美国政府和一些美国大型企业遭遇了大规模且长达数月的黑客攻击,此次网络攻击在实施过程中利用了一个看起来不太可能的“源头”:总部位于得克萨斯州奥斯汀的鲜为人知的软件公司SolarWinds Inc. (SWI)。在本周之前,只有计算机网络管理员听到过这家公司的名字。

安全调查人员表示,SolarWinds自称财富500强企业中有400多家公司都是其客户,许多政府机构也是其客户,这样一家公司为俄罗斯对外情报局精心实施一场入侵行动提供了完美的传送机制。

在此次事件中,黑客瞄准的软件是大多数企业的基础软件,但通常不受关注,主要供维护计算机网络和软件正常运行的技术人员使用。行业研究公司国际数据公司(International Data Corporation, 简称IDC)的副总裁埃利奥特(Stephen Elliot)说,SolarWinds所处的位置犹如公司的管道系统。

通过在SolarWinds软件中创建一个后门,黑客能够侵入美国国土安全部、财政部、商务部、国家安全机构、国防承包商,以及潜在的数百个其他实体的系统。

这种间接的网络攻击(以供应商为目标,借此入侵其客户)目前已经成为政府和网络安全专家越来越担心的问题。虽然企业已经加强了网络保护,但大多数客户并没有仔细检查供应商提供的软件。

安全谘询公司Bishop Fox的首席执行官Vincent Liu说:“你很自然地相信,供应商已经对他们卖给你的产品进行了尽职调查。”他说,除了一些大型金融服务公司和高科技公司之外,很少有公司会对购买的软件做安全评估。

对俄罗斯黑客来说,利用这种攻击方式并不新鲜。2017年,同样与莫斯科有关联的黑客使用这一技术,侵入不知名的乌克兰公司M.E. Docs,修改了发给客户的税务软件,植入破坏性病毒,扰乱了世界各地的公司。俄罗斯政府否认入侵美国政府或公司,俄罗斯驻美国大使馆否认与SolarWinds袭击事件有任何关联。

微软(Microsoft Co., MSFT)对事件的一项分析显示,最近的这起事件中,黑客似乎通过向SolarWinds Orion软件添加后门代码,侵入了受害者的网络。该软件一旦安装,就连接到由黑客控制的服务器上,使黑客可以对SolarWinds客户发起进一步攻击,窃取数据。SolarWinds表示,这些易受攻击的软件更新是在3月至6月间提供给客户的。

Liu说:“他们本来可以只入侵SolarWinds,但他们实际做的远不止于此。”他说:“他们把一次入侵变成了很多次,天知道有多少,我们要花数周的时间才能弄清楚。我们可能永远都掌握不了全部的影响。”

SolarWinds发言人说,公司正在与美国大型网络安全公司FireEye Inc.、情报部门和执法部门合作进行调查。

调查人员说,这些黑客很老练,行动不紧不慢、深思熟虑,他们入侵受害者的网络,对计算机系统进行刺探,最终窃取信息。FireEye是此次事件的受害者之一。该公司上周表示,黑客窃取了该公司部署的一套用来检测客户安全的防黑客软件

美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)周日晚间发出紧急警报,敦促联邦机构停止使用受到影响的SolarWinds产品。

企业通常与数十个软件供应商签订合同,但数量可能因行业而异。根据供应链分析公司Interos Inc.的数据,以银行业为例,直接软件供应商的平均数量为83家;在信息技术服务业,平均数量是55家。

据SolarWinds提供的信息,多达1.8万名用户可能已经下载了这一包含后门的软件,但调查人员预计受害者总数要少得多。安全专家表示,即使用户关闭了SolarWinds软件,他们仍可能需要做数周的工作,才能确保黑客不再在其网络的其他地方获得立足点。

电脑安全公司Dragos Inc.的威胁情报副总裁卡尔塔吉罗内(Sergio Caltagirone)表示,对于一些正匆忙确定自己是否在运行SolarWinds的公司而言,这款软件的低知名度给他们带来了恼人的意外。

卡尔塔吉罗内表示,他自己周一花了很多时间询问客户是否使用了SolarWinds产品。他们中的大多数最初说没有,进一步检查后才意识到他们正在使用这些工具。卡尔塔吉罗内称:“人们发现到处都是它。”

国际数据公司的埃利奥特表示,SolarWinds是数十家向政府和企业销售网络监控和管理软件或服务的供应商之一,这一全球市场的规模为115亿美元。SolarWinds拥有逾3,200名员工。

攻击事件被曝光的数天前,SolarWinds表示CEO汤普森将离职。图为汤普森于2018年。

攻击事件被曝光的数天前,SolarWinds表示CEO汤普森将离职。图为汤普森于2018年。

图片来源:BRENDAN MCDERMID/REUTERS

目前仍不确定黑客是如何进入SolarWinds系统引入恶意代码的。SolarWinds表示,其微软电子邮件账户已经被入侵,这一访问权可能已被用于从该公司的Office生产力工具收集更多数据。

这起事件被公之于众时,正值成立了21年的SolarWinds经历领导层大幅变动之际。本月早些时候,就在SolarWinds披露这起黑客攻击事件的四天前,该公司称首席执行官汤普森(Kevin Thompson)将离职,明年1月4日生效,其职位将由安全公司Pulse Secure LLC前首席执行官罗摩克里希纳(Sudhakar Ramakrishna)接任。同样在本月,SolarWinds工程主管Joseph Kim在领英(Linkedin, LNKD)上的资料显示,他已离开该公司,到软件开发商思杰系统公司(Citrix Systems Inc., CTXS)工作。10月份时,SolarWinds首席信息官约翰逊(Rani Johnson)跳槽到另一家供应商Tibco Software Inc..工作。这些高管均未回覆寻求置评的信息。

SolarWinds 2019年销售额为9.33亿美元,该公司此前预计今年的收入将超过10亿美元。该公司表示,Orion产品占其收入的45%左右。SolarWinds表示,公司无法预测该事件对财务的影响。周一,该公司股价大幅下跌近17%。