震驚美國、被黑客入侵的“太陽風”與中共、加拿大有何關系?

加拿大多倫多楓葉農場 文錦

校對 小鷗 上傳 WJ

圖片來源:PCMag

12月13日晚,美國網絡安全與基礎設施安全局(CISA)發布了 緊急指令21-01,以應對涉及“太陽風獵戶座”(SolarWinds Orion)產品的黑客攻擊。該緊急指令要求所有聯邦民用機構審查其網絡,以發現危害的跡象,並立即斷開或關閉“太陽風獵戶座”產品的電源。 

CISA代理總監布蘭登·威爾斯(Brandon Wales)說, “‘太陽風獵戶座 ‘的網絡管理產品被攻擊給聯邦網絡安全帶來了無法接受的風險。” “今晚的指令旨在減輕聯邦民用網絡內部的潛在黑客攻擊,敦促所有公共和私營部門的合作夥伴評估他們遭受的風險,並保護其網絡免受任何損害。” 

這是CISA根據國會在2015年《網絡安全法》中授予的權限發布的第五個緊急指令。所有運行“太陽風”產品的機構都應在2020年12月14日星期一東部標準時間下午12點之前向CISA提供完成報告。 

大外宣甩鍋俄羅斯

目前包括《華爾街日報》在內的大外宣網站均稱該次黑客入侵與俄羅斯有關。但周日晚些時候,俄羅斯駐美國大使館在臉書上發文否認從事任何不法行為。它說,美國媒體 “毫無根據地企圖……因為美國政府機構遭受黑客攻擊而嫁禍於俄羅斯”。該聲明說,”俄羅斯沒有在網絡領域進行攻擊性行動。”

“太陽風”是怎樣一間公司?

圖片來源:SolarWinds

維基百科顯示“太陽風”於1999年在俄克拉荷馬州塔爾薩市成立,在2006年,公司將總部遷至得克薩斯州奧斯汀。其產品主要有:網絡性能監視器服務器、應用程序監控器訪問權限管理器、網絡配置管理器、NetFlow流量分析器、數據庫性能分析器、安全事件管理器服務器以及配置監視器。

圖片來源:SolarWinds

該公司網頁顯示,其客戶包括:

•             美國財富500強中的超過425家

•             美國所有十大電信公司中

•             美國五大軍種

•             美國五角大樓、國務院、美國國家航空航天局、國家安全局、郵政服務局、國家海洋和大氣管理局、司法部和美國總統辦公室

•             美國五大會計師事務所全部

•             全球數百所大學和學院

可見“太陽風”的客戶範圍之廣,對國家安全之重要。

“太陽風”受攻擊過程

黑客通過對“太陽風”的“獵戶座 IT”監視和管理軟件進行了木馬化更新來接觸受害者。已知從2020年3月至2020年5月,對多個木馬更新進行了數字簽名,並發布到“太陽風”更新網站。

帶有後門的軟件上的SolarWinds數字簽名 圖片來源: FireEye

經過長達兩周的初始休眠期後,它會檢索並執行稱為“作業”的命令,這些命令包括傳輸文件、執行文件、對系統進行配置文件、重新引導計算機以及禁用系統服務的功能。該惡意軟件偽裝成“獵戶座”改進程序(OIP)協議的網絡流量,並將偵察結果存儲在合法的插件配置文件中,從而使其能夠與合法的“太陽風”活動融為一體。後門使用多個混淆的阻止列表來識別作為進程、服務和驅動程序運行的取證和防病毒工具。

此次被黑客攻擊,可能是有記錄以來影響美國最嚴重的間諜活動之一。而網絡安全公司火眼(FireEye)已在全球多個實體中檢測到此黑客攻擊,受害者包括北美、歐洲、亞洲和中東的政府、咨詢、技術、電信和采掘業實體,預計其他國家和行業也會有更多的受害者。

“太陽風”與中共國關系

在sourceforge網站上《比較2020年中(共)國頂級網絡監控軟件(Compare the Top Network Monitoring Software in China of 2020》》一文中可見“太陽風”公司。該公司提供的服務有:1) 主動監控客戶網絡上的一切–不僅僅是服務器和工作站–並快速排除故障; 2) 利用MFA、防病毒、集成的端點檢測和響應、數據備份、磁盤加密、電子郵件保護和密碼管理等功能,保持對威脅的關註 ;3) 使用規則和過濾器自動執行常規任務,按客戶、站點或設備類型定制策略,以獲得想要的精確性和控制力。

圖片來源:Private Capital Journal

“太陽風”的主要股東是銀湖投資公司(Silver Lake Partners)。銀湖在中共國的投資額達數千億美元,是螞蟻金服在2018年最新一輪融資中最大的美國支持者。GNews曾有文章介紹《【中外挖掘機團隊聯合出品】美國銀湖私募股權公司與中共盜國賊的關系》。推特上有人挖出銀湖投資公司由布魯金斯學會(Brookings Institution) 聯合主席格倫·哈欽斯(Glenn Hutchins)共同創立,習近平的侄子、習遠平之子習明正曾在該學會實習。銀湖的聯合首席執行官兼執行合夥人埃貢·德班(Egon Durban)是為中共進行言論審查的Twitter董事會成員。

“太陽風”與加拿大的關系

被利用來操縱美國大選的多米尼(Dominion)投票系統使用“太陽風”。

圖片來源:Twitter

銀湖和凱雷資本(Carlyle Group)是長期合作夥伴, 2010年,他們曾收購MultiPlan—一家技術支持型醫療成本管理公司。凱雷資本與多米尼投票系統公司有關,GNews文章《深度分析:投票機Dominion 背後的大佬—凱雷基金和馬雲!》報道過。

在“太陽風”公司網站2020年12月9日發布的新聞中提到加拿大養老金計劃投資委員會(Canada Pension Plan Investment Board,簡稱CPPIB)進行了約3.15億加元的二次投資。交易完成後,CPPIB在“太陽風”的所有權將約為5%。

圖片來源:SolarWinds
加拿大養老金計劃投資委員會簡介 圖片來源:Bloomberg

2017年起CPPIB與銀湖同為奮進集團控股(Endeavor,原名WME-IMG)的戰略合作夥伴。2016年初軟銀和富達投資了WME-IMG。該公司於2016年6月與紅杉資本(Sequoia Capital),騰訊和方源資本(Fountainvest Partners)在中共國成立了一家合資企業。其中方源資本基金的投資方包括加拿大國家退休基金、安大略教師退休基金以及新加坡淡馬錫控股 ,是目前專註中共國市場的規模最大的私募股權投資基金之一。

看到這裏,加拿大人除了隔岸觀火,還得摸摸荷包,問問特魯多政府自己的養老金流向了何方?

為什麽美國這場嚴重的黑客襲擊偏偏發生在爆出百萬中共黨員名單後?又令人熟悉地甩鍋給俄羅斯?俄羅斯已經聲明這個鍋我不背!反而是“太陽風”公司太多與中共國和加拿大的緊密關聯,令人疑竇叢生。

參考鏈接:

CISA ISSUES EMERGENCY DIRECTIVE TO MITIGATE THE COMPROMISE OF SOLARWINDS ORION NETWORK MANAGEMENT PRODUCTS

Compare the Top Network Monitoring Software in China of 2020

习近平的侄子习明正2018年从美国大学毕业

Thread reader

Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor

WME | IMG Announces New Strategic Partnership With Canada Pension Plan Investment Board And GIC

Twitter Partners with Silver Lake and Elliott Management—Strengthens the Platform

0
0 則留言
Inline Feedbacks
View all comments