美國國務卿龐畢歐18日受訪時表示,近來曝光的美國政府與民間機構遭到駭客攻擊事件,元凶是俄羅斯。這項駭客攻擊行動12日東窗事發,專家都將矛頭指向俄羅斯,但龐畢歐是第一個明確指稱俄羅斯涉嫌的政府高官。
龐畢歐(Mike Pompeo)並未點名駭客來自哪一個機構,但各方咸認俄羅斯聯邦對外情報局(Sluzhba vneshney razvedki,SVR)嫌疑最大。至於受害者,協助調查的微軟(Microsoft)公司已列出40多個政府機構、智庫、政府包商與科技公司,4分之3位於美國,加拿大、墨西哥、英國、比利時、西班牙、以色列、阿拉伯聯合大公國等美國盟邦也是苦主。
美國聯邦政府的受害者包括國務院、財政部、能源部、國土安全部、商務部、國家衛生研究院(NIH)。即將下台的川普總統向來親俄羅斯,對這一重大資安危機不聞不問。新任總統當選人拜登則誓言會讓犯案者付出沉重代價。
SVR在2014至2015年間也曾入侵白宮、參謀首長聯席會議(Joint Chiefs of Staff)與國務院的非保密(unclassified)電子郵件系統。
今年這一波攻擊目前尚未造成重大洩密或破壞,但專家研判駭客可能是在搜尋核武機密、先進武器設計藍圖、新冠肺炎疫苗研究資料,以及政府與企業領導人的個人資料。
微軟與資安公司「火眼」(FireEye)指出,俄羅斯駭客是利用美國一家軟體公司「太陽風」(SolarWinds)出品的網路管理軟體,植入惡意程式碼,感染使用並更新該軟體的客戶。
「太陽風」的產品頗受歡迎,客戶除了聯邦與地方政府機構、美國軍方,還包括《財星》雜誌500大榜單(Fortune 500)的大部分企業。據估計今年3月至6月間,全球約1萬8000家公私機構遭到感染,不過駭客只選擇一小部分「高價值目標」啟動惡意程式碼。
「太陽風」的網路管理平台相當複雜,駭客程式碼一旦植入,很不容易清除。遭感染的聯邦機構恐將耗時數月,才能將電腦系統清理乾淨。重量級資安專家許奈爾(Bruce Schneier)說:「我們麻煩大了,我們不知道駭客藏身的網絡,不知道他們藏得多深,不知道他們有何路徑,不知道他們使用什麼工具。」他還強調,想要確保系統安全無虞,唯一的辦法就是「打掉重練」。
另一位資安權威奧波洛維奇(Dmitri Alperovitch)也說:「我們要繫好安全帶,清理只是第一階段。」回想2014年至2015年與SVR駭客「肉搏戰」的經驗,他說:「那是一場噩夢。」