热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

解读美国国会关于OPM数据泄露事件的调查报告

2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人

2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。泄露内容包括详细个人信息,如社会安全码、姓名、出生年月、居住地址、教育工作经历、家庭成员和个人财务信息等。美官员声称,这是美国政府历史上最大的数据泄露案件之一。美国前高级反间谍官员布伦纳(Joel Brenner)表示,对外国情报机关来说,这些信息简直就是金矿或者皇冠上的明珠。

OPM攻击最早由美国计算机应急响应中心(US-CERT)通过爱因斯坦入侵检测系统(Einstein)发现,但US-CERT声称OPM网络可能早于爱因斯坦系统部署前就已被渗透。

9月7日,美众议院监督和政府改革委员会公布了名为《The OPM Data Breach: How the Government Jeopardized Our NationalSecurity for More than a Generation》的调查报告,报告指出OPM从根本上缺乏防患于未然的意识,简单的“亡羊补牢”措施,导致了如此严重的后果。

调查报告批评OPM领导不力,虽然多年来一直受到信息安全警告,但却从未采取有效行动保护其存储的大量敏感数据。报告认为,只要OPM采取基本的安全防范措施,加强安全意识,信息泄露事件或许就不会发生。我们来简要了解一下这份241页的调查报告:

1 概要

黑客所窃取数据的重要性:

黑客从OPM盗走的SF-86表格信息涉及美国政府雇员、国家安全雇员、情报人员、军人和承包商等,由于国家安全或涉密领域相关的联邦雇员必须进行背景安全调查,调查要求填写的SF-86表格涉及个人过往和现在的大量隐私信息,包括社会安全码、出生年月、居住地址、教育经历、家庭成员和个人财务信息等,这些信息一旦被非法利用,将对美国家安全造成威胁。

首次事件:

根据报告,美国土安全部(DHS)早在2012年7月就对OPM发出入侵攻击警告,2014年3月,DHS爱因斯坦入侵检测系统监测到OPM数据遭到泄露, OPM网络在晚上22时到次日上午10时经常出现可疑异常流量,经分析,这是黑客在半夜进行大量资料的窃取活动。

后续事件:

2014年3月,经过取证分析,OPM发现了第一位入侵系统的黑客X1,之后几个月OPM与FBI、NSA和其它机构合作对这位黑客展开监控调查,并拟定“大爆炸”(Big Bang)计划,准备在2014年5月将这位X1黑客“驱逐”出系统。

出乎所有人预料,在“大爆炸”计划之前,另一名假冒OPM承包商身份的黑客X2,早已入侵OPM系统并安装了恶意软件,而所有人都不知道它的存在。

“大爆炸”计划之后,黑客X2潜伏于OPM网络系统。2014年7月至8月,X2窃取了OPM的背景安全调查文件;2014年12月,X2窃取了OPM的人事档案资料;2015年初,X2窃取了OPM大量指纹数据。

然而,OPM于2015年4月才发现黑客X2入侵了其网络系统。

2 关键事件节点

数据泄露事件发生后,经过OPM的调查和回顾,罗列了以下一些关键事件的时间节点:

2012年7月,据US-CERT报告,OPM网络遭到黑客入侵,在其中一台服务器上发现了植入的Hikit后门软件;

2013年11月,黑客攻击活动产生了第一条线索;

2013年12月,黑客攻击活动产生了数据窃取线索(包括后续的OPM承包商认证信息窃取);

2014年3月20日,US-CERT警告OPM网络中存在数据窃取活动,之后,OPM与US-CERT联合以反间谍为由实施“Big Bang”计划,在网络中监控攻击者(X1)。此次具体泄露数据未知;

2014年3月27日,在OPM监控黑客X1过程中,甚至还计划了“必要时关闭整个系统“的方案;

2014年4月21日,OPM承包商SRA发现了一种特定的恶意软件,并引起了US-CERT的关注;

2014年4月25日,黑客为后续C&C和窃取数据之用,注册了域名“opmsecurity.org”,注册人名称为Steven Rogers(美国队长);

2014年5月7日,攻击者X2以OPM承包商KeyPoint雇员身份,使用OPM认证信息远程登录进入网络,安装后门软件PlugX,然而,此时,OPM因为在执行监控黑客X1的“BigBang”计划,而完全没留意到黑客X2;

2014年5月27日,由于黑客X1向一些数据库管理平台植入了键盘记录程序,无限接近背景调查资料处理系统PIPS,OPM不得不关闭了被黑客入侵的计算机系统;

然而,与此同时,于5月7日植入后门的黑客X2还继续潜伏在OPM网络中;

2014年6月5日,黑客通过不同的管理员账户权限成功在某KeyPoint网站服务器中安装了恶意软件;

2014年6月20日,攻击者执行RDP协议会话,远程连接储存有重要敏感信息的服务器;

2014年7月-8月,攻击者成功从OPM系统窃取了背景调查资料;

2014年7月9日,OPM正式承认其个人身份信息遭到攻击泄露;

2014年7月29日,攻击者在入侵OPM系统期间,为C&C之用,注册了域名“opmlearning.org”,注册人名称为Tony Stark(钢铁侠);

2014年10月,在FBI发出“美国大量政府和商业公司正遭受网络间谍攻击”的警告后,攻击者从OPM网络中转移到了存储有OPM窃取资料的美国内政部DOI数据中心;

2014年12月,攻击者从内政部DOI数据库中转移了从OPM系统窃取的420万个人信息;

2015年3月3日,为了C&C和后续入侵使用,攻击者注册了”wdc-news-post.com“域名;

2015年3月26日,OPM指纹数据被窃取;

2015年4月16日,OPM联系安全公司Cylance进行安全工具Cylance V的技术支撑;

2015年4月17日,OPM开始在内部网络中部署CylanceProtect安全防护设备;

2015年4月18-19日,OPM在内部网络中部署了大约2000套CylanceProtect,据Cylance工程师形容“OPM系统内发现的大量恶意事件警告足可以点亮一棵圣诞树”;

2015年4月21日,Cylance公司取证团队CyTech到达OPM现场进行数据取证分析;

2015年4月23日,OPM确认发生“大规模数据泄露“事件,并通报国会;

……

2015年7月10日,OPM局长Katherine Archuleta辞职;

2016年2月24日,OPM 首席信息官Donna Seymour辞职。

3 OPM信息泄露事件的主要原因

政府承包商信息安全状况堪忧:

在美国联邦政府中,承包商或合同商在为政府提供支撑服务的同时,也掌握了大量政府机密信息,容易受到APT攻击。

例如,2014年8月,OPM聘用的对联邦雇员背景做调查的承包商US Investigations Services(USIS)遭到网络入侵,黑客可能窃取了大量政府雇员和相关背景调查人员个人信息,涉及31000人。事件发生后,USIS也及时通知了OPM。

2014年夏天,US-CERT曾对政府承包商KeyPoint公司进行过网络安全评估,情况不容乐观。就在2014年12月,KeyPoint发现48000名联邦雇员个人信息因网络攻击泄密,这其中就包括了OPM雇员信息。

USIS在2014年8月被黑客入侵后,OPM解除了与USIS的承包合同,并聘请了另外两家承包商SRA和KeyPoint。而KeyPoint,则在2014年12月也遭到黑客攻击。

另外,OPM承包商掌握的大量联邦雇员健康信息也有可能成为APT攻击目标,如2015年2月,美国第二大医疗保险公司Anthem遭黑客入侵,近8000万用户数据泄露。而与OPM有合作的小型保险公司Premera于2015年3月遭到黑客攻击,导致大约1100万人的信息被盗。

当前,很多政府机构严重依赖第三方承包商进行信息系统维护,存在很多潜在安全风险,比如,承包商公司员工可以以政府雇员身份使用未授权的认证登录进入政府网络系统,当然这也就不难理解造成OPM数据泄露事件的原因。

政府应加强应对持续攻击的信息安全能力:

随着政府信息化建设不断深入,美国政府面向公众提供信息服务的能力不断提高,但同时带来了新的安全风险。2004年8月签发的国土安全12号总统令(HSPD-12),要求政府机构在签发和使用联邦个人身份验证智能卡证书时必须遵循特定的技术标准和业务流程,包括验证员工和承包商身份所需的标准化背景调查。2008年,联邦政府开始重视自身系统网络安全,但在以后的几年里,网络空间的攻击也变得多样和复杂,被攻击的情况也变得越来越糟。

以OPM攻击事件为例,2012年5月,与Anonymous相关的,隶属于@k0detec黑客组织的成员入侵了OPM数据库并窃取了37组用户名密码信息。而在2011年,DHS对Anonymous黑客成员的定义还仅停留在“脚本小子“的层面。

OPM无法在关键时刻识别并处置威胁:

OPM因储存有现任和退休政府雇员及承包商敏感信息,对APT攻击来说是理想的入侵目标。当然,OPM也应该设置高度安全的防护策略。但在2014年之前,OPM网络中存在各种漏洞,

虽然在2014年之后,OPM对信息安全有所改进,但是实际效果太差。在2014年关键时刻,低效的领导能力和不当的决策能力,导致了数据泄露事件的发生。

OPM的网络安全支出始终落后于其他联邦机构:

OPM在2015财年的网络安全预算支出:

OPM在2014财年的网络安全预算支出:

OPM在2013财年的网络安全预算支出:

OPM在2012财年的网络安全预算支出对比:

OPM多年来一直忽视安全警告:

OPM依赖计算机技术和信息系统来管理数百万现任和之前的联邦雇员以及相关亲属信息,任何恶意攻击(黑客攻击、蠕虫或病毒)都可能对管理系统的效率和可用性造成影响。

为了承担储存背景调查资料的重任,OPM在2005年开始就加强了网络安全,之后OPM接手了国防保密处(DSS)针对90%联邦政府雇员的安全背景调查业务(FIS)。

2005年以来,在情报改革和反恐法案的大背景下,背景和忠诚度调查显得越来越重要,同时,OPM也注意到信息安全对其存储数据的重要性。在2005-2007年间的OPM督察办审计年报中都对信息系统存在的漏洞进行过识别。在2008年的半年国会报告中,OPM督察办承认保护敏感信息和个人身份信息的长期必要性。

2008年秋,OPM督察办报告指出,上一年信息系统存在的重要漏洞没有被完全解决,可能会对信息系统产生重要威胁。同时,督察办警告OPM现有的安全策略多年未更新,主要认证鉴别系统存在重大缺陷,另外,在措施执行和里程碑计划中,缺乏专业的信息安全人员;

2009年,OPM领导更换,John Berry成为新任局长;2009年9月,OPM督察办报告声称OPM的信息安全状况正在恶化;

2010年初,OPM督察办继续对OPM信息安全状况表示“严重担心“;

2012年,OPM把信息安全业务集中划归给首席信息办(OCIO)承担,2012年3月,OPM督察办声称”我们的审计报告表明OPM的信息安全水平亟需提高“,同时督察办指出OCIO在处理信息安全问题时缺乏有效授权,另外,OPM系统需要尽快迁移到集中化管理平台,因为“现运行的基本程序设计存在缺陷”;

但是,直到2013年底,由于人员不足和预算限制,集中化信息安全管理仍没能实现;就在2013年OPM准备更换领导时,OPM督察办发布了两份重要审计报告,第一份声称OPM信息系统存在重要漏洞;第二份对存储有背景调查资料的PIPS系统给予安全警告。

OPM督察办对PIPS系统的漏洞发现和安全警告非常具有先见之明,但当这些警告快要生效时,OPM又迎来了新的领导。

4 第一次网络攻击的发现

应急响应:

2014年3月20日,US-CERT通知OPM其网络存在数据泄露可疑活动。US-CERT通过第三方机构获悉被窃取数据通过一个已知的C&C域名进行传输通信。经查证分析:

联邦背景调查服务FIS的账户被入侵;

攻击者远程C&C服务器正与OPM的一台服务器进行通信;

C&C服务器与OPM系统的通信连接为加密信息;

C&C服务器连接OPM网络时间通常为晚上22点至早上10点之间;

攻击者利用攻陷的系统用户在OPM网络中搜寻背景调查处理系统(RIPS)的相关文件;

在对可疑网络流量的首次监测分析中发现,C&C与OPM服务器之间的通信使用了4字节的异或码加密;

OPM自身的安全工具无法检测识别到C&C的加密通信,OPM承包商配合NetWitness工具和解密脚本对网络进行可疑流量监测,最终识别出了被感染的主机系统和攻击者操作执行的命令;

Big Bang计划:

自2014年3月25日起,OPM联合US-CERT、FBI、NSA组成跨部门联合调查组,对该攻击者进行网络监控响应,监控目的一方面为了解攻击者的”战术-技术-程序(TTPS)“指标,另外为确认入侵者身份和入侵目的。

5月27日,在RIPS系统即将成为攻击者下一个入侵目标时,OPM打算以“Big Bang”计划对黑客进行清除”驱赶“。

OPM和US-CERT采取的措施包括:下线清理所有被入侵的系统、重置可能遭到攻击的150个账户信息、强制所有管理员账户使用PIV个人身份认证卡进行登录验证、重置所有管理员账户、为入侵系统重建账户、重置内部路由信息等。

以下为2014年6月US-CERT监控到的OPM背景调查处理系统RIPS相关的部分泄露文档目录:

US-CERT在当年6月的响应报告中声称:攻击者使用SMB命令刺探内网中RIPS管理员相关的共享文件。在对被入侵系统的调查中发现,文件复印电子件、压缩文件、文档都成为了攻击者的目标清单,被发往C&C服务器。

最终,虽然OPM承认了2014年3月的信息泄露事件,但US-CERT声称在这之前可能还存在其它文件资料泄露的可能。

5 攻击者的线索和恶意软件信息

经取证分析发现了攻击者在2014年入侵前后使用的恶意软件Hikit和C&C域名信息:

而Hikit后门软件是APT攻击组织Axiom经常使用的黑客工具之一,这类型恶意软件通常是Poision Ivy、Gh0st、ZXsheell的变种。

另外,OPM根据特定的域名分析工具发现,攻击者主要使用三个注册域名进行C&C活动:opmsecurity.org、wdc-news-post.com、opm-learning.org,这三个域名的注册人名称分别为:Steve Rogers、Tony Stark、Tony Stark。而这也是另一个APT组织Deep Panda常用的注册习惯,以下为ThreatConnect对几个注册域名的分析:

Tony Stark (钢铁侠)

Steve Rogers(美国队长)

Natasha Romanoff(黑寡妇)

James Rhodes(战争机器)

John nelson(钢铁侠视觉特效导演)

Dubai Tycoon(钢铁侠中的另一个人物)

另外,在OPM的入侵事件中,攻击者还使用以下域名架构进行C&C通信:

调查显示,2014年,攻击者使用Hikit后门程序对OPM网络发起攻击,最终利用了PlugX恶意软件窃取了RIPS中的背景调查资料。而Hikit和PlugX是APT组织Axiom和DeepPanda常用的黑客工具:

6 参与OPM攻击事件应急响应的两家安全公司

CyFIR:

CyFIR是一家小规模的安全服务公司,专门为美国政府提供安全事件应急响应服务,公司以:全球范围的快速响应能力、综合集中调查、动态可视化分析、全方位取证和非法图像识别为服务宗旨。在2014年RSA大会期间,CyFIR为了凸显国家间的安全对抗状况,在其展台上放置了一幅备受争议的海报,随后引起轩然大波。

Cylance:

Cylance是一家成立于2012年的网络安全企业。Cylance安全平台采用了一套基于算法的安全协议来检查网络薄弱环节,同时Cylance 还有一套黑客学习系统,利用机器学习技术实现对网络威胁的事先预测和防护。目前,全球已有1000 多家客户使用 Cylance 系统。2016年6月,Cylance获得了 1 亿美元的 D 轮融资。此前,Cylance曾陆续收购了Ridgeway、Skout Forensics、Spearpoint等信息安全公司,这些公司的产品涵盖蜜罐技术、网络取证和工业控制系统网络安全评估等技术。其旗下的主打服务产品为CylanceProtect。

7 结语

也许,OPM事件的最终处理结果非常让美国人民不满意,这份国会调查报告的最终目的,还是希望政府能加强网络信息安全能力建设,最大程度地保护个人信息安全和国家安全不受威胁。

本文转自d1net(转载)



推荐阅读
  • 在使用 SQL Server 时,连接故障是用户最常见的问题之一。通常,连接 SQL Server 的方法有两种:一种是通过 SQL Server 自带的客户端工具,例如 SQL Server Management Studio;另一种是通过第三方应用程序或开发工具进行连接。本文将详细分析导致连接故障的常见原因,并提供相应的解决策略,帮助用户有效排除连接问题。 ... [详细]
  • 在对WordPress Duplicator插件0.4.4版本的安全评估中,发现其存在跨站脚本(XSS)攻击漏洞。此漏洞可能被利用进行恶意操作,建议用户及时更新至最新版本以确保系统安全。测试方法仅限于安全研究和教学目的,使用时需自行承担风险。漏洞编号:HTB23162。 ... [详细]
  • Java Socket 关键参数详解与优化建议
    Java Socket 的 API 虽然被广泛使用,但其关键参数的用途却鲜为人知。本文详细解析了 Java Socket 中的重要参数,如 backlog 参数,它用于控制服务器等待连接请求的队列长度。此外,还探讨了其他参数如 SO_TIMEOUT、SO_REUSEADDR 等的配置方法及其对性能的影响,并提供了优化建议,帮助开发者提升网络通信的稳定性和效率。 ... [详细]
  • 独家解析:深度学习泛化理论的破解之道与应用前景
    本文深入探讨了深度学习泛化理论的关键问题,通过分析现有研究和实践经验,揭示了泛化性能背后的核心机制。文章详细解析了泛化能力的影响因素,并提出了改进模型泛化性能的有效策略。此外,还展望了这些理论在实际应用中的广阔前景,为未来的研究和开发提供了宝贵的参考。 ... [详细]
  • Python 程序转换为 EXE 文件:详细解析 .py 脚本打包成独立可执行文件的方法与技巧
    在开发了几个简单的爬虫 Python 程序后,我决定将其封装成独立的可执行文件以便于分发和使用。为了实现这一目标,首先需要解决的是如何将 Python 脚本转换为 EXE 文件。在这个过程中,我选择了 Qt 作为 GUI 框架,因为之前对此并不熟悉,希望通过这个项目进一步学习和掌握 Qt 的基本用法。本文将详细介绍从 .py 脚本到 EXE 文件的整个过程,包括所需工具、具体步骤以及常见问题的解决方案。 ... [详细]
  • 本指南详细介绍了在Linux环境中高效连接MySQL数据库的方法。用户可以通过安装并使用`mysql`客户端工具来实现本地连接,具体命令为:`mysql -u 用户名 -p 密码 -h 主机`。例如,使用管理员账户连接本地MySQL服务器的命令为:`mysql -u root -p pass`。此外,还提供了多种配置优化建议,以确保连接过程更加稳定和高效。 ... [详细]
  • 提升 Kubernetes 集群管理效率的七大专业工具
    Kubernetes 在云原生环境中的应用日益广泛,然而集群管理的复杂性也随之增加。为了提高管理效率,本文推荐了七款专业工具,这些工具不仅能够简化日常操作,还能提升系统的稳定性和安全性。从自动化部署到监控和故障排查,这些工具覆盖了集群管理的各个方面,帮助管理员更好地应对挑战。 ... [详细]
  • 小王详解:内部网络中最易理解的NAT原理剖析,挑战你的认知极限
    小王详解:内部网络中最易理解的NAT原理剖析,挑战你的认知极限 ... [详细]
  • 如何精通编程语言:全面指南与实用技巧
    如何精通编程语言:全面指南与实用技巧 ... [详细]
  • 该大学网站采用PHP和MySQL技术,在校内可免费访问某些外部收费资料数据库。为了方便学生校外访问,建议通过学校账号登录实现免费访问。具体方案可包括利用学校服务器作为代理,结合身份验证机制,确保合法用户在校外也能享受免费资源。 ... [详细]
  • 在优化Nginx与PHP的高效配置过程中,许多教程提供的配置方法存在诸多问题或不良实践。本文将深入探讨这些常见错误,并详细介绍如何正确配置Nginx和PHP,以实现更高的性能和稳定性。我们将从Nginx配置文件的基本指令入手,逐步解析每个关键参数的最优设置,帮助读者理解其背后的原理和实际应用效果。 ... [详细]
  • 优化后的标题:深入探讨网关安全:将微服务升级为OAuth2资源服务器的最佳实践
    本文深入探讨了如何将微服务升级为OAuth2资源服务器,以订单服务为例,详细介绍了在POM文件中添加 `spring-cloud-starter-oauth2` 依赖,并配置Spring Security以实现对微服务的保护。通过这一过程,不仅增强了系统的安全性,还提高了资源访问的可控性和灵活性。文章还讨论了最佳实践,包括如何配置OAuth2客户端和资源服务器,以及如何处理常见的安全问题和错误。 ... [详细]
  • Web开发框架概览:Java与JavaScript技术及框架综述
    Web开发涉及服务器端和客户端的协同工作。在服务器端,Java是一种优秀的编程语言,适用于构建各种功能模块,如通过Servlet实现特定服务。客户端则主要依赖HTML进行内容展示,同时借助JavaScript增强交互性和动态效果。此外,现代Web开发还广泛使用各种框架和库,如Spring Boot、React和Vue.js,以提高开发效率和应用性能。 ... [详细]
  • 如何撰写适应变化的高效代码:策略与实践
    编写高质量且适应变化的代码是每位程序员的追求。优质代码的关键在于其可维护性和可扩展性。本文将从面向对象编程的角度出发,探讨实现这一目标的具体策略与实践方法,帮助开发者提升代码效率和灵活性。 ... [详细]
  • 线程能否先以安全方式获取对象,再进行非安全发布? ... [详细]
author-avatar
x深藏的爱x_402
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有