震惊美国、被黑客入侵的“太阳风”与中共、加拿大有何关系?

加拿大多伦多枫叶农场 文锦

校对 小鸥 上传 WJ

图片来源:PCMag

12月13日晚,美国网络安全与基础设施安全局(CISA)发布了 紧急指令21-01,以应对涉及“太阳风猎户座”(SolarWinds Orion)产品的黑客攻击。该紧急指令要求所有联邦民用机构审查其网络,以发现危害的迹象,并立即断开或关闭“太阳风猎户座”产品的电源。 

CISA代理总监布兰登·威尔斯(Brandon Wales)说, “‘太阳风猎户座 ‘的网络管理产品被攻击给联邦网络安全带来了无法接受的风险。” “今晚的指令旨在减轻联邦民用网络内部的潜在黑客攻击,敦促所有公共和私营部门的合作伙伴评估他们遭受的风险,并保护其网络免受任何损害。” 

这是CISA根据国会在2015年《网络安全法》中授予的权限发布的第五个紧急指令。所有运行“太阳风”产品的机构都应在2020年12月14日星期一东部标准时间下午12点之前向CISA提供完成报告。 

大外宣甩锅俄罗斯

目前包括《华尔街日报》在内的大外宣网站均称该次黑客入侵与俄罗斯有关。但周日晚些时候,俄罗斯驻美国大使馆在脸书上发文否认从事任何不法行为。它说,美国媒体 “毫无根据地企图……因为美国政府机构遭受黑客攻击而嫁祸于俄罗斯”。该声明说,”俄罗斯没有在网络领域进行攻击性行动。”

“太阳风”是怎样一间公司?

图片来源:SolarWinds

维基百科显示“太阳风”于1999年在俄克拉荷马州塔尔萨市成立,在2006年,公司将总部迁至得克萨斯州奥斯汀。其产品主要有:网络性能监视器服务器、应用程序监控器访问权限管理器、网络配置管理器、NetFlow流量分析器、数据库性能分析器、安全事件管理器服务器以及配置监视器。

图片来源:SolarWinds

该公司网页显示,其客户包括:

  • 美国财富500强中的超过425家
  • 美国所有十大电信公司
  • 美国五大军种
  • 美国五角大楼、国务院、美国国家航空航天局、国家安全局、邮政服务局、国家海洋和大气管理局、司法部和美国总统办公室
  • 美国五大会计师事务所全部
  • 全球数百所大学和学院

可见“太阳风”的客户范围之广,对国家安全之重要。

“太阳风”受攻击过程

黑客通过对“太阳风”的“猎户座 IT”监视和管理软件进行了木马化更新来接触受害者。已知从2020年3月至2020年5月,对多个木马更新进行了数字签名,并发布到“太阳风”更新网站。

带有后门的软件上的SolarWinds数字签名 图片来源: FireEye

经过长达两周的初始休眠期后,它会检索并执行称为“作业”的命令,这些命令包括传输文件、执行文件、对系统进行配置文件、重新引导计算机以及禁用系统服务的功能。该恶意软件伪装成“猎户座”改进程序(OIP)协议的网络流量,并将侦察结果存储在合法的插件配置文件中,从而使其能够与合法的“太阳风”活动融为一体。后门使用多个混淆的阻止列表来识别作为进程、服务和驱动程序运行的取证和防病毒工具。

此次被黑客攻击,可能是有记录以来影响美国最严重的间谍活动之一。而网络安全公司火眼(FireEye)已在全球多个实体中检测到此黑客攻击,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘业实体,预计其他国家和行业也会有更多的受害者。

“太阳风”与中共国关系

在sourceforge网站上《比较2020年中(共)国顶级网络监控软件(Compare the Top Network Monitoring Software in China of 2020》》一文中可见“太阳风”公司。该公司提供的服务有:1) 主动监控客户网络上的一切–不仅仅是服务器和工作站–并快速排除故障; 2) 利用MFA、防病毒、集成的端点检测和响应、数据备份、磁盘加密、电子邮件保护和密码管理等功能,保持对威胁的关注 ;3) 使用规则和过滤器自动执行常规任务,按客户、站点或设备类型定制策略,以获得想要的精确性和控制力。

图片来源:Private Capital Journal

“太阳风”的主要股东是银湖投资公司(Silver Lake Partners)。银湖在中共国的投资额达数千亿美元,是蚂蚁金服在2018年最新一轮融资中最大的美国支持者。GNews曾有文章介绍《【中外挖掘机团队联合出品】美国银湖私募股权公司与中共盗国贼的关系》。推特上有人挖出银湖投资公司由布鲁金斯学会(Brookings Institution) 联合主席格伦·哈钦斯(Glenn Hutchins)共同创立,习近平的侄子、习远平之子习明正曾在该学会实习。银湖的联合首席执行官兼执行合伙人埃贡·德班(Egon Durban)是为中共进行言论审查的Twitter董事会成员。

“太阳风”与加拿大的关系

被利用来操纵美国大选的多米尼(Dominion)投票系统使用“太阳风”。

图片来源:Twitter

银湖和凯雷资本(Carlyle Group)是长期合作伙伴, 2010年,他们曾收购MultiPlan—一家技术支持型医疗成本管理公司。凯雷资本与多米尼投票系统公司有关,GNews文章《深度分析:投票机Dominion 背后的大佬—凯雷基金和马云!》曾报道过。

在“太阳风”公司网站2020年12月9日发布的新闻中提到加拿大养老金计划投资委员会(Canada Pension Plan Investment Board,简称CPPIB)进行了约3.15亿加元的二次投资。交易完成后,CPPIB在“太阳风”的所有权将约为5%。

图片来源:SolarWinds
加拿大养老金计划投资委员会简介 图片来源:Bloomberg

2017年起CPPIB与银湖同为奋进集团控股(Endeavor,原名WME-IMG)的战略合作伙伴。2016年初软银和富达投资了WME-IMG。该公司于2016年6月与红杉资本(Sequoia Capital),腾讯和方源资本(Fountainvest Partners)在中共国成立了一家合资企业。其中方源资本基金的投资方包括加拿大国家退休基金、安大略教师退休基金以及新加坡淡马锡控股 ,是目前专注中共国市场的规模最大的私募股权投资基金之一。

看到这里,加拿大人除了隔岸观火,还得摸摸荷包,问问特鲁多政府自己的养老金流向了何方?

为什么美国这场严重的黑客袭击偏偏发生在爆出百万中共党员名单后?又令人熟悉地甩锅给俄罗斯?俄罗斯已经声明这个锅我不背!反而是“太阳风”公司太多与中共国和加拿大的紧密关联,令人疑窦丛生。

参考链接:

CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS

Compare the Top Network Monitoring Software in China of 2020

习近平的侄子习明正2018年从美国大学毕业

Thread reader

Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor

WME | IMG Announces New Strategic Partnership With Canada Pension Plan Investment Board And GIC

Twitter Partners with Silver Lake and Elliott Management—Strengthens the Platform

+9
0 评论
Inline Feedbacks
View all comments