战斗民族又来搞事情？美国财政部被黑客监视长达数月，CISA 和 FBI 展开调查，俄罗斯被美点名谴责

黑客技术哪家强，美国称第二没人称第一。

网络安全局作为美国政府的官方技术部门，更是高手中的高手，这次居然没拦住外国黑客的进攻？

没错，就是没拦住。

最新消息，美国财政部居然被黑客监视了数月。

看来，这次的黑客组织还是个硬茬。

据路透社报道，近日，美国财政部发现他们遭遇了 APT 攻击，报道称该黑客组织不仅了攻击财政部和商务部的国家电信和信息管理局(NTIA，即微软 Office 365)，黑客可能还攻击了其他美国政府机构。

更为可怕的是，时间长达数月之久，而美国财政部最近才发现。

报道称，这一消息已得到美国政府方面的确认，FBI 已经展开了紧急调查工作。

目前还不清楚到底有哪些信息可能被窃取，或者哪个外国政府参与其中。

不过，他们将目标锁定在了一个叫做 “APT29”或“Cozy Bear”的黑客组织。

APT 攻击有多可怕？

美国之所以如此重视，就是因为 APT 攻击很可怕。

APT 是 Advanced Persistent Threat 的缩写，翻译成中文就是高级持续性威胁。

说的通俗点就是一群顶尖的黑客向目标服务器或者是网站有组织有纪律的疯狂输出，直到目标被攻破。

一般来说，APT 的攻击隐秘性极强，而且潜伏期长，可以持续搜集目标的关键信息。所以 APT 组织的攻击目标多数为政府、机构和企业，个人用户一般不会成为被攻击的目标。

而在网络的世界里，APT 组织就像中世纪的西班牙海盗，所到之处寸草不生，一旦遭遇，基本上也就没跑了。

举个例子，你就能知道它的厉害了。

2010 年，Google 在宣布退出大陆市场的两个月前曾受到了 APT 攻击，对方企图窃取包括 Google、Adobe 在内的 20 多家公司的重要源代码。

全球最大的专业安全技术公司 McAfee 表示，这次攻击真的是太凶猛了，不但使用了多种攻击手段和加密方式，还深入了公司内部的网络并巧妙的掩盖了自己的行动。

在攻击事件后，外国安全人士分析了这次网络攻防战，发现 APT 组织的这次攻击正是利用了 IE 浏览器的一个漏洞。

技术人员在分析恶意 exe 文件时，发现保存源代码的文件夹名为 Aurora（极光），最后大家把这次事件命名为 “ 极光行动 ”。

不过 APT 组织并不是俄罗斯独有的，各个国家和地区都分布着不同的 APT 组织。

而现在他们怀疑的这个 Cozy Bear 则更为可怕。

“Cozy Bear”被列为高级持续威胁 APT29，也被认为与俄罗斯情报局有关。它曾黑过五角大楼；除此之外“Cozy Bear”还与“奇幻熊（另一个俄罗斯黑客组织）”曾多次企图入侵荷兰各部，包括总务部。

“Cozy Bear”黑客组织同样参与了针对 DNC 的网络攻击活动，而该组织也被认为是俄罗斯联邦安全局 FSB 的下属黑客组织。

“Cozy Bear”被认为一直在进行长期的网络间谍活动，目标就是为了收集各种敏感的情报信息。在特朗普宣布赢得 2016 年美国总统大选的几个小时后，该组织便针对大量非政府组织的美国机构发动了一波网络攻击。

“Cozy Bear”的攻击目标还包括全球知名智库及私人组织。

从以上证据来看，Cozy Bear 也算是惯犯了。

这也是美国为什么如此重视的原因，因为一旦被证实是俄罗斯黑客攻击这就不仅仅只是一次黑客攻击了，而是会上升到政治问题。

路透社网络记者克里斯·宾在推文中这样写道：

“这是一个比单一机构更大的故事。这是一场针对美国政府及其利益的大型网络间谍活动。”

所有的一切似乎都指向了俄罗斯黑客组织。

为什么怀疑俄罗斯黑客组织？

那么，为什么美国政府一口咬定是俄罗斯黑客组织搞得鬼呢？

要说世界黑客哪家强，俄罗斯黑客和朝鲜黑客都榜上有名。

而俄罗斯黑客组织也经常被列为美国网络攻击的主要嫌疑人。

2017 年 10 月，《华尔街日报》称俄罗斯政府资助的黑客设法窃取了关于美国国家安全局(NSA)使用的机密间谍工具的极其敏感的信息。

2020 年 8 月，美国联邦调查局和国家安全局对 Drovorub 发出了联合警报，他们认为这是一种由俄罗斯总参谋部情报总局(GRU)开发的恶意软件，用于入侵基于 Linux 的系统。

而此次美国政府怀疑俄罗斯还有一个更为重要的理由。

上周，著名网络安全公司 FireEye 被黑客入侵在安全圈掀起了不小的波澜。

FireEye 是第一家通过美国国土安全部《安全法》认证的网络安全公司。

而火眼公司在网络安全公司的地位也是不容小觑。

公开资料显示，火眼的客户遍布 103 个国家/地区的 9600 多个客户，其中包括《福布斯》全球 2000 强企业的 50％ 以上，超过100％的《财富》 100 强公司使用了 Mandiant 服务；全球部署了 1700 万个虚拟机传感器，每小时阻止 5 万至 7 万确认的恶意事件，保护全球 1000 多个政府和执法机构，跟踪了 40个 APT 组和 11 个 FIN 组。

据华尔街日报报道，攻击者窃取了火眼用来检测和利用计算机系统弱点的红队工具，以便更好地防御它们。此外，攻击的目标数据主要与“某些政府客户”相关。

火眼也表示这是由一个“高度复杂的国家支持的对手。”

简言之，火眼公司认为，这个黑客组织不仅仅代表个人，而是有国家支持的。而这个矛头也指向了俄罗斯黑客组织。

值得注意的是，据路透社的报道，针对美国财政社的这一攻击很可能从夏天就开始了，而火眼公司遭遇到的攻击是近日才发现的。

今日下午，俄驻美大使馆在脸书（Facebook）上发布消息称：

“我们注意到美国媒体又一次毫无根据地企图指责俄罗斯黑客攻击美国家政府机构。俄方负责任地表示，攻击信息空间与俄罗斯外交政策原则、国家利益，以及对如何建立国家间关系的理解相矛盾。俄罗斯没有在虚拟环境中采取‘进攻性’行动”。

关于此事的后续，雷锋网也会持续关注。

雷锋网雷锋网雷锋网

参考来源：

【1】https://www.theverge.com/2020/12/13/22173035/hackers-russia-breached-us-government-agencies-email-cozy-bear?scrolla=5eb6d68b7fedc32c19ef33b4

【2】https://mashable.com/article/us-treasury-hacked-office-365/

【3】https://www.leiphone.com/news/201706/E7W6pdObFmt3LuHc.html

【4】https://www.hackread.com/us-federal-agencies-hacked-russian-hackers/

【5】https://appleinsider.com/articles/20/12/10/attackers-breach-cybersecurity-firm-fireeye-steal-hacking-tools

【6】https://appleinsider.com/articles/20/12/13/foreign-hackers-breach-us-treasury-department

【7】https://www.leiphone.com/news/201611/y3G6CBDgIHpn11RX.html