該程式將開始嘗試連接並加入攻擊者的殭屍網路。[77][78][79][80]成功加入網路後,攻擊者將獲得對該系統的控制後門[81]。攻擊者巧妙地將惡意程式流量偽裝成合法Solarwinds流量來掩蓋其意圖。[68][82]根據CDN服務商統計,起初幾周訪問攻擊者殭屍網路的流量主要來自北美,隨後拓展到南美、歐洲和亞洲。[83]
攻擊者似乎只使用了高價值目標系統的後門程式,[77]一旦進入目標網路,攻擊者就會安裝Cobalt strike等工具來提升權限。[84][82][68][1]由於Orion作為一個可信的第三方應用程式連接到客戶的Office 365帳戶,攻擊者可以獲得訪問電子郵件和其他機密檔案的權限。[85]這種權限使得他們能夠在系統中尋找有效的SAML憑證,並使用這些憑證偽裝成合法使用者,使用其他本地或線上服務並加密轉移他們感興趣的資料。[86]一旦竊取到合法身分,關閉Orion便不再能夠切斷攻擊者對目標的訪問。[5][87][88][67]
攻擊者的殭屍網路控制器代管在亞馬遜、微軟、GoDaddy等美國公司的商業雲服務上。[89]由於惡意軟體是全新開發,且攻擊流量來自美國本土,攻擊者成功繞過DHS的國家網路安全系統Einstein。[79][4][90]
聯邦調查局(FBI)的調查人員還發現,SolarWinds產品中的其他漏洞被另一組駭客利用,入侵了美國政府的電腦系統。[91]
Remove ads
此次事件中的攻擊者還利用了VMware Access和VMware身分管理器的漏洞。這些漏洞能幫助入侵者持久化入侵成果。[20][21]截至2020年12月18日,雖然已經確定SUNBURST木馬足夠幫助入侵者利用VMware的漏洞,但是攻擊者是否使用過該漏洞仍舊不明。
發現
在2019年和2020年期間,網路安全公司Volexity發現一匿名智庫的微軟產品存在漏洞並遭到入侵者利用。[92][93][13]攻擊者使用獨特的方法利用了該組織Exchange控制面板中的一個漏洞繞過了多重身分驗證。2020年6月至7月,Volexity發現SolarWinds Orion漏洞植入了木馬。即:微軟漏洞(攻擊入口)和SolarWinds供應鏈攻擊(攻擊目標)可以被入侵者結合,用來實現目的。Volexity表示他們無法確認攻擊者的身分。
同樣在2020年,微軟發現有攻擊者試圖使用微軟Azure基礎設施非法訪問CrowdStrike的電子信箱。由於CrowdStrike出於安全考慮不使用Office365處理郵件,這次攻擊失敗了。[94]
另外,在2020年10月前後,微軟威脅情報中心報告稱,一個明顯受到他國協助的攻擊者利用微軟NetLogon協定中的「ZeroLogon」漏洞進行攻擊。[22][23]2020年10月22日,CISA收到報告並向各州、地方、區縣政府發出警告,要求他們尋找自身網路是否有遭到入侵的跡象,並指示他們如果受到威脅就重建網路。[95]2020年12月,VirusTotal和The Intercept接連發現德州奧斯汀市政府遭到入侵跡象。
Remove ads
2020年12月8日,網路安全公司火眼(FireEye)稱其使用的紅方工具被它國政府支援的駭客組織竊取,其懷疑對象是俄羅斯對外情報局(SVR)。[96][97][98][26][99]火眼公司表示,在調查其自身遭到的入侵和工具盜竊案過程中,他們意外發現了SolarWinds供應鏈攻擊。[100][101]
FireEye在發現入侵行為後將其報告給負責美國網路安全防護的美國國家安全局(NSA)。[1]在接獲火眼報告前,NSA對入侵毫不知情,而NSA也是SolarWinds的客戶。
幾天後,也就是12月13日,財政部和商務部遭入侵被公開,訊息人士稱這與火眼系統遭到入侵相關。[9][26]12月15日,火眼公司證實,攻擊財政部等部門與火眼的媒介均為植入SolarWinds Orion軟體升級的木馬程式。[54][102]
安全部門把注意力轉移到了Orion軟體升級上。發現被感染的版本是發布於2020年3月至2020年6月間發布的2019.4至2020.2.1HF1。[73][84]火眼將這款惡意軟體命名為SUNBURST。[18][19]微軟稱之為Solorigate。[52]攻擊者用來插入SUNBURST到Orion更新的工具後來被網路安全公司CrowdStrike分離,他們稱之為SUNSPOT。[69][103][72]
DomainTools和ReversingLabs分別使用DNS資料和Orion二進制逆向工程進行了後續分析,為公眾揭示了攻擊的更多細節。
Remove ads
在2020年12月3日之前的一段時間,NSA發現並通知VMware其產品VMware Access和VMware身分管理器中存在漏洞。[20]後者2020年12月3日發布了修補程式。2020年12月7日,NSA宣稱由於俄羅斯政府支援的攻擊者正在積極利用這些漏洞,使用者應當及時安裝修補程式。[104]
責任
SolarWinds認為是外國勢力向Orion插入了惡意軟體。[10]俄羅斯支援的駭客組織被懷疑是幕後黑手。[105][9][24]美國官員表示,具體來講責任方可能是SVR或Cozy Bear(也稱為APT29)。[26][25]FireEye將攻擊者命名為UNC2452;事故應對公司Volexity稱他們為「暗暈(Dark Halo)」。[68][13][93]2020年12月23日,FireEye執行長表示,俄羅斯是最有可能的罪魁禍首,這些攻擊的手法與SVR慣用方法「非常相似」。[106]
2021年1月,網路安全公司卡巴斯基實驗室稱SUNBURST類似於Kazuar。據信,與愛沙尼亞情報部門有關聯的APT團體Turla創造了Kazuar,而愛沙尼亞情報部門與俄羅斯聯邦安全域有聯絡。[107][103][108][109][110]
FBI的調查人員發現,疑似來自中國的駭客利用SolarWinds產品中的漏洞入侵美國政府機構(如農業部下轄國家財務中心)的電腦,可能危及數千名政府雇員的資料。駭客利用Orion代碼中的另一個漏洞幫助他們控制受害者的系統,因此這次入侵被認為獨立於前述攻擊行動。美國前聯邦首席資訊安全官格雷戈里·圖希爾(Gregory Touhill)將兩個駭客團體先後瞄準同一軟體的事實,比作自行車比賽中的「破風」行為。[111][91]
Remove ads
2020年10月22日,CISA和FBI確認微軟ZeroLogin攻擊者為外國政府支援的APT組織Berserk Bear,它被認為是俄羅斯聯邦安全域的一部分。[22]
12月18日,時任美國國務卿邁克·彭佩奧說,俄羅斯「顯然」對這次網路攻擊負有責任。[112][113][114]
12月19日,時任美國總統唐納·川普首次公開發表聲明,暗示可能是中國而不是俄羅斯對此負責,但沒有證據。[39][115][114][40]同一天,參議院情報委員會(Senate Intelligence Committee)代理主席、共和黨參議員馬爾科·盧比奧表示:「越來越清楚的是,俄羅斯情報部門對我國實施了歷史上最嚴重的網路入侵」[30][116]
12月20日,民主黨參議員馬克·沃納在接受情報官員的簡報時說:「所有跡象都指向俄羅斯。」[117]
2020年12月21日,司法部長威廉·巴爾表示,他同意彭佩奧認定的網路駭客來源,並且稱「肯定是俄羅斯人」,這與川普的說法相矛盾。[118][119][120]
2021年1月5日,CISA、FBI、NSA和美國國家情報總監辦公室聲稱,他們認為俄羅斯是最有可能的罪魁禍首。[121][122][123]
俄羅斯否認與此事有關。[124]
2020年12月21日,中國外交部新聞發言人汪文斌答法新社記者問時表示:「美方在網路攻擊問題上的有關指責是不嚴肅的,而且自相矛盾。美方對中方的相關指責是出於政治目的,意在抹黑栽贓中國。中方對此表示堅決反對。長期以來,美國把網路安全問題政治化,在沒有確鑿證據的情況下,不斷散布虛假資訊,向中國潑髒水,企圖損毀中國形象,誤導國際社會。這樣的言行與美方的國際地位完全不符。希望美方在網路安全問題上能採取更加負責任的態度。」[125]
影響
美國財政部和商務部發現的這些漏洞立即引發了人們對其他部門亦被入侵的擔憂。[65][24]進一步的調查證明這些擔憂是有根據的。[1]不久,又有其他聯邦部門被發現遭到入侵。[126][6]
SolarWinds表示,在其30萬客戶中,有33,000客戶使用Orion。[1]其中,大約有18000名使用者安裝了被安插後門的版本。[5][127]
美國疾病控制和預防中心、司法部和一些公用事業公司已經下載安裝具有後門的版本。[1]其他SolarWinds的知名客戶包括洛斯阿拉莫斯國家實驗室、波音和大多數財富500強企業,但它們是否使用Orion尚不明確。[128]據報道,SolarWinds的海外客戶包括英國內政部、國民保健署和英國訊號情報處;北大西洋公約組織(NATO) ;歐洲議會;可能還有阿斯利康公司。[5][29]FireEye表示,北美、歐洲、亞洲和中東地區更多的政府、諮詢、技術、電信和採掘實體也可能受到影響。
僅僅安裝有後門的Orion並不一定足以導致資料洩露。[1][129]資料洩露調查因以下因素而變得複雜:
- 攻擊者可能移除了入侵留下的證據,使調查人員無法得知組織的資料是否洩露;
- 由於組織主幹網路可能遭到入侵,相關組織可能啟用了安全的備用網路並封鎖主幹網路的資料,阻止了攻擊者竊取資料;
- Orion本身就是一個網路監控工具,沒有這個工具,使用者對其網路的控制能力會降低,因而無法感知入侵者的存在。[62][67]
截至2020年12月中旬,美國仍在追查資料洩露事件中被盜的資料並確定這些資料可能的用途。[9][130]評論人士表示,襲擊中竊取的資訊將在未來幾年增加犯罪者的影響力。[57][131][80]這些資料可能的用途包括攻擊像CIA和NSA這樣的硬目標,或者通過勒索招募間諜。[4][132]網路衝突專家、柏林洪堡大學教授托馬斯·里德說:「被盜資料將有無數的用途」,他補充道:「所採集的資料量很可能是《月光迷宮》中的資料量的許多倍,如果把資料列印出來堆到一起,會比華盛頓紀念碑高得多。」
即使在沒有發生資料洩露的地方,此次事件影響也是顯著的。[37]CISA建議在重建前,將所有暴露在被入侵網路中的裝置從可信來源列表中除去;而所有暴露在SolarWinds軟體中的憑證都應被視為受到破壞並重設。[133]安全公司還建議搜尋紀錄檔檔案,找出具體的危害。[134][135][136]
然而,攻擊者似乎刪除或篡改了紀錄檔記錄,並可能修改了網路或系統設定。[62][137]前國土安全部顧問托馬斯·P·博塞特警告說,完全消除攻擊者給美國帶來的影響可能需要數年時間,使他們能夠在此期間繼續監視、摧毀或篡改資料。[36]哈佛大學的布魯斯·施耐爾和紐約大學學者、空軍網路學院的創始院長潘諾認為受影響的網路可能需要被整體更換。[138][139]
通過盜竊軟體金鑰,俄羅斯駭客能夠進入美國財政部最進階別官員使用的電子郵件系統。由於財政部在做出影響市場、經濟制裁等決定以及與美聯儲的互動中扮演著重要角色,儘管這個系統雖然並不機密性,但卻是高度敏感的。[120]
對調查的回應
2020年12月8日,在其他組織被攻破之前,FireEye公布了針對紅隊工具被盜的對策。[99][200]
2020年12月15日,微軟宣布SUNBURST只影響使用Windows的電腦,從12月16日起相關惡意軟體已加入到微軟的資料庫中,Microsoft Denfender將能夠檢測並隔離SUNBURST。[201][144]
GoDaddy將攻擊中使用的殭屍網路控制器的所有權交給了微軟,使微軟能夠啟用SUNBURST的自毀程式,並協助尋找受害者。
2020年12月14日,幾家美國公用事業公司的執行長召開會議,討論這些攻擊給電網帶來的風險。[1]2020年12月22日,美國北美電力可靠度協會要求電力公司報告他們接觸太陽風軟體的程度。[202]
在駭客攻擊後SolarWinds並未公布受影響客戶列表,且根據網路安全公司GreyNoise Intelligence訊息,截至12月15日,SolarWinds仍然沒有從其發布伺服器上刪除受感染的軟體更新。[203][54][57][204]
2021年1月5日左右,SolarWinds的投資者以該公司產品缺乏安全性導致股票價格下跌為由對該公司提起集體訴訟。[205][206]不久之後,SolarWinds僱傭了前CISA部長開設的一家新的網路安全公司。[207]
Linux基金會指出,如果Orion是開源的,使用者就能夠自行審查該軟體及其流通版本,提高惡意軟體被發現的概率。[208]
2020年12月18日,時任國務卿彭佩奧表示,此次事件的一些細節將會保密。[71]
2020年12月12日,美國國家安全委員會(NSC)為討論事件對聯邦組織的破壞在白宮召開會議。[9]2020年12月13日,CISA向聯邦機構發布緊急指令,要求機構即使降低其對自身網路的監控能力,也要關閉SolarWinds軟體來減少被入侵的風險。[1][133]
2020年12月14日,美國商務部證實其已經要求CISA和FBI就被入侵一事進行調查。[9][26][209]NSC啟動了歐巴馬時代的總統政策指令41,並召集了網路反應小組。[210][42]美國網路司令部威脅稱,調查結果出爐後,美國會迅速報復攻擊者。[211]
聯邦能源管理委員會(FERC)幫助彌補了CISA的人員短缺。[147][67][148]FBI、CISA和國家情報總監辦公室(ODNI)成立了一個網路統一協調小組(UCG)來協調他們的努力。[212]
2020年12月24日,CISA表示,除了聯邦機構和已曝出的私人組織,一些州和地方政府網路也受到了襲擊的影響,但沒有提供更多細節。[213]
參議院軍事委員會的網路安全小組委員會聽取了國防部官員的簡報。[88]眾議院國土安全委員會和眾議院監督和改革委員會啟動了一項調查。[32]參議院情報委員會代理主席馬爾科·盧比奧說,在確定肇事者的身分之後美國必須進行報復。[214]該委員會副主席馬克·華納(Mark Warner)批評川普總統沒有正面回應這起駭客事件。[215]
參議員羅恩·懷登呼籲對聯邦機構使用的軟體進行強制性安全審查。[143][141]
2020年12月22日,在美國財政部長史蒂文·努欽(Steven Mnuchin)告訴記者,他「完全了解這件事」之後,微軟向參議院財政委員會(Senate Finance Committee)通報稱駭客侵入了財政部進階官員辦公的財政部部門辦公室(department office)的系統,數十個財政部電子郵件帳戶被駭客竊取控制。[35][120]參議員威登表示,簡報顯示財政部「仍不清楚駭客的所有行動,或者確切地說,哪些財政部資訊被盜」。
2020年12月23日,參議員鮑勃·梅內德斯要求國務院公布資料洩露情況,參議員理察·布盧門撒爾也向退伍軍人管理局提出了同樣的要求。[216][217]
美國法院行政辦公室與國土安全部一起對美國司法機構的案件管理/電子案件檔案系統(CM/ECF)進行了評估。[163][170]CM/ECF將停止線上接收高敏法院檔案,這些檔案只能以紙質材料形式或通過設有網閘的裝置歸檔。[165][166][167]
事件曝光後,唐納·川普總統幾天沒有對此事發表評論。參議員米特·羅姆尼譴責稱川普「沉默且不作為」。[218]12月19日,川普首次公開談論了這些攻擊:他淡化了這次駭客攻擊,認為媒體誇大了事件的嚴重性,稱「一切都在控制之中」。川普在沒有證據的情況下提出可能是中國而不是俄羅斯應對這次攻擊負責。[115][114][112][219][220]
《路透社》2021年2月2日報導,5名知情人士透露,美國聯邦調查局FBI調查員發現,來自中國的駭客,利用SolarWinds太陽風的軟體漏洞,侵入美國政府電腦,導致數千名政府雇員資料可能外洩;駭客所用的電腦系統和入侵工具,與由政權支援的中國網路間諜所部署的一樣。[41]
《紐約時報》報導稱,川普在沒有證據的情況下推測稱,這次攻擊可能還涉及對投票機的「攻擊」。川普的說法遭到了CISA前主管克里斯·克雷布斯的反駁,他指出川普的說法是不可能的。[1][221]曾主導通俄門案的民主黨籍眾議院情報委員會(House Intelligence Committee)主席亞當·希夫(Adam Schiff)稱川普的言論是「對我們國家安全的可恥背叛」,「聽起來像是克里姆林宮給他寫的稿子」。[222]
前國土安全顧問托馬斯·博塞特評論川普言論稱:「川普總統即將拋棄遭受俄羅斯侵害的聯邦政府,或許還有大量主要行業。」他還指出,為了減輕攻擊造成的破壞,需要國會採取行動,包括通過《國防授權法案》採取行動。[223][36] The Verge政策編輯拉塞爾·布蘭多姆(Russell Brandom)稱美國對此次駭客攻擊準備不足,並批評川普一貫「將聯邦網路安全工作視為一個更具黨派色彩的戰場,之所以對網路安全感興趣是因為它們作為政治大棒的價值」。布蘭多姆寫道,「這不是管理世界上最強大的情報機構的方式。」[44]弗雷德·卡普蘭(Fred Kaplan)在《Slate》雜誌上撰文批評川普宣揚虛假的選舉欺詐指控,同時「忽視了真正的網路安全危機」,他寫道:「儘管川普對那些虛構的駭客竊取了選舉結果大發牢騷,但他對國家真正的網路安全明顯不感興趣。」[42] 《時尚先生》評論員查爾斯·皮爾斯批評川普政府「玩忽職守」,稱川普是「不老實、無能的混亂代理人」[224]
時任當選總統喬·拜登說:「一個好的防禦系統是不夠的,我們首先需要擾亂敵人的計劃,阻止敵人的網路攻擊。 面對我們國家遭受的網路攻擊,我不會袖手旁觀。」[225]拜登說,他已經指示過渡團隊研究此次攻擊事件,將把網路安全作為(下一屆)各級政府的首要任務,並將找出、懲罰攻擊者。[63][3] 拜登即將上任的幕僚長羅恩·克萊因說,拜登政府對駭客行為的回應將不僅僅是制裁。[226]
2020年12月22日,拜登表示「沒有看到任何能表明局勢得到控制的證據」,並稱他的過渡團隊仍然無法從川普政府獲得此次襲擊的部分簡報。[227][228]
2021年1月,拜登任命了兩個安全相關的白宮職位:國土安全顧問伊莉莎白·舍伍德-蘭德爾(Elizabeth Sherwood-Randall)和負責網路和新興技術的副國家安全顧問安妮·紐伯格(Anne Neuberger)。[229]
北約表示「為確定和減輕我們網路的任何潛在風險,北約正在評估形勢。」[29]12月18日,英國國家網路安全中心表示他們仍在確定這些攻擊對英國的影響。[230]英國和愛爾蘭的網路安全機構發布了針對SolarWinds客戶的警報。[124]
2020年12月23日,英國國家隱私權機構「資訊專員辦公室」要求英國組織立即檢查他們是否受到了影響。[106][231]
2020年12月24日,加拿大網路安全中心要求加拿大的SolarWinds Orion使用者檢查系統是否受到攻擊。[232][233]
這次攻擊引發了一場辯論:這次駭客攻擊應該被視為網路間諜活動還是網路戰爭行為?[234]
大多數現任和前任美國官員認為,2020年的此次駭客攻擊是「令人震驚的間諜行為」,但由於攻擊者沒有破壞或篡改行為,也沒有造成對基礎設施(如對電網、電信網路等)的實際損害,所以不是網路戰爭。[235]大西洋理事會、哥倫比亞薩爾茨曼研究所的埃里卡·博格哈德和胡佛協會、海軍戰爭學院的傑奎琳·施耐德認為,這次入侵是一種間諜行為,可以用「逮捕、外交或反間諜」來回應,而且尚未被證明是一次在法律上允許美國以武力回應的網路戰爭行為。[236]法學教授傑克·戈德史密斯寫道,這次駭客攻擊是一次具有破壞性的網路間諜行為,但「並不違反國際法或國際規範」,並寫道,「由於美國自身的做法,美國政府歷來承認外國政府在美國政府網路中從事網路間諜活動的合法性。」[237] 法學教授麥可·施密特對此參照了《塔林手冊》的例子以表示贊同。[238]
相比之下,微軟總裁布拉德·史密斯將此次駭客攻擊稱為網路戰爭,稱「即使是在數字時代,這也不是『像往常一樣的間諜活動』。因為它『不僅針對特定目標,而且是對全球關鍵網路基礎設施可靠性的攻擊』」[235][239][240]美國參議員理察·杜賓稱此次襲擊相當於一場宣戰。[38][4]
為《連線》雜誌撰稿的博格哈德和施耐德認為,美國「應該繼續建立並依靠戰略威懾來說服各國不要將其收集的網路情報武器化」。他們還表示,由於威懾可能無法有效阻止威脅行為者的網路間諜企圖,美國還應該通過加強網路防禦、更好的資訊共享和「前沿防禦」(減少俄羅斯和中國的攻擊性網路能力)等方法,降低網路間諜活動的成功率。[236]
戈德史密斯在為《The Dispatch》撰寫的文章中寫道:防禦和威懾網路入侵戰略的失敗,應該促使美國考慮採取「相互克制」戰略。「即美國減少在外國網路中的某些(間諜)活動,來換取對手在美國網路中的寬容。」[237]
網路安全作家布魯斯·施奈爾反對報復或增強攻擊能力,他建議採取一種以防禦為主導的戰略,並建議簽署《網路空間信任與安全巴黎倡議》或參與全球網路空間穩定委員會(Global Commission on the Stability of Cyberspace)。[241]
為《紐約時報》撰文時,前中央情報局特工、哈佛大學貝爾弗科學與國際事務中心情報專案主任保羅·科爾貝(Paul Kolbe)贊同了施奈爾的呼籲,要求美國改進網路防禦和國際協定。他還指出,美國也在參與針對其它國家的類似行動,他稱這是一場相互的網路衝突。[242]
在《Slate》雜誌上,弗雷德·卡普蘭發表評論稱,自1967年以來,導致這種電腦網路入侵的結構性問題已經為公眾所知,而且歷屆美國政府都未能實施相關專家反覆要求的結構性防禦措施。[243]他指出,對間諜活動的過激反應與美國利益相左,而加強防禦並明確應對網路衝突政策將是更有成效的策略。[244]
另見
參考資料
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads