中曾根将军:随着太阳风事件的调查展开, 网络司令部扮演着 "关键角色"。

随着政府调查的继续,安全公司FireEye公布了新发现了SUNSHUTLE后门的细节,它与太阳风黑客有"可能的联系"。

布拉德·威廉姆斯

2021年3月05日

2019年2月,保罗·中曾根(Nakasone)将军在白宫向记者介绍网络安全

美国网络司令部司令保罗·中曾根将军星期四说,"网络司令部在政府应对针对美国政府实体和公司的大规模网络间谍活动方面发挥着持续的关键作用"。"当然,在过去的几个月里,"他说,"太阳风事件让我们的注意力更加集中了。”

Nakasone的评论发表在同一天,安全公司FireEye,这是第一个发现太阳风黑客后成为第二阶段的受害者本身,发表了一篇博文,详细说明了一个新发现的后门,它被称为SUNSHUTTLE。该公司表示,SUNSHUTTLE与UNC2452有"可能的联系"——FireEye已经给出了一个与太阳风运动相关的威胁参与者。

Nakasone是在第八届CYBERCOM年度法律大会上发表主旨演讲时作上述表示的。除了领导网络司令部外,Nakasone目前还担任国家安全局局长和中央安全局局长。

Nakasone没有详细说明CYBERCOM对SolarWinds黑客攻击的"关键作用"或"持续反应"是什么,但他强调支持联邦调查局、国土安全部、网络安全和基础设施安全局以及国家情报总监办公室。CYBERCOM 的广泛使命包括保护国防部网络、保护国家免受网络攻击以及支持联合部队。他的讲话突出了网络司令部的"前出防御"概念。Nakasone声称,前出防御包括"在美国军事网络之外执行行动"。

与此同时,FireEye 的曼迪安特威胁情报团队表示,他们发现 SUNSHUTTLE由一家美国实体于 2020 年 8 月上传到公共恶意软件存储库"。它没有说出实体的名称,但这可能是曼迪安特所指的与UNC2452的"可能联系"。

Mandiant将SUNSHUTTLE描述为“最有可能是在最初的妥协后丢弃的第二阶段后门。”SUNSHUTTLE包括标准的恶意软件功能,包括与远程服务器的通信,远程服务器由威胁参与者控制,威胁参与者可以使用这些服务器远程更改恶意软件的配置、上传/下载文件,对受损资产执行任意命令。曼迪亚特说,目前还不知道感染媒介。

美国政府尚未正式将这起太阳风黑客事件归咎于此。公营和私营部门官员已达成广泛共识,认为俄罗斯情报部门是这场运动的幕后黑手,这场行动已影响到9个联邦实体和至少100家私营公司。预计美国政府将正式对这起黑客攻击事件进行定性,并很快宣布美国的应对措施。

在2021年2月21日的一期《面对国家》(Face the Nation)节目中,国家安全顾问杰克•沙利文(Jake Sullivan)表示,“这种反应将包括各种看得见和看不见的工具,而不仅仅是制裁。”他补充说,“我们将确保俄罗斯了解美国在此类活动上的界限。”

在前出防御的背景下,Nakasone讨论了“持续交战”的原则,他说“以使能和行动的构建为中心”。Nakasone表示,使能意味着共享威胁指标、共享人员和提供洞察力。行动包括“前出搜索”、进攻行动和情报行动。在CYBERCOM的战略范围内,进攻性行动可能意味着对对手采取报复性或先发制人的网络措施,以保护美国。他说:“持续的接触,通过反击和争夺没有武装冲突的战役,集中于侵略者的信心和能力。”

Nakasone指出,“网络空间存在着大国竞争”,他说,中国是“最具战略意义的对手”,而俄罗斯仍然是网络空间“最老练的对手”。伊朗和朝鲜仍然是“有能力和意图”的对手。他补充说:“我们今天的对手得到了我们的关注。”

Nakasone强调,“伙伴关系是我们成功的关键”,无论是与外国盟友还是在国内私营部门。他补充说,强大的合作关系“会使网络空间中的对手行动越来越困难”。他重点介绍了美国国家安全局网络安全协作中心的工作,该中心的宗旨是与国内私营部门建立伙伴关系,并与伙伴进行快速沟通。

Nakasone还总结了CYBERCOM在保护2020年选举中的作用,并指出,在2020年,美国国家安全局发布了30多份涉及网络安全指导和缓解措施的公共咨询意见,更多的直接发布给国防和情报部门的客户。

声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。