美國總統大選對於各國影響甚大,而針對總統大選網路攻擊事件,更是容易受到密切關注。在4月15日,從情報單位到白宮接連共發布三則公告,第1則是由美國國家安全局(NSA)、美國網路安全暨基礎架構安全署(CISA)與聯邦調查局(FBI)已發布聯合報告(於4月16日更新相關資訊連結),表示有俄羅斯聯邦對外情報局服務(Russian Foreign Intelligence Service,SVR)攻擊者,利用漏洞破壞美國及其相關盟友的網路,包括國家安全及政府相關系統。

第2則是白宮的公告,對於SolarWinds惡意活動回應的部分內容,他們表示SolarWinds Orion平臺及其他資訊技術基礎建設的網路間諜活動,是來自俄羅斯聯邦對外情報局(Russian Foreign Intelligence Service,SVR),亦稱為APT29,並提到SVR滲透SolarWinds軟體供應鏈,監視或破壞了全球1.6萬個電腦系統。

第3則是NSA發布關於SVR利用以下5個漏洞進行網路攻擊的報告:

CVE-2018-13379(Fortinet FortiGate VPN)
CVE-2019-9670(Synacor Zimbra Collaboration Suite)
CVE-2019-11510(Pulse Secure VPN)
CVE-2019-19781(Citrix ADC、Citrix Gateway)
CVE-2020-4006(VMware Workspace One)

在兩週後,4月26日,FBI與CISA還有美國國土安全部(DHS)聯合發布了代號為AA21-116A的警告,公開更多細節,他們表示已查出SVR網路運作的技術詳情,且還公告了調查報告。不過,對於整個攻擊事件的情況,他們未表明是否已落幕,或許後續還會有發展。

因此,由上述多個單位接連發布的資訊,可看到SVR網路攻擊的經過,而其攻擊目標,主要是針對政府網路、政策分析組織及資訊科技公司。他們表示,早在2018年以前,就發現有SVR的攻擊事件,當時是利用獲取受害者網路存取權並竊取資料,但SVR使用了特定工具來達到最大程度的隱藏效果,潛藏在受害者的內部網路環境中。而在2018年以後,FBI觀察到SVR已從受害者網路上使用惡意軟體,轉變為以雲端資源(特別是電子郵件)為目標,以獲取資訊。這在微軟Office 365的環境中,透過利用修改過的SolarWinds軟體獲得網路存取權限後,更能顯示這樣持續的趨勢。

而關於SVR的技術細節,在策略方面,是攻擊者利用密碼噴灑(Password Spraying),是利用常見的弱密碼配對有效帳號的一種攻擊手法,但與以往不同的是,是用弱密碼去識別是否為系統管理員帳號,但攻擊者為了不被受害者察覺,會以低頻率的方式嘗試入侵系統,一旦進到系統便可存取管理員權限,進而修改受害者的其他帳號或權限。FBI指出,雖然密碼噴灑也使用了大量IP地址,但這些IP地址都與受害者位於同一個國家或地區。而SVR取得存取權限的手法,在此FBI也提到攻擊者曾使用零時差漏洞(CVE-2019-19781),在VPN設備上進行攻擊,以獲得網路存取權。(編按:Citrix科技公司的VPN產品)

另外, SVR還有另一項策略是惡意軟體,在2020年的時候,英國、加拿大和美國政府將惡意軟體WellMess的攻擊也歸咎於APT29組織,而關於APT29,FBI曾提過是SVR的另一個名稱。而WellMess是由Go語言編寫的,主要功能是可遠端執行命令,及上傳或下載檔案。關於WellMess的攻擊活動,FBI表示,已知的惡意活動是針對新冠病毒的疫苗開發,攻擊者一樣也是利用漏洞入侵網路,進而部署惡意軟體。


熱門新聞

Advertisement