2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。泄露内容包括详细个人信息,如社会安全码、姓名、出生年月、居住地址、教育工作经历、家庭成员和个人财务信息等。美官员声称,这是美国政府历史上最大的数据泄露案件之一。美国前高级反间谍官员布伦纳(Joel Brenner)表示,对外国情报机关来说,这些信息简直就是金矿或者皇冠上的明珠。
OPM攻击最早由美国计算机应急响应中心(US-CERT)通过爱因斯坦入侵检测系统(Einstein)发现,但US-CERT声称OPM网络可能早于爱因斯坦系统部署前就已被渗透。
9月7日,美众议院监督和政府改革委员会公布了名为《The OPM Data Breach: How the Government Jeopardized Our NationalSecurity for More than a Generation》的调查报告,报告指出OPM从根本上缺乏防患于未然的意识,简单的“亡羊补牢”措施,导致了如此严重的后果。
调查报告批评OPM领导不力,虽然多年来一直受到信息安全警告,但却从未采取有效行动保护其存储的大量敏感数据。报告认为,只要OPM采取基本的安全防范措施,加强安全意识,信息泄露事件或许就不会发生。我们来简要了解一下这份241页的调查报告:
1 概要
黑客所窃取数据的重要性:
黑客从OPM盗走的SF-86表格信息涉及美国政府雇员、国家安全雇员、情报人员、军人和承包商等,由于国家安全或涉密领域相关的联邦雇员必须进行背景安全调查,调查要求填写的SF-86表格涉及个人过往和现在的大量隐私信息,包括社会安全码、出生年月、居住地址、教育经历、家庭成员和个人财务信息等,这些信息一旦被非法利用,将对美国家安全造成威胁。
首次事件:
根据报告,美国土安全部(DHS)早在2012年7月就对OPM发出入侵攻击警告,2014年3月,DHS爱因斯坦入侵检测系统监测到OPM数据遭到泄露, OPM网络在晚上22时到次日上午10时经常出现可疑异常流量,经分析,这是黑客在半夜进行大量资料的窃取活动。
后续事件:
2014年3月,经过取证分析,OPM发现了第一位入侵系统的黑客X1,之后几个月OPM与FBI、NSA和其它机构合作对这位黑客展开监控调查,并拟定“大爆炸”(Big Bang)计划,准备在2014年5月将这位X1黑客“驱逐”出系统。
出乎所有人预料,在“大爆炸”计划之前,另一名假冒OPM承包商身份的黑客X2,早已入侵OPM系统并安装了恶意软件,而所有人都不知道它的存在。
“大爆炸”计划之后,黑客X2潜伏于OPM网络系统。2014年7月至8月,X2窃取了OPM的背景安全调查文件;2014年12月,X2窃取了OPM的人事档案资料;2015年初,X2窃取了OPM大量指纹数据。
然而,OPM于2015年4月才发现黑客X2入侵了其网络系统。
2 关键事件节点
数据泄露事件发生后,经过OPM的调查和回顾,罗列了以下一些关键事件的时间节点:
2012年7月,据US-CERT报告,OPM网络遭到黑客入侵,在其中一台服务器上发现了植入的Hikit后门软件;
2013年11月,黑客攻击活动产生了第一条线索;
2013年12月,黑客攻击活动产生了数据窃取线索(包括后续的OPM承包商认证信息窃取);
2014年3月20日,US-CERT警告OPM网络中存在数据窃取活动,之后,OPM与US-CERT联合以反间谍为由实施“Big Bang”计划,在网络中监控攻击者(X1)。此次具体泄露数据未知;
2014年3月27日,在OPM监控黑客X1过程中,甚至还计划了“必要时关闭整个系统“的方案;
2014年4月21日,OPM承包商SRA发现了一种特定的恶意软件,并引起了US-CERT的关注;
2014年4月25日,黑客为后续C&C和窃取数据之用,注册了域名“opmsecurity.org”,注册人名称为Steven Rogers(美国队长);
2014年5月7日,攻击者X2以OPM承包商KeyPoint雇员身份,使用OPM认证信息远程登录进入网络,安装后门软件PlugX,然而,此时,OPM因为在执行监控黑客X1的“BigBang”计划,而完全没留意到黑客X2;
2014年5月27日,由于黑客X1向一些数据库管理平台植入了键盘记录程序,无限接近背景调查资料处理系统PIPS,OPM不得不关闭了被黑客入侵的计算机系统;
然而,与此同时,于5月7日植入后门的黑客X2还继续潜伏在OPM网络中;
2014年6月5日,黑客通过不同的管理员账户权限成功在某KeyPoint网站服务器中安装了恶意软件;
2014年6月20日,攻击者执行RDP协议会话,远程连接储存有重要敏感信息的服务器;
2014年7月-8月,攻击者成功从OPM系统窃取了背景调查资料;
2014年7月9日,OPM正式承认其个人身份信息遭到攻击泄露;
2014年7月29日,攻击者在入侵OPM系统期间,为C&C之用,注册了域名“opmlearning.org”,注册人名称为Tony Stark(钢铁侠);
2014年10月,在FBI发出“美国大量政府和商业公司正遭受网络间谍攻击”的警告后,攻击者从OPM网络中转移到了存储有OPM窃取资料的美国内政部DOI数据中心;
2014年12月,攻击者从内政部DOI数据库中转移了从OPM系统窃取的420万个人信息;
2015年3月3日,为了C&C和后续入侵使用,攻击者注册了”wdc-news-post.com“域名;
2015年3月26日,OPM指纹数据被窃取;
2015年4月16日,OPM联系安全公司Cylance进行安全工具Cylance V的技术支撑;
2015年4月17日,OPM开始在内部网络中部署CylanceProtect安全防护设备;
2015年4月18-19日,OPM在内部网络中部署了大约2000套CylanceProtect,据Cylance工程师形容“OPM系统内发现的大量恶意事件警告足可以点亮一棵圣诞树”;
2015年4月21日,Cylance公司取证团队CyTech到达OPM现场进行数据取证分析;
2015年4月23日,OPM确认发生“大规模数据泄露“事件,并通报国会;
……
2015年7月10日,OPM局长Katherine Archuleta辞职;
2016年2月24日,OPM 首席信息官Donna Seymour辞职。
3 OPM信息泄露事件的主要原因
政府承包商信息安全状况堪忧:
在美国联邦政府中,承包商或合同商在为政府提供支撑服务的同时,也掌握了大量政府机密信息,容易受到APT攻击。
例如,2014年8月,OPM聘用的对联邦雇员背景做调查的承包商US Investigations Services(USIS)遭到网络入侵,黑客可能窃取了大量政府雇员和相关背景调查人员个人信息,涉及31000人。事件发生后,USIS也及时通知了OPM。
2014年夏天,US-CERT曾对政府承包商KeyPoint公司进行过网络安全评估,情况不容乐观。就在2014年12月,KeyPoint发现48000名联邦雇员个人信息因网络攻击泄密,这其中就包括了OPM雇员信息。
USIS在2014年8月被黑客入侵后,OPM解除了与USIS的承包合同,并聘请了另外两家承包商SRA和KeyPoint。而KeyPoint,则在2014年12月也遭到黑客攻击。
另外,OPM承包商掌握的大量联邦雇员健康信息也有可能成为APT攻击目标,如2015年2月,美国第二大医疗保险公司Anthem遭黑客入侵,近8000万用户数据泄露。而与OPM有合作的小型保险公司Premera于2015年3月遭到黑客攻击,导致大约1100万人的信息被盗。
当前,很多政府机构严重依赖第三方承包商进行信息系统维护,存在很多潜在安全风险,比如,承包商公司员工可以以政府雇员身份使用未授权的认证登录进入政府网络系统,当然这也就不难理解造成OPM数据泄露事件的原因。
政府应加强应对持续攻击的信息安全能力:
随着政府信息化建设不断深入,美国政府面向公众提供信息服务的能力不断提高,但同时带来了新的安全风险。2004年8月签发的国土安全12号总统令(HSPD-12),要求政府机构在签发和使用联邦个人身份验证智能卡证书时必须遵循特定的技术标准和业务流程,包括验证员工和承包商身份所需的标准化背景调查。2008年,联邦政府开始重视自身系统网络安全,但在以后的几年里,网络空间的攻击也变得多样和复杂,被攻击的情况也变得越来越糟。
以OPM攻击事件为例,2012年5月,与Anonymous相关的,隶属于@k0detec黑客组织的成员入侵了OPM数据库并窃取了37组用户名密码信息。而在2011年,DHS对Anonymous黑客成员的定义还仅停留在“脚本小子“的层面。
OPM无法在关键时刻识别并处置威胁:
OPM因储存有现任和退休政府雇员及承包商敏感信息,对APT攻击来说是理想的入侵目标。当然,OPM也应该设置高度安全的防护策略。但在2014年之前,OPM网络中存在各种漏洞,
虽然在2014年之后,OPM对信息安全有所改进,但是实际效果太差。在2014年关键时刻,低效的领导能力和不当的决策能力,导致了数据泄露事件的发生。
OPM的网络安全支出始终落后于其他联邦机构:
OPM在2015财年的网络安全预算支出:
OPM在2014财年的网络安全预算支出:
OPM在2013财年的网络安全预算支出:
OPM在2012财年的网络安全预算支出对比:
OPM多年来一直忽视安全警告:
OPM依赖计算机技术和信息系统来管理数百万现任和之前的联邦雇员以及相关亲属信息,任何恶意攻击(黑客攻击、蠕虫或病毒)都可能对管理系统的效率和可用性造成影响。
为了承担储存背景调查资料的重任,OPM在2005年开始就加强了网络安全,之后OPM接手了国防保密处(DSS)针对90%联邦政府雇员的安全背景调查业务(FIS)。
2005年以来,在情报改革和反恐法案的大背景下,背景和忠诚度调查显得越来越重要,同时,OPM也注意到信息安全对其存储数据的重要性。在2005-2007年间的OPM督察办审计年报中都对信息系统存在的漏洞进行过识别。在2008年的半年国会报告中,OPM督察办承认保护敏感信息和个人身份信息的长期必要性。
2008年秋,OPM督察办报告指出,上一年信息系统存在的重要漏洞没有被完全解决,可能会对信息系统产生重要威胁。同时,督察办警告OPM现有的安全策略多年未更新,主要认证鉴别系统存在重大缺陷,另外,在措施执行和里程碑计划中,缺乏专业的信息安全人员;
2009年,OPM领导更换,John Berry成为新任局长;2009年9月,OPM督察办报告声称OPM的信息安全状况正在恶化;
2010年初,OPM督察办继续对OPM信息安全状况表示“严重担心“;
2012年,OPM把信息安全业务集中划归给首席信息办(OCIO)承担,2012年3月,OPM督察办声称”我们的审计报告表明OPM的信息安全水平亟需提高“,同时督察办指出OCIO在处理信息安全问题时缺乏有效授权,另外,OPM系统需要尽快迁移到集中化管理平台,因为“现运行的基本程序设计存在缺陷”;
但是,直到2013年底,由于人员不足和预算限制,集中化信息安全管理仍没能实现;就在2013年OPM准备更换领导时,OPM督察办发布了两份重要审计报告,第一份声称OPM信息系统存在重要漏洞;第二份对存储有背景调查资料的PIPS系统给予安全警告。
OPM督察办对PIPS系统的漏洞发现和安全警告非常具有先见之明,但当这些警告快要生效时,OPM又迎来了新的领导。
4 第一次网络攻击的发现
应急响应:
2014年3月20日,US-CERT通知OPM其网络存在数据泄露可疑活动。US-CERT通过第三方机构获悉被窃取数据通过一个已知的C&C域名进行传输通信。经查证分析:
联邦背景调查服务FIS的账户被入侵;
攻击者远程C&C服务器正与OPM的一台服务器进行通信;
C&C服务器与OPM系统的通信连接为加密信息;
C&C服务器连接OPM网络时间通常为晚上22点至早上10点之间;
攻击者利用攻陷的系统用户在OPM网络中搜寻背景调查处理系统(RIPS)的相关文件;
在对可疑网络流量的首次监测分析中发现,C&C与OPM服务器之间的通信使用了4字节的异或码加密;
OPM自身的安全工具无法检测识别到C&C的加密通信,OPM承包商配合NetWitness工具和解密脚本对网络进行可疑流量监测,最终识别出了被感染的主机系统和攻击者操作执行的命令;
Big Bang计划:
自2014年3月25日起,OPM联合US-CERT、FBI、NSA组成跨部门联合调查组,对该攻击者进行网络监控响应,监控目的一方面为了解攻击者的”战术-技术-程序(TTPS)“指标,另外为确认入侵者身份和入侵目的。
5月27日,在RIPS系统即将成为攻击者下一个入侵目标时,OPM打算以“Big Bang”计划对黑客进行清除”驱赶“。
OPM和US-CERT采取的措施包括:下线清理所有被入侵的系统、重置可能遭到攻击的150个账户信息、强制所有管理员账户使用PIV个人身份认证卡进行登录验证、重置所有管理员账户、为入侵系统重建账户、重置内部路由信息等。
以下为2014年6月US-CERT监控到的OPM背景调查处理系统RIPS相关的部分泄露文档目录:
US-CERT在当年6月的响应报告中声称:攻击者使用SMB命令刺探内网中RIPS管理员相关的共享文件。在对被入侵系统的调查中发现,文件复印电子件、压缩文件、文档都成为了攻击者的目标清单,被发往C&C服务器。
最终,虽然OPM承认了2014年3月的信息泄露事件,但US-CERT声称在这之前可能还存在其它文件资料泄露的可能。
5 攻击者的线索和恶意软件信息
经取证分析发现了攻击者在2014年入侵前后使用的恶意软件Hikit和C&C域名信息:
而Hikit后门软件是APT攻击组织Axiom经常使用的黑客工具之一,这类型恶意软件通常是Poision Ivy、Gh0st、ZXsheell的变种。
另外,OPM根据特定的域名分析工具发现,攻击者主要使用三个注册域名进行C&C活动:opmsecurity.org、wdc-news-post.com、opm-learning.org,这三个域名的注册人名称分别为:Steve Rogers、Tony Stark、Tony Stark。而这也是另一个APT组织Deep Panda常用的注册习惯,以下为ThreatConnect对几个注册域名的分析:
Tony Stark (钢铁侠)
Steve Rogers(美国队长)
Natasha Romanoff(黑寡妇)
James Rhodes(战争机器)
John nelson(钢铁侠视觉特效导演)
Dubai Tycoon(钢铁侠中的另一个人物)
另外,在OPM的入侵事件中,攻击者还使用以下域名架构进行C&C通信:
调查显示,2014年,攻击者使用Hikit后门程序对OPM网络发起攻击,最终利用了PlugX恶意软件窃取了RIPS中的背景调查资料。而Hikit和PlugX是APT组织Axiom和DeepPanda常用的黑客工具:
6 参与OPM攻击事件应急响应的两家安全公司
CyFIR:
CyFIR是一家小规模的安全服务公司,专门为美国政府提供安全事件应急响应服务,公司以:全球范围的快速响应能力、综合集中调查、动态可视化分析、全方位取证和非法图像识别为服务宗旨。在2014年RSA大会期间,CyFIR为了凸显国家间的安全对抗状况,在其展台上放置了一幅备受争议的海报,随后引起轩然大波。
Cylance:
Cylance是一家成立于2012年的网络安全企业。Cylance安全平台采用了一套基于算法的安全协议来检查网络薄弱环节,同时Cylance 还有一套黑客学习系统,利用机器学习技术实现对网络威胁的事先预测和防护。目前,全球已有1000 多家客户使用 Cylance 系统。2016年6月,Cylance获得了 1 亿美元的 D 轮融资。此前,Cylance曾陆续收购了Ridgeway、Skout Forensics、Spearpoint等信息安全公司,这些公司的产品涵盖蜜罐技术、网络取证和工业控制系统网络安全评估等技术。其旗下的主打服务产品为CylanceProtect。
7 结语
也许,OPM事件的最终处理结果非常让美国人民不满意,这份国会调查报告的最终目的,还是希望政府能加强网络信息安全能力建设,最大程度地保护个人信息安全和国家安全不受威胁。
本文转自d1net(转载)