微軟稱遭中國黑客攻擊 拜登政府避而不談(圖)


微軟公司大樓。(圖片來源:Tawanda Razika/Pixabay)

【看中國2021年5月24日訊】(看中國記者成容編譯)微軟(Microsoft)和網路安全專家認為,今年針對微軟Exchange伺服器的大規模黑客攻擊,是由一個中國黑客組織進行的,但拜登政府還不願把矛頭指向北京。

三大黑客案 唯對微軟無交代

據《華盛頓觀察家》5月23日報導,拜登總統本月早些時候簽署了一項網路安全行政命令,點名了最近三起突出的網路攻擊事件:SolarWinds、殖民管道(Colonial Pipeline)和微軟,白宮的一份概況介紹說,這些「最近的網路安全事件......清醒地提醒我們,美國公共和私營部門實體,越來越多地面臨來自國家行為者和網路罪犯的複雜惡意網路活動。」

美國說俄羅斯情報部門是SolarWinds黑客事件的幕後黑手,一個俄羅斯黑客團夥是殖民管道攻擊事件的幕後黑手,但它沒有公開將微軟的黑客事件歸咎於任何人。

這家科技巨頭在3月宣布,它在3月檢測到「多個零日漏洞被用來在有限的和有針對性的攻擊中,攻擊企業內部版本的微軟Exchange伺服器」,並表示其威脅情報中心「高度自信」地認為,這些網路活動歸於一個被稱「Hafnium」的黑客組織,該組織「主要從美國租賃的虛擬私人伺服器上運作」。

微軟說,這個黑客組織是「國家支持的」,在中國境外運作。微軟表示,黑客利用漏洞訪問電子郵件賬戶,並安裝額外的惡意軟體,「以方便長期訪問受害者環境」。

微軟Exchange伺服器處理公司的電子郵件、日曆、日程安排、聯繫人和協作服務。

微軟負責客戶安全和信任的企業副總裁伯特(Tom Burt),在3月份寫道:「Hafnium在中國運作,這是我們第一次討論其活動。」他稱這個中國黑客組織是「一個高度熟練和複雜的行為者」,「主要針對美國的實體,目的是滲入一些行業部門的信息,包括傳染病研究人員、律師事務所、高等教育機構、國防承包商、政策智囊團和非政府組織。」

拜登的國家安全顧問沙利文(Jake Sullivan),在3月在白宮舉行的新聞發布會上被問及中國是否是微軟黑客事件的幕後黑手。

沙利文說:「今天站在這裡,我沒有資格提供歸因,但我確實向你們保證,我們將在不久的將來的某個時候,有資格對該攻擊進行歸因。我們不會在這個問題上隱瞞。我們將站出來,說出我們認為是誰發動了這次襲擊。」

拜登政府此後一直對將黑客攻擊歸咎於中國一事保持沉默。國家安全局的一位發言人告訴《華盛頓觀察家》,要與國家安全委員會聯繫。國家安全委員會沒有提供評論。國土安全部的一位發言人說,「請與聯邦調查局聯繫,以幫助進行這一調查。」聯邦調查局發言人說,「不幸的是,我們對此沒有任何評論。」司法部發言人說,他們「目前沒有任何東西可以與你們分享」。網路安全和基礎設施安全局的發言人說,「我們對歸屬問題沒有評論。」而國家情報總監辦公室沒有對評論請求作出回應。

4月,拜登政府將大規模的SolarWinds網路攻擊,歸咎於俄羅斯的外國情報局,也被稱為SVR,白宮發布的一份概況介紹說,美國「正式點名」SVR為「利用SolarWinds Orion平臺和其它信息技術基礎設施的廣泛網路間諜活動的實施者」,並且情報界「對歸咎於SVR的評估有高度信心」。前國務卿蓬佩奧和前司法部長巴爾(William Barr)都在去年12月表示,他們認為該網路運動很可能是由俄羅斯實施的。

拜登在5月說,DarkSide團夥對殖民管道的勒索軟體攻擊不是由克里姆林宮指揮的,但他說美國有「充分的理由」相信罪犯「生活在俄羅斯」。白宮表示,雖然它一直在與莫斯科進行「直接溝通」,呼籲普京政府對勒索軟體攻擊者採取行動。

網路安全專家一致認為黑客來自中國

隸屬於FireEye網路安全公司的麥迪安威脅情報公司(Mandiant Threat Intelligence)的分析主管雷德(Ben Read)告訴《華盛頓觀察家》,微軟的黑客攻擊有「三個階段」,他認為第一階段「被微軟追蹤的Hafnium的有限使用--我們認為可能是中國」,而第二階段是「其他不同的中國團體更廣泛的使用」。第三階段是該漏洞「公開可用」,並被數量不詳的其他黑客組織利用。

雷德說:「對於最初的Hafnium的東西,我沒有理由懷疑微軟,他們非常擅長他們的工作,他們的安全團隊,而且有這麼多的東西,我們知道它也可能被其他行為者使用,當概念驗證走出去的時候,所以這不是一個單一的事件,作為一種事件,我可以很容易地談論。但總的來說,是的,最初的使用和我們看到的後續東西,我們認為可能是中國。我們認為,這個漏洞是由多個團體使用的,因此我們的分析結果是,我們可能有適度的信心,至少有一些漏洞與我們認為是先前跟蹤的中國團體有關。」

當描述FireEye如何將黑客攻擊歸於中國時,他說:「對於這些特定的團體,我們認為他們至少是為支持中國政府的目標而行動的......他們似乎有大量的資金,因為他們能夠在很長一段時間內運作,有大量複雜的操作--這需要錢來做。而且他們竊取的信息不容易貨幣化,在某些情況下,你有進一步的取證或生活模式或其它原因,相信他們位於中國,或類似的地方,他們講中文......所以具體的群體對每個團體都是不同的,但這是一種我們有的一般情況,即中間階段,與中國有關。」

雷德說,Hafnium的行動,「對一個間諜組織來說是不尋常的,因為不是每個地方都會有有趣的信息」,然而,黑客們對大量的個人、小企業和其它不尋常的間諜目標進行了漏洞追蹤。

他說:「在康涅狄格州的一家熟食店,不會有中國政府感興趣的大量信息,但如果他們有一個脆弱的交換伺服器,他們就有了一個webshell。對於中國為什麼選擇這樣的操作方式,是個有趣的問題,但在解釋它時卻沒有大量的技術線索。」webshell常常被稱為匿名用戶(入侵者)通過WEB服務埠對WEB伺服器有某種程度上操作的許可權,由於其大多是以網頁腳本的形式出現,也有人稱之為網站後門工具。

至於Hafnium,雷德說:「正如微軟所說,對他們來說,這是一個新的團體,我們沒有追溯到歷史上的東西,我們可以在那裡做出一個超級自信的歸因。它符合中國人如何運作的那種一般概況,一些惡意軟體是熟悉的。」

Huntress網路安全公司的高級安全研究員哈蒙德(John Hammond)確信,中國是微軟黑客事件的幕後黑手。

他告訴《華盛頓觀察家》:「網路威脅情報界所做的一切努力確實指向了HAFNIUM是一個中國的團體。雖然一些HAFNIUM的行動經常從一個美國的IP地址進行,但這只是一種暗示:使用DigitalOcean虛擬私人伺服器,看起來好像攻擊來自其它地方。我們已經看到了從中國的IP地址到部署的‘中國菜刀’(China Chopper)webshell的通信,用蜜罐的進一步研究肯定收到來自中國的大量流量。沒有什麼可以保證是絕對的證據--但看到一個重複指標的趨勢,這當然使人有信心。」

要說明的是,蜜罐(honeypot)是一個電腦術語,專指用來偵測或抵禦未經授權操作或者是駭客攻擊的陷阱,因原理類似誘捕昆蟲的蜜罐因而得名。

美國至少3萬機構受害

聯邦調查局在3月份說,它「知道微軟為Exchange伺服器軟體中以前未知的漏洞打了緊急補丁,這是因為被微軟稱為Hafnium的高級持續威脅行為者」。但當被問及這是否意味著聯邦調查局也在評估這是否是中國的行動時,該局拒絕發表評論。

網路安全專家克雷布斯(Brian Krebs)在3月份報告說,「美國各地至少有3萬個組織--包括大量的小企業、城鎮、城市和地方政府--在過去幾天裡被一個異常積極的中國網路間諜部隊入侵,該部隊專注於竊取受害組織的電子郵件。」

網路安全Huntress博客在3月爭辯說,「這些威脅者使用的webshell被稱為‘中國菜刀’。」FireEye在3月份說,在一個單獨的環境中,它已經看到脆弱的微軟Exchange伺服器被一個威脅行為者利用,該威脅行為者是中國菜刀,它說「這種威脅行為越來越普遍,特別是在中國網路犯罪份子中」。網路安全公司Volexity似乎首先發現了這一黑客行為,它寫道,它在1月份檢測到了「異常活動」。

負責網路和新興技術的國家安全副顧問紐伯格(Anne Neuberger)在4月說,拜登政府正在「停止」其應對SolarWinds和微軟黑客攻擊的統一協調小組,但強調政府正在採取「整個政府的努力」來應對網路攻擊。

美國司法部宣布,聯邦調查局上個月開展了一項「法院授權的行動」,從數百臺美國計算機上複製和刪除「惡意webshell」,以應對針對微軟Exchange伺服器的大規模網路攻擊。

中國外交部拒絕了關於其參與新發現的網路攻擊的說法,就像俄羅斯否認對SolarWinds黑客的罪責一樣。

本文留言

作者成容相關文章


相關文章


近期讀者推薦