入侵美政府数月 俄黑客何以得手?
美国联邦政府遭遇史上最大规模的黑客入侵,国防部、国土安全部、商务部、财政部、国务院、能源部(包括核安全管理局)等至少六个部门被渗透长达数月。前总统国土安全顾问博赛特(Thomas Bossert)甚至推测,可能需要数年才能确定哪些网络被黑客控制。目前,美国国务院指责俄罗斯为幕后黑手,若然指控属实,那么俄罗斯是如何做到击破美国政府防线数月?新上任的拜登政府又将如何反击?
本月早前(12月8日),顶尖网络安全公司“火眼”(FireEye)表示受到了一次高度复杂的网攻,专门负责模拟黑客攻击的工具“红队”(Red Team)被入侵。由于“火眼”替美国多个政府机构和大型公司守护网络,《纽约时报》形容,这起事故宛如银行劫犯偷走了联邦调查局(FBI)的侦查工具。
此后,“火眼”发现黑客得以入侵的漏洞源自得州“太阳风”(SolarWinds)公司的软件,遂提醒了该公司和美国情报系统。“太阳风”在检视后,发现黑客在该公司的王牌产品、IT管理平台Orion今年3月至6月的自动更新系统植入恶意代码,只要客户下载了更新的版本,黑客便可随之潜入。而Orion共有3.3万个用户,其中一半下载了新版软件,包括多个美国政府机构,以及财富前500公司至少425家,微软就已表示中招。
恐成最严重黑客入侵事件
目前,黑客窃取的资料范围尚在调查之中,但不少媒体已将此形容为美国政府有史以来遭受的最大规模黑客攻击。众议院监管及政府改革委员会主席林奇(Stephen Lynch)在听取情报简报后担忧地指出,“这次黑客行动范围之广,连我们的网络安全专家都尚未掌握全貌。”
曾专门负责网络安全事务的特朗普前国土安全顾问博赛特认为,俄罗斯拥有美国敏感和重要网络的入口长达6至9个月,肯定早已拿到了“永久准入权”,能以一种很难发觉或移除的方式渗透并控制网络。博赛特因此悲观地推测,可能要数年才能发现哪些网络已被俄罗斯控制。
但也有观点认为,黑客十分谨慎,在Orion系统更新后的两周保持蛰伏状态,此后也只上传少量数据,以保持伪装成Orion系统运转的正常流量,因此不可能大范围地窃取信息。《纽约时报》也指出黑客是有针对性地小范围攻击,例如它入侵美国国务院系统后,监视的是邮件系统,在商务部则是瞄准“国家电信和信息部”,该部门职责包括阻止可能危害国家安全的技术出口。
美政府技术策略皆有不足
那么黑客究竟如何做到无声无息入侵美国政府数月?先从“太阳风”公司被渗透说起,虽说具体原因尚不得人知,但安全研究员库玛(Vinoth Kumar)指出,他曾在去年联系过该公司,提醒更改其极容被猜中的服务器密码“solarwinds123”,因任何黑客都可能轻易破解。也有与“太阳风”公司合作过网安事务的工程师桑顿—特朗普(Ian Thornton-Trump)指出,早在2017年就发现了诸多系统漏洞,但在提醒后高层也未做出改变,这样一来被入侵是迟早的事。
将“太阳风”公司可能的失职放在一边,为何美国政府斥资60亿美元的网络安保系统“爱因斯坦”也失效了呢?这可能是因为该系统的“先天不足”,根据政府问责署(GAO)2018年的报告,该系统存在明显漏洞,无法探测到数据传送至秘密服务器,并计划在2022年升级。现在看来,升级时间安排得太晚了。
除了技术问题,美国政府也存在一定的策略问题。现届政府提出并实践了“前进防御”(defense forward)的策略,即提前渗透对手的网络,监测对方是否有入侵己方的迹象,旨在“从源头上扰乱或阻止对手的恶意行为”。但过度依赖“前进防御”却有可能相对疏忽了对自身网络的监控,例如若未在对手网络中监视到敌对活动,就稍微放松了警惕,未意识到自己可能其实是掉进了陷阱。不少观察者就认为,此次事件标志特朗普政府网络安全策略的不足之处。
拜登政府或新仇旧恨一起算
这起黑客事件在美国政坛引起轩然大波,虽然特朗普正试图淡化负面影响,但即将上任的拜登政府定会严肃对待,毕竟这算得上是新仇加旧恨。
在2016年大选年,俄罗斯黑客就对美国选举系统发起了轮番攻击,更在7月入侵了民主党全国委员会(DNC)的邮件系统,披露对民主党总统候选人希拉里的不利消息。当时奥巴马政府担心高调指责俄罗斯会削减选民对选举公正的信心,不利于大概率胜选的希拉里,更多选择了私下警告。据报道,奥巴马当年9月在中国参加二十国集团峰会时,警告俄罗斯总统普京不要轻举妄动。当时的副国安顾问、现获拜登提名为国家情报总监的海恩斯(Avril Haines)则制定了一系列可能的报复计划。
不过,虽然俄罗斯最后未有直接影响投票结果,但早已通过“电邮门”丑闻以及社交平台的假新闻,改变了许多选民的想法。在特朗普意外胜选后,奥巴马政府匆匆地在经济和外交层次惩罚俄罗斯。但这已来得太迟,想必当时整个奥巴马政府弥漫着强烈的后悔感。
而汇聚了众多奥巴马旧部的拜登政府,无疑会对俄罗斯做出迟来的惩罚。路透社指出,新政府正在考虑不同选项,包括实行新的经济制裁,或是以牙还牙入侵对方的基础建设。拜登提名的白宫幕僚长克莱恩(Ron Klain)还表示,白宫也会采取行动降低别国入侵的能力。
以拜登注重提高美国自身能力的政策风格来看,他除了可能加重制裁俄罗斯外,也会投入大量资源提升美国网络安保系统,包括提前升级“爱因斯坦”系统;给网络安全部门拨出更多资金——至少不会出现去年特朗普政府挪用网络安全430万美元资金用于给移民中心增设床位的情况; 调整政府的“前进防御”策略,配之以更全面更激进的“威慑”策略等等。
整体而言,这次美国政府遭入侵事件给所有国家都上了一课,包括需要对于使用的第三方服务更严格地审查、调查该公司网络安保情况,并及时围堵政府安保防御体系的漏洞等等。在现有国际法体系未能覆盖网络战或网络间谍的情况下,预计未来很长一段时间各国网络战还是只会遵循丛林法则,技高一筹者才能胜出。