火眼CEO：中共對微軟發動大規模黑客攻擊

華盛頓特區，2017年3月30日。火眼公司（FireEye）首席執行官凱文·曼迪亞（Kevin Mandia）在參議院情報委員會作證。委員會聽取了有關主題為「虛假信息：俄羅斯的活躍措施和提高影響力運動簡介」（Disinformation: A Primer in Russian Active Measures and Influence campaign）的證詞。（Win McNamee/Getty Images）

更新 2021-03-12 11:12 AM 人氣 769

標籤: 火眼, 中共, 微軟, 黑客, 網絡安全, 曼迪亞, Exchange

【大紀元2021年03月12日訊】（大紀元記者高杉編譯報導）網絡安全公司已經將最近一起黑客攻擊事件的源頭歸咎於中共，該事件將運行微軟Exchange電子郵件程序的數萬台服務器暴露給了潛在黑客。一家著名網絡安全公司的首席執行官表示，現在看來很清楚，中共又發動了一場不加選擇的、自動化的第二波黑客攻擊，試圖為勒索軟件感染和其它網絡攻擊開闢道路。

據美聯社報導，火眼公司（FireEye）的凱文·曼迪亞（Kevin Mandia）對此表示，始於2月26日的第二波黑客攻擊，具有北京方面的精英網絡間諜的特徵，遠遠超過了一般網絡間諜活動的規範。從其規模來看，這次攻擊與今年1月份發現的第一波黑客攻擊所具有的高度針對性大相逕庭。

曼迪亞週二（3月9日）在接受美聯社採訪時說：「你永遠不會希望看到像中國（中共）這樣一個擁有進攻能力的現代國家——他們通常會用紀律來控制隱藏這種能力——突然發力攻擊10萬個系統。」

曼迪亞表示，他的公司根據取證得出的評估結果顯示，兩組中共政權支持的黑客，在數量尚未最後確定的系統上，大量安裝了自動播撒的、被稱為「網絡殼」（web shells）的後門。專家們擔心，大量後門很容易被犯罪分子利用，進行第二階段的勒索軟件感染，這些犯罪分子還利用自動化來識別和感染目標。

在全球範圍內，網絡安全團隊都正在忙於識別和維護被黑客攻擊的系統。週二（3月9日），美國全國州長協會（National Governors Association）向各州州長們發出了一份罕見的警報，要求他們加強「威脅嚴重程度的認識，以及地方政府、企業和關鍵基礎設施的運營商下一步應採取的措施。」

網絡安全公司TrustedSec的首席執行官大衛·肯尼迪（David Kennedy）週二在推特上表示，「『挖礦』加密貨幣的資源要求程序正在被安裝到一些受到威脅的交易所服務器上。

白宮稱這次黑客攻擊是一次「主動威脅」，但迄今為止，拜登還沒有敦促對中共採取強硬行動，也沒有對這兩波攻擊進行區分——至少沒有公開的相關消息。無論是白宮還是美國國土安全部都沒有就是否將第二波黑客攻擊浪潮歸咎於中共發表評論。

曼迪亞自1995年以來一直在與中共政權支持的黑客打交道，長期以來一直受到各國總統和總理的關注。曼迪亞的評估與華盛頓地區另一家網絡安全機構CrowdStrike的前首席技術官德米特里·阿爾佩羅維奇（Dmitri Alperovitch）的評估一致。阿爾佩羅維奇評論說，需要立即通知中共：關閉那些網絡外殼植入後門。

這一波自動創建後門的大範圍黑客攻擊，開始於微軟發布補丁的五天前，網絡安全公司Volexity發現了微軟在今年1月底首次發布的補丁的漏洞。該公司發現證據表明，這些漏洞早在1月3日就被中共政權支持的黑客所利用。研究人員說，這些黑客的目標是美國智庫、大學、國防承包商、律師事務所和傳染病研究中心。

曼迪亞說，突然之間，所有運行電子郵件服務器的組織，都感染了與已知中國黑客團伙有關的網絡殼攻擊。這些黑客團伙知道補丁即將發布，因此就匆忙地攻擊他們能攻擊的所有東西。

在火眼公司的辦公室裡，曼迪亞在接受採訪時評論說：「他們好像感覺到生命即將結束，所以他們變得很瘋狂。」「他們就像用機關槍掃射了整個網絡。」

曼迪亞還表示：「第二波感染攻擊可能沒有得到中共（政權）最高層的批准。」

他解釋說：「這與他們通常的做法不一致，」「很多時候，高層領導和一線執行者之間存在脫節。我所能告訴你的是，看到四個『零日漏洞』（zero days）被肆意利用，我感到很驚訝。」他還補充說：「如果你可以被這個攻擊所利用，在大多數情況下，你已經被利用了。」

「零日漏洞」是黑客發現的漏洞，又被稱為「零時差攻擊」，是指被發現後立即被惡意利用的安全漏洞，是用來撬開軟件中的祕密之門。它們的名字來源於部署後開始的修補倒計時。通俗地講，即安全補丁與瑕疵曝光的同一日內，相關的惡意程序就出現。在此次事件中，微軟在收到通知後花了28天才開發出一個補丁。

曼迪亞警告說，大規模的黑客攻擊不會引發任何關鍵的基礎設施故障或造成生命損失。「它不會流血的，但它凸顯出網絡空間沒有交戰規則，這是各國政府『在災難發生之前』就迫切需要解決的問題。」

在週一（3月8日）被問及是否就是黑客事件的幕後黑手時，中共駐華盛頓大使館指出，中共外交部發言人王文斌已於上週指出，中共「堅決反對並打擊各種形式的網絡攻擊和網絡盜竊」。他說，對於實施網絡攻擊的指責應該基於證據，而不是「毫無根據的進行指控。」

曼迪亞將此次微軟Exchange黑客攻擊事件與「太陽風」（SolarWinds）黑客行動相提並論，華盛頓將此歸咎於他的公司在去年12月發現的俄羅斯網絡情報精英特工。

曼迪亞表示：「太陽風攻擊非常隱祕，非常隱蔽，非常集中。黑客表現得很克制，他們追求深入而不是試圖擴大範圍。」他曾多次出席美國國會關於太陽風黑客攻擊事件的聽證會。而「此次的攻擊（Exchange）感覺範圍非常廣泛，但我還不知道它到底有多深。」

美國官員說，至少有9個聯邦機構和100多個私營部門目標受到太陽風黑客行動的影響。該行動以德克薩斯州一家公司的名字命名。該公司的網絡管理軟件被用來向1.8萬多名客戶植入惡意軟件。只有一小部分在這次行動中遭到黑客攻擊，這次行動持續了八個月而未被發現。

曼迪亞表示，俄羅斯情報人員手動侵入了60至100名不同受害者的網絡。安全研究人員說，電信、軟件公司和智囊團受到的攻擊尤其嚴重。