入侵美政府數月 俄黑客何以得手?
美國聯邦政府遭遇史上最大規模的黑客入侵,國防部、國土安全部、商務部、財政部、國務院、能源部(包括核安全管理局)等至少六個部門被滲透長達數月。前總統國土安全顧問博賽特(Thomas Bossert)甚至推測,可能需要數年才能確定哪些網絡被黑客控制。目前,美國國務院指責俄羅斯為幕後黑手,若然指控屬實,那麼俄羅斯是如何做到擊破美國政府防線數月?新上任的拜登政府又將如何反擊?
本月早前(12月8日),頂尖網絡安全公司「火眼」(FireEye)表示受到了一次高度複雜的網攻,專門負責模擬黑客攻擊的工具「紅隊」(Red Team)被入侵。由於「火眼」替美國多個政府機構和大型公司守護網絡,《紐約時報》形容,這起事故宛如銀行劫犯偷走了聯邦調查局(FBI)的偵查工具。
此後,「火眼」發現黑客得以入侵的漏洞源自德州「太陽風」(SolarWinds)公司的軟件,遂提醒了該公司和美國情報系統。「太陽風」在檢視後,發現黑客在該公司的王牌產品、IT管理平台Orion今年3月至6月的自動更新系統植入惡意代碼,只要客戶下載了更新的版本,黑客便可隨之潛入。而Orion共有3.3萬個用戶,其中一半下載了新版軟件,包括多個美國政府機構,以及財富前500公司至少425家,微軟就已表示中招。
恐成最嚴重黑客入侵事件
目前,黑客竊取的資料範圍尚在調查之中,但不少媒體已將此形容為美國政府有史以來遭受的最大規模黑客攻擊。眾議院監管及政府改革委員會主席林奇(Stephen Lynch)在聽取情報簡報後擔憂地指出,「這次黑客行動範圍之廣,連我們的網絡安全專家都尚未掌握全貌。」
曾專門負責網絡安全事務的特朗普前國土安全顧問博賽特認為,俄羅斯擁有美國敏感和重要網絡的入口長達6至9個月,肯定早已拿到了「永久准入權」,能以一種很難發覺或移除的方式滲透並控制網絡。博賽特因此悲觀地推測,可能要數年才能發現哪些網絡已被俄羅斯控制。
但也有觀點認為,黑客十分謹慎,在Orion系統更新後的兩周保持蟄伏狀態,此後也只上傳少量數據,以保持偽裝成Orion系統運轉的正常流量,因此不可能大範圍地竊取信息。《紐約時報》也指出黑客是有針對性地小範圍攻擊,例如它入侵美國國務院系統後,監視的是郵件系統,在商務部則是瞄準「國家電信和信息部」,該部門職責包括阻止可能危害國家安全的技術出口。
美政府技術策略皆有不足
那麼黑客究竟如何做到無聲無息入侵美國政府數月?先從「太陽風」公司被滲透說起,雖說具體原因尚不得人知,但安全研究員庫瑪(Vinoth Kumar)指出,他曾在去年聯繫過該公司,提醒更改其極容被猜中的服務器密碼「solarwinds123」,因任何黑客都可能輕易破解。也有與「太陽風」公司合作過網安事務的工程師桑頓—特朗普(Ian Thornton-Trump)指出,早在2017年就發現了諸多系統漏洞,但在提醒後高層也未做出改變,這樣一來被入侵是遲早的事。
將「太陽風」公司可能的失職放在一邊,為何美國政府斥資60億美元的網絡安保系統「愛因斯坦」也失效了呢?這可能是因為該系統的「先天不足」,根據政府問責署(GAO)2018年的報告,該系統存在明顯漏洞,無法探測到數據傳送至秘密服務器,並計劃在2022年升級。現在看來,升級時間安排得太晚了。
除了技術問題,美國政府也存在一定的策略問題。現屆政府提出並實踐了「前進防禦」(defense forward)的策略,即提前滲透對手的網絡,監測對方是否有入侵己方的跡象,旨在「從源頭上擾亂或阻止對手的惡意行為」。但過度依賴「前進防禦」卻有可能相對疏忽了對自身網絡的監控,例如若未在對手網絡中監視到敵對活動,就稍微放鬆了警惕,未意識到自己可能其實是掉進了陷阱。不少觀察者就認為,此次事件標誌特朗普政府網絡安全策略的不足之處。
拜登政府或新仇舊恨一起算
這起黑客事件在美國政壇引起軒然大波,雖然特朗普正試圖淡化負面影響,但即將上任的拜登政府定會嚴肅對待,畢竟這算得上是新仇加舊恨。
在2016年大選年,俄羅斯黑客就對美國選舉系統發起了輪番攻擊,更在7月入侵了民主黨全國委員會(DNC)的郵件系統,披露對民主黨總統候選人希拉里的不利消息。當時奧巴馬政府擔心高調指責俄羅斯會削減選民對選舉公正的信心,不利於大概率勝選的希拉里,更多選擇了私下警告。據報道,奧巴馬當年9月在中國參加二十國集團峰會時,警告俄羅斯總統普京不要輕舉妄動。當時的副國安顧問、現獲拜登提名為國家情報總監的海恩斯(Avril Haines)則制定了一系列可能的報復計劃。
不過,雖然俄羅斯最後未有直接影響投票結果,但早已通過「電郵門」醜聞以及社交平台的假新聞,改變了許多選民的想法。在特朗普意外勝選後,奧巴馬政府匆匆地在經濟和外交層次懲罰俄羅斯。但這已來得太遲,想必當時整個奧巴馬政府瀰漫着強烈的後悔感。
而匯聚了眾多奧巴馬舊部的拜登政府,無疑會對俄羅斯做出遲來的懲罰。路透社指出,新政府正在考慮不同選項,包括實行新的經濟制裁,或是以牙還牙入侵對方的基礎建設。拜登提名的白宮幕僚長克萊恩(Ron Klain)還表示,白宮也會採取行動降低別國入侵的能力。
以拜登注重提高美國自身能力的政策風格來看,他除了可能加重制裁俄羅斯外,也會投入大量資源提升美國網絡安保系統,包括提前升級「愛因斯坦」系統;給網絡安全部門撥出更多資金——至少不會出現去年特朗普政府挪用網絡安全430萬美元資金用於給移民中心增設床位的情況; 調整政府的「前進防禦」策略,配之以更全面更激進的「威懾」策略等等。
整體而言,這次美國政府遭入侵事件給所有國家都上了一課,包括需要對於使用的第三方服務更嚴格地審查、調查該公司網絡安保情況,並及時圍堵政府安保防禦體系的漏洞等等。在現有國際法體系未能覆蓋網絡戰或網絡間諜的情況下,預計未來很長一段時間各國網絡戰還是只會遵循叢林法則,技高一籌者才能勝出。