美国国家安全委员会(NSC)下属网络统一协调小组(UCG)本周三宣布(下图),俄罗斯政府支持的高级持续威胁(APT)组织很可能是SolarWinds黑客攻击的幕后黑手。
UCG是SolarWinds供应链攻击曝光后由NSC成立的特别小组,以帮助情报机构更好地协调与SolarWinds间谍活动相关的事件调查和响应工作。
UCG指出:“该高级持续威胁(APT)攻击者可能来自俄罗斯,是造成美国政府网络和非政府网络最近发现的,正在进行的网络入侵事件(SolarWinds供应链攻击)的大部分或全部原因。目前,我们相信这(攻击)属于情报搜集工作。我们正在采取一切必要步骤来了解这场攻击活动的全部范围并作出相应的回应。”
UCG在FBI、CISA、ODNI和NSA的多个政府部门联合声明中还补充说,在最初的入侵事件发生后,只有10个美国政府机构受到后继黑客活动的攻击。
声明说:“UCG相信,Solar Winds Orion的木马化版本影响了大约18,000个公共和私营部门客户,但只有很少一部分遭到了利用后的后继攻击。”
据未经证实的媒体报道,FireEye追踪到协调此操作的黑客组织是UNC2452和Dark Haloby Volexity,并且怀疑是俄罗斯国家黑客组织APT29(Cozy Bear)。
俄罗斯上周否认与SolarWinds黑客存在联系,称俄罗斯“不进行网络领域的进攻性行动”。
FBI、DHS-CISA和ODNI在2020年12月17日发布的联合声明中首次正式承认了几个美国联邦网络的遭到入侵,包括美国财政部、美国国务院、美国NTIA、美国国立卫生研究院、DHS-CISA、能源部、国家核安全局和美国国土安全部。