美國政府發布遭俄羅斯網路攻擊的詳細資訊

美國總統大選對於各國影響甚大，而針對總統大選網路攻擊事件，更是容易受到密切關注。在4月15日，從情報單位到白宮接連共發布三則公告，第1則是由美國國家安全局（NSA）、美國網路安全暨基礎架構安全署（CISA）與聯邦調查局（FBI）已發布聯合報告（於4月16日更新相關資訊連結），表示有俄羅斯聯邦對外情報局服務（Russian Foreign Intelligence Service，SVR）攻擊者，利用漏洞破壞美國及其相關盟友的網路，包括國家安全及政府相關系統。

而第2則是白宮的公告，對於SolarWinds惡意活動回應的部分內容，他們表示SolarWinds Orion平臺及其他資訊技術基礎建設的網路間諜活動，是來自俄羅斯聯邦對外情報局（Russian Foreign Intelligence Service，SVR），亦稱為APT29，並提到SVR滲透SolarWinds軟體供應鏈，監視或破壞了全球1.6萬個電腦系統。

第3則是NSA發布關於SVR利用以下5個漏洞進行網路攻擊的報告：

●CVE-2018-13379（Fortinet FortiGate VPN）
●CVE-2019-9670（Synacor Zimbra Collaboration Suite）
●CVE-2019-11510（Pulse Secure VPN）
●CVE-2019-19781（Citrix ADC、Citrix Gateway）
●CVE-2020-4006（VMware Workspace One）

在兩週後，4月26日，FBI與CISA還有美國國土安全部（DHS）聯合發布了代號為AA21-116A的警告，公開更多細節，他們表示已查出SVR網路運作的技術詳情，且還公告了調查報告。不過，對於整個攻擊事件的情況，他們未表明是否已落幕，或許後續還會有發展。

因此，由上述多個單位接連發布的資訊，可看到SVR網路攻擊的經過，而其攻擊目標，主要是針對政府網路、政策分析組織及資訊科技公司。他們表示，早在2018年以前，就發現有SVR的攻擊事件，當時是利用獲取受害者網路存取權並竊取資料，但SVR使用了特定工具來達到最大程度的隱藏效果，潛藏在受害者的內部網路環境中。而在2018年以後，FBI觀察到SVR已從受害者網路上使用惡意軟體，轉變為以雲端資源（特別是電子郵件）為目標，以獲取資訊。這在微軟Office 365的環境中，透過利用修改過的SolarWinds軟體獲得網路存取權限後，更能顯示這樣持續的趨勢。

而關於SVR的技術細節，在策略方面，是攻擊者利用密碼噴灑（Password Spraying），是利用常見的弱密碼配對有效帳號的一種攻擊手法，但與以往不同的是，是用弱密碼去識別是否為系統管理員帳號，但攻擊者為了不被受害者察覺，會以低頻率的方式嘗試入侵系統，一旦進到系統便可存取管理員權限，進而修改受害者的其他帳號或權限。FBI指出，雖然密碼噴灑也使用了大量IP地址，但這些IP地址都與受害者位於同一個國家或地區。而SVR取得存取權限的手法，在此FBI也提到攻擊者曾使用零時差漏洞（CVE-2019-19781），在VPN設備上進行攻擊，以獲得網路存取權。（編按：Citrix科技公司的VPN產品）

另外， SVR還有另一項策略是惡意軟體，在2020年的時候，英國、加拿大和美國政府將惡意軟體WellMess的攻擊也歸咎於APT29組織，而關於APT29，FBI曾提過是SVR的另一個名稱。而WellMess是由Go語言編寫的，主要功能是可遠端執行命令，及上傳或下載檔案。關於WellMess的攻擊活動，FBI表示，已知的惡意活動是針對新冠病毒的疫苗開發，攻擊者一樣也是利用漏洞入侵網路，進而部署惡意軟體。