据路透社表示,五位知情人士告诉路透社,怀疑中国黑客利用了SolarWinds Corp去年制造的软件漏洞,从而入侵美国政府计算机。而联邦调查人员最近发现,受影响的组织包括美国农业部内部的联邦薪资管理机构国家金融中心,这使人们担心数千名政府雇员的数据可能遭到破坏。
他们认为,中国黑客利用的软件漏洞,与美国指责俄罗斯政府的特工通过劫持该公司的Orion网络监控软件来损害包括敏感的联邦机构在内的多达18,000名SolarWinds客户的漏洞是分开的。
安全研究人员此前曾说过,第二批黑客正在与所谓的俄罗斯黑客攻击同时滥用SolarWinds的软件,但此前尚未报道涉嫌与中国的联系以及随之而来的美国政府违规行为。
路透社无法确定有多少组织受到涉嫌中国行动的损害。消息人士不愿透露姓名地讨论正在进行的调查,他们说,攻击者使用了之前由国家支持的中国网络间谍部署的计算机基础设施和黑客工具。
美国农业部发言人在一封电子邮件中说:“美国农业部已通知所有客户(其个人和组织)其数据已受到SolarWinds Orion Code Compromise的影响。”
报道发表后,在一份后续声明中,美国农业部另一位发言人表示,NFC未被黑客入侵,该机构“没有与Solar Winds相关的数据泄露”。他没有提供进一步的解释。
中国外交部表示,将网络攻击归因于“复杂的技术问题”,任何指控都应有证据支持。并表示:“中国坚决反对和打击任何形式的网络攻击和网络盗窃。”
SolarWinds说,它知道有一个客户受到第二组黑客的攻击,但是“没有发现任何决定性的信息”来表明谁负责。该公司补充说,攻击者无法访问自己的内部系统,并且已于12月发布了更新以修复该错误。
就其所知的唯一客户端而言,SolarWinds表示,黑客仅在客户端网络内部滥用了其软件。SolarWinds没有透露黑客最初是如何进入的,只是说这“与SolarWinds无关”,联邦调查局也拒绝置评。
据调查过这两次攻击的四位人士和审查了这两套黑客使用的代码的外部专家说,尽管这两次间谍活动是重叠的,而且都针对美国政府,但它们是分开的,截然不同的行动。
尽管涉嫌的俄罗斯黑客深入渗透到SolarWinds网络并在Orion软件更新中隐藏了“后门”,然后将其发送给客户,但可疑的中国黑客利用Orion代码中的一个单独的错误来帮助在他们已经受到威胁的网络中传播,消息人士说。
并行任务显示了黑客如何将注意力集中在大型公司和政府机构广泛使用的晦涩但基本的软件产品上的弱点。
“显然,SolarWinds是多个集团的高价值目标。” Palo Alto Networks的Unit42威胁情报副总监Jen Miller-Osborn说。
美国前首席信息安全官格雷戈里·图希尔(Gregory Touhill)表示,针对同一软件产品的不同黑客群体并不少见。他说:“这不是我们第一次看到一个民族演员在别人后面冲浪,这就像在NASCAR上'起草',”他说,一辆赛车紧紧跟随另一辆赛车的领先优势。
据美国政府调查的安全分析师称,仅在最近几周才发现对SolarWinds客户的第二组攻击与可疑的中国黑客之间的联系。
路透社无法确定攻击者能够从国家金融中心(NFC)窃取哪些信息,或者他们深入其系统的深度。但是,前美国政府官员告诉路透社,其潜在影响可能是“巨大的”。
前官员说,NFC负责处理多个政府机构的工资单,包括一些参与国家安全的机构,例如联邦调查局,国务院,国土安全部和财政部。
NFC持有的记录包括联邦雇员的社会安全号码,电话号码和个人电子邮件地址以及银行信息。NFC在其网站上表示,“为160多个不同的机构提供服务,为600,000多名联邦雇员提供薪资服务。”
美国国土安全部前高级官员汤姆·沃里克(Tom Warrick)表示:“视泄露的数据而定,这可能会严重破坏安全性。” “它可以使对手更多地了解美国官员,从而提高他们收集情报的能力。”