內部財政報告揭示了俄羅斯對SolarWinds的黑客攻擊 - 彭博社

Jason Leopold

2025-01-31

總部位於德克薩斯州奧斯汀的SolarWinds曾是近期最大網絡安全攻擊事件的中心。

攝影師：Niolas Asfouri/Getty Images 歡迎回到FOIA文件！上週我忙於提交數十份新的記錄請求，並閲讀從一些機構獲得的數百頁文件。我將在未來的通訊中討論我獲得的內容，敬請關注。接下來是我的最新收穫。我終於拿到了內部報告，這是財政部監察長關於其對2020年12月SolarWinds黑客事件調查的報告。對於那些不記得的人，這次黑客事件被微軟公司總裁布拉德·史密斯描述為“世界上最大和最複雜的攻擊”。如果你還沒有在收件箱中收到FOIA文件，請在這裏註冊。

首先，讓我們談談監察長。IGs，正如他們所稱，是政府的監督者。他們是獨立、公正的政府員工，負責對聯邦機構進行審計和調查，旨在揭露浪費、欺詐和濫用行為。他們往往是那些反對透明度的人的眼中釘。

FOIA文件的常規讀者知道我經常寫關於我從聯邦政府各個IG辦公室獲得的文件。他們的內部報告提供了對政府官僚機構的驚人洞察，使我能夠揭示幕後的情況。

好吧，上週五午夜左右，白宮解僱了至少17名IG，包括農業、勞動和國家部門的IG。每位監察長都收到了電子郵件通知他們“由於優先事項的變化，您的監察長職位…立即終止。”財政部的代理IG洛倫·西烏爾巴據報道是其中一位受害者。（IG辦公室的發言人拒絕發表評論。）

我正在努力獲取有關IG清洗的更多信息。如果您有想分享的信息，請隨時在這裏與我聯繫。

現在，回到我手頭的記錄！

“懶惰的堡壘”

關於財政部SolarWinds漏洞的部分編輯的文件是IG提供的透明度類型的完美例子。它們為黑客攻擊後的直接後果提供了迷人的視角，以及該機構的網絡安全響應似乎在哪些方面未能達到預期。（有關SolarWinds黑客攻擊的精彩入門，請閲讀我同事邁克爾·賴利的這篇故事。）

美國情報機構得出結論認為俄羅斯的對外情報局，或稱SVR，是此次攻擊的幕後黑手。黑客在SolarWinds的Orion網絡監控系統中植入了惡意代碼，該系統被政府和企業使用。當SolarWinds向客户發送Orion更新時，更新中包含了惡意代碼，使黑客能夠訪問聯邦政府員工的計算機。此次攻擊還波及了司法、能源、商務和國務院。

點擊這裏查看文件（第46頁）起初，我甚至不知道這些IG文件的存在。去年年初，我收到了一份來自財政部的單獨文件，概述了IG辦公室關閉的各種調查。我在一份文件上的內部案件標題“懶惰的堡壘”引起了我的注意。該文件表示，調查圍繞“幾名財政部員工的電子郵件賬户的未經授權訪問，這一行為是由一名授權軟件供應商提供給財政部的惡意程序造成的。”

這顯然與SolarWinds黑客事件有關。但我並不確定。財政部對此不予置評，我的消息來源也保持沉默。因此，我提交了關於“懶惰的堡壘”文件的FOIA請求。幾個月過去了。當我詢問狀態時，財政部表示，由於我的請求涉及機密文件，其他機構也必須參與，以確定可以發佈哪些信息。他們警告我不要指望在短期內收到文件。與其等待，我起訴財政部以加快發佈。上個月，該機構交出了超過40頁關於此次黑客事件的調查備忘錄。

點擊這裏查看文件（第31頁）### 高級目標

IG調查人員採訪了一些財政部員工——其中一些似乎是高級官員——他們的政府電子郵件賬户被入侵。一些人在財政部的外國資產控制辦公室（OFAC）工作，參與敏感調查，包括涉及俄羅斯的網絡農場、互聯網研究機構以及針對俄羅斯、敍利亞、烏克蘭和由俄羅斯億萬富翁奧列格·德里帕斯卡控制的公司的制裁計劃。

由於調查剛開始，財政部調查人員試圖弄清楚那些電子郵件賬户被黑客入侵的員工是否被特別針對。調查人員詢問他們是否有活躍的社交媒體賬户，是否在社交媒體帖子中自我標識為政府員工，是否與外國人會面或與外部人士討論他們的工作。但他們的回答中沒有任何值得注意的內容能夠將他們置於黑客的視線之中。

在調查初期，尚無法確定黑客盜取了什麼。不過，我發現文件中埋藏的細節非常有趣，這些細節揭示了財政部的工作和運作。例如，OFAC設有一個全球目標辦公室，由九人組成。中東和俄羅斯的全球團隊位於該辦公室內，其中還包括一位俄羅斯-烏克蘭主題專家。大約四到五名員工被分配到該小組，另外四到五名員工則處理敍利亞和白俄羅斯問題。

點擊這裏查看文件（第15頁）### 網絡安全

一個懸而未決的問題是財政部的安全團隊如何處理對泄露事件的響應。雖然關鍵參與者對他們自己的響應表示讚賞，但顯然存在一些真正的問題。

例如，負責該機構對黑客攻擊響應的“主要協調員”表示這次響應是“出色的”。該人員在財政部的計算機安全事件響應中心工作，該團隊在攻擊發生前八個月成立，由10人組成，且沒有全職員工。

該人員表示，財政部“為重大事件做好了準備”。但“應該做更多工作來檢測網絡泄露。”財政部“目前沒有專門人員負責審查計算機日誌文件，以識別異常或可疑的計算機活動。如果有的話，”該人員説，“被感染的SolarWinds設備造成的網絡流量本可以更早被識別和阻止。”

點擊這裏查看文件（第19頁）該人員補充説，財政部在應對黑客攻擊時並沒有缺少“神奇的軟件或硬件”。“最缺乏的是應對所需的人員。”

另一位在財政部不同網絡安全小組工作的人員告訴調查人員，他的團隊在應對黑客攻擊方面也做得“很好”。然而，“他最大的驚訝”是“事件首次曝光時，無法快速和輕鬆地進行溝通。”

該人士表示，由於員工的電子郵件被泄露，他們不得不使用加密消息應用程序Signal進行溝通，這在最初減緩了響應速度。

在2022年，距離SolarWinds黑客攻擊兩年後，財政部獲得了1億美元的資金——比前一年增加了2000萬美元——以增強其網絡安全基礎設施。該機構請求更多資金以資助今年的額外改進，並指出它“不斷受到包括國家和犯罪集團在內的大量威脅行為者的攻擊。”

事實上，即使財政部在網絡安全方面投入了所有資金，該機構似乎仍然脆弱。上個月，距離SolarWinds黑客攻擊近五年之際，財政部被中國國家支持的行為者黑客攻擊。至少3000個文件以及員工的用户名和密碼被盜。

有關於您認為我應該通過FOIA請求的文件的提示嗎？給我發郵件：[email protected]或在Signal上給我發消息：+1-213-270-4334。

內部財政報告揭示了俄羅斯對SolarWinds的黑客攻擊 - 彭博社

“懶惰的堡壘”

更多來自FOIA文件

更多來自彭博社