美國SolarWinds公司因為組織被駭,導致軟體中被植入木馬,造成目前被業界稱為史上最重大的資安危機。不過,該公司的前CEO最近正試圖把問題推在一位實習生的頭上。
美國爆出近年來被視為最重大的資安危機,疑似來自俄羅斯的駭客,滲透了SolarWinds公司的軟體,於他們Orion Platform產品中植入了木馬,進而危害採用該平台的組織。由於SolarWinds業務為幫助企業管理網路、系統和資訊基礎設施,許多美國重要的公家以及企業單位都有採用該服務,因此全球有1.8萬個組織採用了被植入木馬的Orion Platform版本,許多機構都是潛在的受害對象。
不過,駭客也並非對所有機構都展開無差別攻擊。目前為止,資安單位表示駭客僅鎖定當中的50到70家左右的公、私機構展開攻擊。根據媒體的披露,包括美國商務部、財政部、國土安全部、國家衛生研究院、國務院、能源部及司法部,以及美國太空總署及聯邦航空總署都在受駭名單。
伺服器使用密碼為「solarwinds123」
雖然造成這麼重大的危機, 但是至今多個單位依然在調查,到底駭客是怎麼入侵SolarWinds內部的?追查的方向有很多,也因此暴露出來SolarWinds內部似乎也有許多管理上的問題。其中之一,就是2019年就曾有一位安全研究人員發現,網路上有人曝光SolarWinds伺服器使用的密碼為「solarwinds123」。
上週五,在眾議院監督委員會和國土安全委員會的聯合聽證會上,幾位美國議員就這個密碼問題向SolarWinds公司的前CEO Kevin Thompson開炮。
「連我都懂得要設一個比'solarwinds123'更強的密碼,以阻止我的孩子在iPad上看太多YouTube,」眾議員Katie Porter說。「然而你和你的公司,本來是要防止俄羅斯駭客來閱讀美國國防部的電子郵件的!」
面對眾議員的質詢,Kevin Thompson表示,密碼問題是「一個實習生犯的錯誤」。
「他們違反了我們的密碼政策,他們在內部、在自己的私人Github帳戶上發佈了這個密碼。不過,隨後就馬上被發現並引起我的安全團隊的注意,他們就把那東西撤下來了。」
不過,Kevin Thompson並沒有在現場向眾議員解釋,為什麼像是SolarWinds負責眾多美國機構基礎建設的這麼重要的一間軟體公司,會允許使用「solarwinds123」這樣的密碼。
SolarWinds的現任CEO Sudhakar Ramakrishna在稍後的作證,針對同一個問題表示這個密碼早在2017年就已經在使用了。「我相信那是一名實習生在2017年時在他的一台Github伺服器上使用的密碼,這被報告給了我們的安全團隊,並立即被刪除。」
但是他所謂的「立即」的時間,似乎要比一般人所認知的「立即」要久的多。因為根據業界安全人員Vinoth Kumar先前的說法,在SolarWinds於2019年11月糾正該問題「立即刪除」之前,至少從2018年6月起就可以在網上獲取密碼。
三種可能攻擊途徑
根據微軟總裁兼首席法務長Brad Smith在聽證會上出席作證表示,沒有證據表明五角大樓實際上受到了俄羅斯間諜活動的影響。不過,微軟向眾議員表示,有「實質性證據」證明俄羅斯是破壞性駭客的幕後黑手。
但目前仍不清楚在美國歷史上最嚴重的安全漏洞的這起事件中,洩露的密碼可能在使疑似俄羅斯駭客監視多個聯邦機構和企業方面扮演了什麼角色(如果有的話)。
SolarWinds現任CEO Sudhakar Ramakrishna表示,SolarWinds正在探索的可能入侵模式,除了上述的密碼洩露之外,包括採用暴力攻擊猜測公司密碼,以及駭客可能通過受損的第三方軟體進入。
駭客在這次的攻擊成功入侵了SolarWinds內部網路之後,繼續潛伏並且在軟體更新中隱藏了他們的惡意程式碼,然後SolarWinds向大約18000名客戶推送,包括許多聯邦機構。
Kumar和SolarWinds之間的電子郵件顯示,洩露的密碼允許駭客其登錄並成功地將文件存入該公司的伺服器。Kumar警告說,利用這種策略,任何駭客都可以向SolarWinds上傳惡意程式。
在聽證會上,資安公司FireEye首席執行長Kevin Mandia表示,業界可能無法完全確定這批疑似俄羅斯駭客造成的損失有多大。「我們可能永遠無法估計出損害的範圍和程度,以及可能永遠不知道被竊取的資訊是如何使對手受益的。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!