黑客已经侵入了美国一些最大的公司、主要的国防承包商和美国政府高级机构的计算机网络,包括国家安全部门的一些机构。安全分析人士认为,这是一次“非常严重的”入侵。
到目前为止,美国国土安全部、五角大楼部分部门、美国财政部、商务部、美国疾病控制和预防中心以及美国国立卫生研究院的系统都被认为是通过安装在广泛使用的网络监控软件上的恶意软件遭到攻击的。该软件的普遍性和黑客入侵的可能性长达数月,意味着可能有许多其他目标受到影响,包括美国国家安全局(nsa)。
据《纽约时报》报道,美国官员是在私人网络安全公司FireEye告知他们一些黑客工具被盗后才得知此事的。此次入侵的全面范围和精确方法尚不清楚,但分析人士表示,其复杂性和间谍技术表明,俄罗斯对外情报机构(foreign intelligence service)最有可能是作案者。
《阿肯色州公报》与保罗科尔伯,前中央情报局高级官员和俄罗斯专家现在负责贝尔弗中心的情报项目在哈佛大学肯尼迪学院(香港)和劳伦Zabierek,中心的执行董事的网络项目,以便更进一步地了解网络攻击和下一步美国可能做什么。
Q&
保罗·科尔比和劳伦·扎比雷克
GAZETTE:这看起来有多大的危害?
柯比:我们现在可能只是看到了冰山的一角。我们清楚的是,这场危机的复杂性、范围和深度,以及持续时间,它影响了多少政府和非政府实体,都非常重要。如果绕过安全系统是操纵或绕过双因素认证,这是许多公司和地方
5使用的,这将是非常重要的,因为这是一个主要的防御,金融系统,高度机密系统,系统组织试图提供额外的安全使用。如果他们找到了超越这一界限的方法,这既增加了潜在的破坏,也带来了更广泛的影响,而不仅仅是这一系列特定的黑客攻击。
这是一起重大事件,它的特殊之处在于它被揭露出来了,但它并不是特殊的,因为它是每天发生的活动,是针对美国政府和公司的间谍活动。
公报:据信,俄罗斯对外情报机构SVR对此负有责任。这看起来像是俄罗斯黑客干的吗?可能是其他任何人吗?
扎比雷克:能完成这样一场持续的、有针对性的、影响深远的竞选活动的演员肯定有限。我当然不能把它归因于某个特定的演员;我绝对会让专家来决定。总的来说,俄罗斯人绝对对政府目标感兴趣,他们会在这些特定的机构中,尤其是火眼,以及针对我们联邦实体的有针对性的、持续的间谍活动中,制造不信任,而朝鲜的攻击或入侵则更有经济动机。The Wanna Cry hack的真正目的是筹集资金。中国,再一次非常普遍地,倾向于关注知识产权盗窃或窃取个人数据。但在我看来,这绝对更像是俄罗斯的行动。
我确实认为这很有趣,他们针对这个我们很多人都没有听说过的被大量客户使用的特定软件。我想他们可能要花很长时间才能发现这点。那么,最初的目标,然后探讨看到有什么漏洞,如果有任何零日漏洞,然后开发利用对于那些,然后穿透这些漏洞,然后进入——时间他们说它开始于2020年的春天,似乎很非常快。执行这样的攻击没有多少时间。
KOLBE:中国人有能力这么做,这完全在他们的手段范围内,但从我所阅读的资料来看,使用的特定恶意软件工具很明显与俄罗斯人和SVR有关。
GAZETTE:随着受害实体的名单越来越长,这是否意味着他们在寻找更多的东西?
柯比:最引人注目的事情之一是这种情况持续了很长时间。他们花了大量的时间安静地坐在数字阴影下,绘制网络图,研究它们,查看它们的链接,查看可能有用的信息袋,去追求一些他们知道他们想要的东西。而且,几乎可以肯定的是,在雨天寻找和捡起东西使用。
就范围而言,它只是显示it’宽得多。它显示出对大量不同的、潜在有价值的信息和数据来源的真正贪婪的胃口。我看过真正显示,这将是一段人们弄清楚之前,如果有的话,实际上是访问什么,实际上是很可能和偷来的,但事实上,它是如此许多组织在这样一个广泛的活动范围表明“广撒网”的方法。但当然,在这些组织内部,毫无疑问会有一些努力来确定和瞄准最有价值的数据集。几乎可以肯定的是,他们不可能得到他们可能得到的所有东西。大约有13000或18000家不同的公司上传了软件。我的意思是,这是一个巨大的潜在努力。
公报:美国仍在就2015-2016年俄罗斯的最后一次重大违约提起诉讼。如此大规模的袭击这么快又发生了,你感到惊讶吗?
柯比:没有,我很惊讶我们没有听到更多的消息。SVR,中国,其他国家,他们都建立了巨大的能力,他们有充足的资源,良好的人员,并且专注于做这些事情。这不是一次性的,也不是什么不寻常的事情。它的范围听起来相当宏大,但事实上,这是现实,是每天发生的事情。我向您保证,还有其他规模和范围类似的操作,如果不是更大的话,还没有被发现。
GAZETTE:对此事的调查是如何进行的,需要多长时间?
柯比:会有大量的取证工作来确定发生了什么,也就是说,追踪面包屑,用他们能找到的面包屑,试图确定它是从哪里来的,扩散到哪个系统?这可能是无法确定的,因为很多时候,当人们在网络中穿行时,他们会抹去他们的踪迹。如果信息被窃取了,也就是说,它不会消失,所以很难确定它是否被窃取了。所以我们可能永远也不知道哪些系统被访问了,哪些信息丢失了。所以这是一项庞大的取证工作,需要对原本最重要的东西进行分类,然后还要进行损失评估:如果失去了这些东西,意味着什么?
GAZETTE:这可能需要很长时间才能完成。可能几个月?
科尔伯:容易。
宪报:在进行调查期间,可以做些什么来巩固已被破坏的系统?
扎比雷克:在此期间我们可以做很多事情。你有你的事故反应人员他们会清理并重建或者清理并关闭网络中的任何漏洞。因此,踢出任何入侵者,如果他们需要继续使用特定的软件,有可能修补任何这些漏洞。
CISA,网络安全基础设施安全机构,他们负责保护联邦网络,当然,国防部也负责保护国防部网络。所以,现在国防部肯定有网络防御者,他们的工作是确保我们的国防部网络受到保护,不被破坏。但现在没有一个确定的主管,确实缺乏能力。
之后,一旦归因确定下来,那么联邦政府,政府,无论在拜登是否掌权之前,都可以决定他们在这个层面上要做什么。我们在国务院设立了网络参与办公室,但我想,这个办公室被并入了经济事务。所以你不再有那个确认的,高级别的网络外交官进行外交接触。
你有CyberCom(美国)将参与网络空间事务的网络司令部;情报界正在做某些事情。但从国内的角度来看,当前的政府已经妨碍了我们以某些方式作出反应的能力。我不确定他们会怎么做。例如,如果(拜登政府下)有一个国家网络主管,他们重新设置国务院网络事务局,那么我认为你们的反应会强烈得多。
公报:调查和美国的反应是否会因为新政府的过渡而受到阻碍?
柯比:我不这么认为。它符合间谍对抗间谍的长、长、长模式。无论是人类间谍还是网络间谍,数字间谍还是人类间谍,这个游戏仍在继续。间谍会被抓住,会有短暂的新闻报道、抗议和震惊的表达,然后人们会回去继续工作。我不认为拜登政府会允许这一本质上被揭露的间谍行动改变他们对俄罗斯的看法,我认为他们一开始就非常清醒。这对重启谈判毫无帮助。但在军备控制和其他双边关系的核心利益问题上,我认为也不会产生影响。
公报:当选总统拜登和副总统哈里斯是否会收到关于此事的详细情报,以便他们了解最新进展?
柯比:当然,如果仅仅因为过渡员工本身就是一个非常有吸引力的目标的话。
为了清晰和长度,采访内容经过了编辑。
新闻旨在传播有益信息,英文原版地址:https://news.harvard.edu/gazette/story/2020/12/harvard-cybersecurity-experts-discuss-russian-breach/