黑客技術(shù)哪家強(qiáng)，美國稱第二沒人稱第一。

網(wǎng)絡(luò)安全局作為美國政府的官方技術(shù)部門，更是高手中的高手，這次居然沒攔住外國黑客的進(jìn)攻？

沒錯，就是沒攔住。

最新消息，美國財政部居然被黑客監(jiān)視了數(shù)月。

看來，這次的黑客組織還是個硬茬。

據(jù)路透社報道，近日，美國財政部發(fā)現(xiàn)他們遭遇了 APT 攻擊，報道稱該黑客組織不僅了攻擊財政部和商務(wù)部的國家電信和信息管理局(NTIA，即微軟 Office 365)，黑客可能還攻擊了其他美國政府機(jī)構(gòu)。

更為可怕的是，時間長達(dá)數(shù)月之久，而美國財政部最近才發(fā)現(xiàn)。

報道稱，這一消息已得到美國政府方面的確認(rèn)，F(xiàn)BI 已經(jīng)展開了緊急調(diào)查工作。

目前還不清楚到底有哪些信息可能被竊取，或者哪個外國政府參與其中。

不過，他們將目標(biāo)鎖定在了一個叫做 “APT29”或“Cozy Bear”的黑客組織。

APT 攻擊有多可怕？

美國之所以如此重視，就是因為 APT 攻擊很可怕。

APT 是 Advanced Persistent Threat 的縮寫，翻譯成中文就是高級持續(xù)性威脅。

說的通俗點就是一群頂尖的黑客向目標(biāo)服務(wù)器或者是網(wǎng)站有組織有紀(jì)律的瘋狂輸出，直到目標(biāo)被攻破。

一般來說，APT 的攻擊隱秘性極強(qiáng)，而且潛伏期長，可以持續(xù)搜集目標(biāo)的關(guān)鍵信息。所以 APT 組織的攻擊目標(biāo)多數(shù)為政府、機(jī)構(gòu)和企業(yè)，個人用戶一般不會成為被攻擊的目標(biāo)。

而在網(wǎng)絡(luò)的世界里，APT 組織就像中世紀(jì)的西班牙海盜，所到之處寸草不生，一旦遭遇，基本上也就沒跑了。

舉個例子，你就能知道它的厲害了。

2010 年，Google 在宣布退出大陸市場的兩個月前曾受到了 APT 攻擊，對方企圖竊取包括 Google、Adobe 在內(nèi)的 20 多家公司的重要源代碼。

全球最大的專業(yè)安全技術(shù)公司 McAfee 表示，這次攻擊真的是太兇猛了，不但使用了多種攻擊手段和加密方式，還深入了公司內(nèi)部的網(wǎng)絡(luò)并巧妙的掩蓋了自己的行動。

在攻擊事件后，外國安全人士分析了這次網(wǎng)絡(luò)攻防戰(zhàn)，發(fā)現(xiàn) APT 組織的這次攻擊正是利用了 IE 瀏覽器的一個漏洞。

技術(shù)人員在分析惡意 exe 文件時，發(fā)現(xiàn)保存源代碼的文件夾名為 Aurora（極光），最后大家把這次事件命名為 “ 極光行動 ”。

不過 APT 組織并不是俄羅斯獨有的，各個國家和地區(qū)都分布著不同的 APT 組織。

而現(xiàn)在他們懷疑的這個 Cozy Bear 則更為可怕。

“Cozy Bear”被列為高級持續(xù)威脅 APT29，也被認(rèn)為與俄羅斯情報局有關(guān)。它曾黑過五角大樓；除此之外“Cozy Bear”還與“奇幻熊（另一個俄羅斯黑客組織）”曾多次企圖入侵荷蘭各部，包括總務(wù)部。

“Cozy Bear”黑客組織同樣參與了針對 DNC 的網(wǎng)絡(luò)攻擊活動，而該組織也被認(rèn)為是俄羅斯聯(lián)邦安全局 FSB 的下屬黑客組織。

“Cozy Bear”被認(rèn)為一直在進(jìn)行長期的網(wǎng)絡(luò)間諜活動，目標(biāo)就是為了收集各種敏感的情報信息。在特朗普宣布贏得 2016 年美國總統(tǒng)大選的幾個小時后，該組織便針對大量非政府組織的美國機(jī)構(gòu)發(fā)動了一波網(wǎng)絡(luò)攻擊。

“Cozy Bear”的攻擊目標(biāo)還包括全球知名智庫及私人組織。

從以上證據(jù)來看，Cozy Bear 也算是慣犯了。

這也是美國為什么如此重視的原因，因為一旦被證實是俄羅斯黑客攻擊這就不僅僅只是一次黑客攻擊了，而是會上升到政治問題。

路透社網(wǎng)絡(luò)記者克里斯·賓在推文中這樣寫道：

“這是一個比單一機(jī)構(gòu)更大的故事。這是一場針對美國政府及其利益的大型網(wǎng)絡(luò)間諜活動。”

所有的一切似乎都指向了俄羅斯黑客組織。

為什么懷疑俄羅斯黑客組織？

那么，為什么美國政府一口咬定是俄羅斯黑客組織搞得鬼呢？

要說世界黑客哪家強(qiáng)，俄羅斯黑客和朝鮮黑客都榜上有名。

而俄羅斯黑客組織也經(jīng)常被列為美國網(wǎng)絡(luò)攻擊的主要嫌疑人。

2017 年 10 月，《華爾街日報》稱俄羅斯政府資助的黑客設(shè)法竊取了關(guān)于美國國家安全局(NSA)使用的機(jī)密間諜工具的極其敏感的信息。

2020 年 8 月，美國聯(lián)邦調(diào)查局和國家安全局對 Drovorub 發(fā)出了聯(lián)合警報，他們認(rèn)為這是一種由俄羅斯總參謀部情報總局(GRU)開發(fā)的惡意軟件，用于入侵基于 Linux 的系統(tǒng)。

而此次美國政府懷疑俄羅斯還有一個更為重要的理由。

上周，著名網(wǎng)絡(luò)安全公司 FireEye 被黑客入侵在安全圈掀起了不小的波瀾。

FireEye 是第一家通過美國國土安全部《安全法》認(rèn)證的網(wǎng)絡(luò)安全公司。

而火眼公司在網(wǎng)絡(luò)安全公司的地位也是不容小覷。

公開資料顯示，火眼的客戶遍布 103 個國家/地區(qū)的 9600 多個客戶，其中包括《福布斯》全球 2000 強(qiáng)企業(yè)的 50％ 以上，超過100％的《財富》 100 強(qiáng)公司使用了 Mandiant 服務(wù)；全球部署了 1700 萬個虛擬機(jī)傳感器，每小時阻止 5 萬至 7 萬確認(rèn)的惡意事件，保護(hù)全球 1000 多個政府和執(zhí)法機(jī)構(gòu)，跟蹤了 40個 APT 組和 11 個 FIN 組。

據(jù)華爾街日報報道，攻擊者竊取了火眼用來檢測和利用計算機(jī)系統(tǒng)弱點的紅隊工具，以便更好地防御它們。此外，攻擊的目標(biāo)數(shù)據(jù)主要與“某些政府客戶”相關(guān)。

火眼也表示這是由一個“高度復(fù)雜的國家支持的對手?！?/p>

簡言之，火眼公司認(rèn)為，這個黑客組織不僅僅代表個人，而是有國家支持的。而這個矛頭也指向了俄羅斯黑客組織。

值得注意的是，據(jù)路透社的報道，針對美國財政社的這一攻擊很可能從夏天就開始了，而火眼公司遭遇到的攻擊是近日才發(fā)現(xiàn)的。

今日下午，俄駐美大使館在臉書（Facebook）上發(fā)布消息稱：

“我們注意到美國媒體又一次毫無根據(jù)地企圖指責(zé)俄羅斯黑客攻擊美國家政府機(jī)構(gòu)。俄方負(fù)責(zé)任地表示，攻擊信息空間與俄羅斯外交政策原則、國家利益，以及對如何建立國家間關(guān)系的理解相矛盾。俄羅斯沒有在虛擬環(huán)境中采取‘進(jìn)攻性’行動”。

關(guān)于此事的后續(xù)，雷鋒網(wǎng)也會持續(xù)關(guān)注。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

參考來源：

【1】https://www.theverge.com/2020/12/13/22173035/hackers-russia-breached-us-government-agencies-email-cozy-bear?scrolla=5eb6d68b7fedc32c19ef33b4

【2】https://mashable.com/article/us-treasury-hacked-office-365/

【3】http://www.ozgbdpf.cn/news/201706/E7W6pdObFmt3LuHc.html

【4】https://www.hackread.com/us-federal-agencies-hacked-russian-hackers/

【5】https://appleinsider.com/articles/20/12/10/attackers-breach-cybersecurity-firm-fireeye-steal-hacking-tools

【6】https://appleinsider.com/articles/20/12/13/foreign-hackers-breach-us-treasury-department

【7】http://www.ozgbdpf.cn/news/201611/y3G6CBDgIHpn11RX.html

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。