0
| 本文作者: 劉琳 | 2020-12-14 17:12 |
黑客技術(shù)哪家強,美國稱第二沒人稱第一。
網(wǎng)絡(luò)安全局作為美國政府的官方技術(shù)部門,更是高手中的高手,這次居然沒攔住外國黑客的進攻?
沒錯,就是沒攔住。
最新消息,美國財政部居然被黑客監(jiān)視了數(shù)月。
看來,這次的黑客組織還是個硬茬。
據(jù)路透社報道,近日,美國財政部發(fā)現(xiàn)他們遭遇了 APT 攻擊,報道稱該黑客組織不僅了攻擊財政部和商務(wù)部的國家電信和信息管理局(NTIA,即微軟 Office 365),黑客可能還攻擊了其他美國政府機構(gòu)。
更為可怕的是,時間長達數(shù)月之久,而美國財政部最近才發(fā)現(xiàn)。
報道稱,這一消息已得到美國政府方面的確認,F(xiàn)BI 已經(jīng)展開了緊急調(diào)查工作。
目前還不清楚到底有哪些信息可能被竊取,或者哪個外國政府參與其中。
不過,他們將目標(biāo)鎖定在了一個叫做 “APT29”或“Cozy Bear”的黑客組織。
美國之所以如此重視,就是因為 APT 攻擊很可怕。
APT 是 Advanced Persistent Threat 的縮寫,翻譯成中文就是高級持續(xù)性威脅。
說的通俗點就是一群頂尖的黑客向目標(biāo)服務(wù)器或者是網(wǎng)站有組織有紀(jì)律的瘋狂輸出,直到目標(biāo)被攻破。
一般來說,APT 的攻擊隱秘性極強,而且潛伏期長,可以持續(xù)搜集目標(biāo)的關(guān)鍵信息。所以 APT 組織的攻擊目標(biāo)多數(shù)為政府、機構(gòu)和企業(yè),個人用戶一般不會成為被攻擊的目標(biāo)。
而在網(wǎng)絡(luò)的世界里,APT 組織就像中世紀(jì)的西班牙海盜,所到之處寸草不生,一旦遭遇,基本上也就沒跑了。
舉個例子,你就能知道它的厲害了。
2010 年,Google 在宣布退出大陸市場的兩個月前曾受到了 APT 攻擊,對方企圖竊取包括 Google、Adobe 在內(nèi)的 20 多家公司的重要源代碼。
全球最大的專業(yè)安全技術(shù)公司 McAfee 表示,這次攻擊真的是太兇猛了,不但使用了多種攻擊手段和加密方式,還深入了公司內(nèi)部的網(wǎng)絡(luò)并巧妙的掩蓋了自己的行動。
在攻擊事件后,外國安全人士分析了這次網(wǎng)絡(luò)攻防戰(zhàn),發(fā)現(xiàn) APT 組織的這次攻擊正是利用了 IE 瀏覽器的一個漏洞。
技術(shù)人員在分析惡意 exe 文件時,發(fā)現(xiàn)保存源代碼的文件夾名為 Aurora(極光),最后大家把這次事件命名為 “ 極光行動 ”。
不過 APT 組織并不是俄羅斯獨有的,各個國家和地區(qū)都分布著不同的 APT 組織。
而現(xiàn)在他們懷疑的這個 Cozy Bear 則更為可怕。
“Cozy Bear”被列為高級持續(xù)威脅 APT29,也被認為與俄羅斯情報局有關(guān)。它曾黑過五角大樓;除此之外“Cozy Bear”還與“奇幻熊(另一個俄羅斯黑客組織)”曾多次企圖入侵荷蘭各部,包括總務(wù)部。
“Cozy Bear”黑客組織同樣參與了針對 DNC 的網(wǎng)絡(luò)攻擊活動,而該組織也被認為是俄羅斯聯(lián)邦安全局 FSB 的下屬黑客組織。
“Cozy Bear”被認為一直在進行長期的網(wǎng)絡(luò)間諜活動,目標(biāo)就是為了收集各種敏感的情報信息。在特朗普宣布贏得 2016 年美國總統(tǒng)大選的幾個小時后,該組織便針對大量非政府組織的美國機構(gòu)發(fā)動了一波網(wǎng)絡(luò)攻擊。
“Cozy Bear”的攻擊目標(biāo)還包括全球知名智庫及私人組織。
從以上證據(jù)來看,Cozy Bear 也算是慣犯了。
這也是美國為什么如此重視的原因,因為一旦被證實是俄羅斯黑客攻擊這就不僅僅只是一次黑客攻擊了,而是會上升到政治問題。
路透社網(wǎng)絡(luò)記者克里斯·賓在推文中這樣寫道:
“這是一個比單一機構(gòu)更大的故事。這是一場針對美國政府及其利益的大型網(wǎng)絡(luò)間諜活動。”
所有的一切似乎都指向了俄羅斯黑客組織。
那么,為什么美國政府一口咬定是俄羅斯黑客組織搞得鬼呢?
要說世界黑客哪家強,俄羅斯黑客和朝鮮黑客都榜上有名。
而俄羅斯黑客組織也經(jīng)常被列為美國網(wǎng)絡(luò)攻擊的主要嫌疑人。
2017 年 10 月,《華爾街日報》稱俄羅斯政府資助的黑客設(shè)法竊取了關(guān)于美國國家安全局(NSA)使用的機密間諜工具的極其敏感的信息。
2020 年 8 月,美國聯(lián)邦調(diào)查局和國家安全局對 Drovorub 發(fā)出了聯(lián)合警報,他們認為這是一種由俄羅斯總參謀部情報總局(GRU)開發(fā)的惡意軟件,用于入侵基于 Linux 的系統(tǒng)。
而此次美國政府懷疑俄羅斯還有一個更為重要的理由。
上周,著名網(wǎng)絡(luò)安全公司 FireEye 被黑客入侵在安全圈掀起了不小的波瀾。
FireEye 是第一家通過美國國土安全部《安全法》認證的網(wǎng)絡(luò)安全公司。
而火眼公司在網(wǎng)絡(luò)安全公司的地位也是不容小覷。
公開資料顯示,火眼的客戶遍布 103 個國家/地區(qū)的 9600 多個客戶,其中包括《福布斯》全球 2000 強企業(yè)的 50% 以上,超過100%的《財富》 100 強公司使用了 Mandiant 服務(wù);全球部署了 1700 萬個虛擬機傳感器,每小時阻止 5 萬至 7 萬確認的惡意事件,保護全球 1000 多個政府和執(zhí)法機構(gòu),跟蹤了 40個 APT 組和 11 個 FIN 組。
據(jù)華爾街日報報道,攻擊者竊取了火眼用來檢測和利用計算機系統(tǒng)弱點的紅隊工具,以便更好地防御它們。此外,攻擊的目標(biāo)數(shù)據(jù)主要與“某些政府客戶”相關(guān)。
火眼也表示這是由一個“高度復(fù)雜的國家支持的對手。”
簡言之,火眼公司認為,這個黑客組織不僅僅代表個人,而是有國家支持的。而這個矛頭也指向了俄羅斯黑客組織。
值得注意的是,據(jù)路透社的報道,針對美國財政社的這一攻擊很可能從夏天就開始了,而火眼公司遭遇到的攻擊是近日才發(fā)現(xiàn)的。
今日下午,俄駐美大使館在臉書(Facebook)上發(fā)布消息稱:
“我們注意到美國媒體又一次毫無根據(jù)地企圖指責(zé)俄羅斯黑客攻擊美國家政府機構(gòu)。俄方負責(zé)任地表示,攻擊信息空間與俄羅斯外交政策原則、國家利益,以及對如何建立國家間關(guān)系的理解相矛盾。俄羅斯沒有在虛擬環(huán)境中采取‘進攻性’行動”。
關(guān)于此事的后續(xù),雷鋒網(wǎng)也會持續(xù)關(guān)注。
雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)
參考來源:
【2】https://mashable.com/article/us-treasury-hacked-office-365/
【3】http://m.specdd.com.cn/news/201706/E7W6pdObFmt3LuHc.html
【4】https://www.hackread.com/us-federal-agencies-hacked-russian-hackers/
【6】https://appleinsider.com/articles/20/12/13/foreign-hackers-breach-us-treasury-department
【7】http://m.specdd.com.cn/news/201611/y3G6CBDgIHpn11RX.html
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
