微软公司大楼。(图片来源:Tawanda Razika/Pixabay)
【看中国2021年5月24日讯】(看中国记者成容编译)微软(Microsoft)和网络安全专家认为,今年针对微软Exchange服务器的大规模黑客攻击,是由一个中国黑客组织进行的,但拜登政府还不愿把矛头指向北京。
三大黑客案 唯对微软无交代
据《华盛顿观察家》5月23日报导,拜登总统本月早些时候签署了一项网络安全行政命令,点名了最近三起突出的网络攻击事件:SolarWinds、殖民管道(Colonial Pipeline)和微软,白宫的一份概况介绍说,这些“最近的网络安全事件......清醒地提醒我们,美国公共和私营部门实体,越来越多地面临来自国家行为者和网络罪犯的复杂恶意网络活动。”
美国说俄罗斯情报部门是SolarWinds黑客事件的幕后黑手,一个俄罗斯黑客团伙是殖民管道攻击事件的幕后黑手,但它没有公开将微软的黑客事件归咎于任何人。
这家科技巨头在3月宣布,它在3月检测到“多个零日漏洞被用来在有限的和有针对性的攻击中,攻击企业内部版本的微软Exchange服务器”,并表示其威胁情报中心“高度自信”地认为,这些网络活动归于一个被称“Hafnium”的黑客组织,该组织“主要从美国租赁的虚拟私人服务器上运作”。
微软说,这个黑客组织是“国家支持的”,在中国境外运作。微软表示,黑客利用漏洞访问电子邮件账户,并安装额外的恶意软件,“以方便长期访问受害者环境”。
微软Exchange服务器处理公司的电子邮件、日历、日程安排、联系人和协作服务。
微软负责客户安全和信任的企业副总裁伯特(Tom Burt),在3月份写道:“Hafnium在中国运作,这是我们第一次讨论其活动。”他称这个中国黑客组织是“一个高度熟练和复杂的行为者”,“主要针对美国的实体,目的是渗入一些行业部门的信息,包括传染病研究人员、律师事务所、高等教育机构、国防承包商、政策智囊团和非政府组织。”
拜登的国家安全顾问沙利文(Jake Sullivan),在3月在白宫举行的新闻发布会上被问及中国是否是微软黑客事件的幕后黑手。
沙利文说:“今天站在这里,我没有资格提供归因,但我确实向你们保证,我们将在不久的将来的某个时候,有资格对该攻击进行归因。我们不会在这个问题上隐瞒。我们将站出来,说出我们认为是谁发动了这次袭击。”
拜登政府此后一直对将黑客攻击归咎于中国一事保持沉默。国家安全局的一位发言人告诉《华盛顿观察家》,要与国家安全委员会联系。国家安全委员会没有提供评论。国土安全部的一位发言人说,“请与联邦调查局联系,以帮助进行这一调查。”联邦调查局发言人说,“不幸的是,我们对此没有任何评论。”司法部发言人说,他们“目前没有任何东西可以与你们分享”。网络安全和基础设施安全局的发言人说,“我们对归属问题没有评论。”而国家情报总监办公室没有对评论请求作出回应。
4月,拜登政府将大规模的SolarWinds网络攻击,归咎于俄罗斯的外国情报局,也被称为SVR,白宫发布的一份概况介绍说,美国“正式点名”SVR为“利用SolarWinds Orion平台和其它信息技术基础设施的广泛网络间谍活动的实施者”,并且情报界“对归咎于SVR的评估有高度信心”。前国务卿蓬佩奥和前司法部长巴尔(William Barr)都在去年12月表示,他们认为该网络运动很可能是由俄罗斯实施的。
拜登在5月说,DarkSide团伙对殖民管道的勒索软件攻击不是由克里姆林宫指挥的,但他说美国有“充分的理由”相信罪犯“生活在俄罗斯”。白宫表示,虽然它一直在与莫斯科进行“直接沟通”,呼吁普京政府对勒索软件攻击者采取行动。
网络安全专家一致认为黑客来自中国
隶属于FireEye网络安全公司的麦迪安威胁情报公司(Mandiant Threat Intelligence)的分析主管雷德(Ben Read)告诉《华盛顿观察家》,微软的黑客攻击有“三个阶段”,他认为第一阶段“被微软追踪的Hafnium的有限使用--我们认为可能是中国”,而第二阶段是“其他不同的中国团体更广泛的使用”。第三阶段是该漏洞“公开可用”,并被数量不详的其他黑客组织利用。
雷德说:“对于最初的Hafnium的东西,我没有理由怀疑微软,他们非常擅长他们的工作,他们的安全团队,而且有这么多的东西,我们知道它也可能被其他行为者使用,当概念验证走出去的时候,所以这不是一个单一的事件,作为一种事件,我可以很容易地谈论。但总的来说,是的,最初的使用和我们看到的后续东西,我们认为可能是中国。我们认为,这个漏洞是由多个团体使用的,因此我们的分析结果是,我们可能有适度的信心,至少有一些漏洞与我们认为是先前跟踪的中国团体有关。”
当描述FireEye如何将黑客攻击归于中国时,他说:“对于这些特定的团体,我们认为他们至少是为支持中国政府的目标而行动的......他们似乎有大量的资金,因为他们能够在很长一段时间内运作,有大量复杂的操作--这需要钱来做。而且他们窃取的信息不容易货币化,在某些情况下,你有进一步的取证或生活模式或其它原因,相信他们位于中国,或类似的地方,他们讲中文......所以具体的群体对每个团体都是不同的,但这是一种我们有的一般情况,即中间阶段,与中国有关。”
雷德说,Hafnium的行动,“对一个间谍组织来说是不寻常的,因为不是每个地方都会有有趣的信息”,然而,黑客们对大量的个人、小企业和其它不寻常的间谍目标进行了漏洞追踪。
他说:“在康涅狄格州的一家熟食店,不会有中国政府感兴趣的大量信息,但如果他们有一个脆弱的交换服务器,他们就有了一个webshell。对于中国为什么选择这样的操作方式,是个有趣的问题,但在解释它时却没有大量的技术线索。”webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。
至于Hafnium,雷德说:“正如微软所说,对他们来说,这是一个新的团体,我们没有追溯到历史上的东西,我们可以在那里做出一个超级自信的归因。它符合中国人如何运作的那种一般概况,一些恶意软件是熟悉的。”
Huntress网络安全公司的高级安全研究员哈蒙德(John Hammond)确信,中国是微软黑客事件的幕后黑手。
他告诉《华盛顿观察家》:“网络威胁情报界所做的一切努力确实指向了HAFNIUM是一个中国的团体。虽然一些HAFNIUM的行动经常从一个美国的IP地址进行,但这只是一种暗示:使用DigitalOcean虚拟私人服务器,看起来好像攻击来自其它地方。我们已经看到了从中国的IP地址到部署的‘中国菜刀’(China Chopper)webshell的通信,用蜜罐的进一步研究肯定收到来自中国的大量流量。没有什么可以保证是绝对的证据--但看到一个重复指标的趋势,这当然使人有信心。”
要说明的是,蜜罐(honeypot)是一个电脑术语,专指用来侦测或抵御未经授权操作或者是骇客攻击的陷阱,因原理类似诱捕昆虫的蜜罐因而得名。
美国至少3万机构受害
联邦调查局在3月份说,它“知道微软为Exchange服务器软件中以前未知的漏洞打了紧急补丁,这是因为被微软称为Hafnium的高级持续威胁行为者”。但当被问及这是否意味着联邦调查局也在评估这是否是中国的行动时,该局拒绝发表评论。
网络安全专家克雷布斯(Brian Krebs)在3月份报告说,“美国各地至少有3万个组织--包括大量的小企业、城镇、城市和地方政府--在过去几天里被一个异常积极的中国网络间谍部队入侵,该部队专注于窃取受害组织的电子邮件。”
网络安全Huntress博客在3月争辩说,“这些威胁者使用的webshell被称为‘中国菜刀’。”FireEye在3月份说,在一个单独的环境中,它已经看到脆弱的微软Exchange服务器被一个威胁行为者利用,该威胁行为者是中国菜刀,它说“这种威胁行为越来越普遍,特别是在中国网络犯罪分子中”。网络安全公司Volexity似乎首先发现了这一黑客行为,它写道,它在1月份检测到了“异常活动”。
负责网络和新兴技术的国家安全副顾问纽伯格(Anne Neuberger)在4月说,拜登政府正在“停止”其应对SolarWinds和微软黑客攻击的统一协调小组,但强调政府正在采取“整个政府的努力”来应对网络攻击。
美国司法部宣布,联邦调查局上个月开展了一项“法院授权的行动”,从数百台美国计算机上复制和删除“恶意webshell”,以应对针对微软Exchange服务器的大规模网络攻击。
中国外交部拒绝了关于其参与新发现的网络攻击的说法,就像俄罗斯否认对SolarWinds黑客的罪责一样。