由美國聯邦調查局(FBI)、美國國土安全部旗下的網路安全暨基礎架構安全署(CISA)、國家情報總監(DNI)與國安局(NSA)共同組成的「網路統一協調小組」(Cyber Unified Coordination Group,UCG),在周二(1/5)發表一調查報告,指出可能是來自俄羅斯的進階持續性威脅(Advanced Persistent Threat,APT)團隊,應對近來大部份美國政府及非政府網路遭到攻擊的事件負責。

為了調查駭客藉由危害SolarWinds供應鏈以滲透美國聯邦機構的資安事件,由美國總統川普(Donald Trump)擔任主席的國家安全會議(National Security Council)籌組了UCG,在這個小組中,由NSA扮演支援的角色,其它成員則肩負不同的任務。

例如FBI負責辨識受害者、蒐集並分析證據以判斷攻擊來源,並與政府及私人企業分享調查結果,以建立情報資訊及改善網路防禦;CISA則聚焦於快速傳達重要資訊予聯邦機構,也打造了一個免費工具來偵測與該攻擊相關的惡意活動;DNI負責與情報界交流,確保擁有最新的情報以推動美國政府的緩解與回應行動;NSA同時與DNI及業界合作,評估此一資安事件的規模,並提供技術緩解措施。

不過,儘管UCG宣稱它們日以繼夜地調查,連假期都未鬆懈,但迄今仍無法百分之百地確定受到這起資安事件影響的範圍,連攻擊來源都僅說「可能」(likely)源自俄羅斯。

最新的調查結果顯示,雖然有接近1.8萬個組織採用了含有木馬的Solar Winds Orion系統,但只有非常少數的組織受到駭客的進一步攻擊,目前確定遭到駭客攻擊的美國聯邦組織不超過10個,也正在辨識及通知同樣遭到攻擊的私人組織。

一開始SolarWinds攻擊現形時,即有資安業者推測是源自俄羅斯的駭客集團,微軟亦曾暗示駭客來自俄羅斯,但俄羅斯大使館在被點名的同一天就發表了聲明,表示這是毫無根據的指控,宣稱俄羅斯不會在網路空間上執行攻擊行動。


Advertisement

更多 iThome相關內容