上篇的翻译转载,其实那些小说似的采访并没有多少料,笔者在三年前事件发生时就已经有一篇短文分析出来剧情了,表面上看起来美国顶级安全公司和政府机构乱作一团,而后面这两年美国的反应才是真的让人大跌眼镜...

在前不久的RSA Conference 2023大会上,美国国家任务网络部队(Cyber National Mission Force,CNMF)与美国网络安全和基础设施安全局 (Cybersecurity and Infrastructure Security Agency,CISA)的两位代表首次分享解密了最近“前出狩猎行动(Hunt Forward Operations,HFOs)”的一些信息,其中就包括了2021年的Solarwinds供应链攻击事件在美国国家层面的一些反应。

CISA的Eric Goldstein公开说:“我们使用了来自Mandiant和Microsoft的数据,快速识别了可能受到Solarwinds供应链攻击活动影响的九家机构,攻击活动广泛地针对了Microsoft Office 365基础设施,我们在许多受害机构中启动了防御应对措施。作为这项工作的一部分,我们定位了许多受影响机构使用的失陷SolarWinds服务器,当我们对这些服务器进行镜像快照后,会立即与CNMF共享信息和数据,以供他们在HFOs中使用”。

而CNMF的William J. Hartman少将解释了CNMF的进一步行动,他们能够访问失陷服务器的镜像快照,这对他们来说非常宝贵的资源,他们会立即在虚拟环境中对其进行了模拟分析,然后开始研究对策,以期在其他任务中寻找对手类似的攻击活动,最终CNMF能够开发出一种高端威胁狩猎能力来寻找对手。他还表示:“由于CISA共享了信息和情报,我们确切地知道在寻找什么,并且当我们开始执行前出狩猎行动(Hunt Forward Operations,HFOs)时,我们几乎立即就能看到对手的活动,我们不仅能够接近对手,而且我们能够以对手不知道的方式进行网络作战和收集信息,最终我们破获了18个新的恶意样本”。

看到这里大家肯定会很懵逼,什么是前出狩猎行动(Hunt Forward Operations,HFOs)?

这里的HFOs就是美国国家级的溯源反制行动,涉及美国政府机构和军队的合作,一些所谓的美国顶级网络安全公司(民企)不过是提供数据支持打辅助而已,HFOs甚至会使用反制手段黑回去溯源取证。

继续来给APT“砖家”们科普什么是HFOs...

前出狩猎行动(Hunt Forward Operations,HFOs)是由美国网络司令部(USCYBERCOM)在合作伙伴国家的请求下严格执行的防御性网络行动。在受邀情况下,USCYBERCOM的HFOs团队会部署到合作伙伴国家,观察和侦测目标国家网络上的恶意网络活动。HFOs行动产生的见解能够增强国家间的网络安全防御,并和合作伙伴国家共享和提高网络空间抵御威胁的能力。

前出狩猎行动的人员全部隶属于美国网络司令部(USCYBERCOM)下属的国家任务网络部队(Cyber National Mission Force,CNMF),该部队由受过特殊培训的人员组成,负责保护和捍卫美国国防信息网络(DODIN)免受恶意网络行动者和外国的国家级对手攻击。

在海外,美国CNMF运营团队与合作伙伴并肩作战,搜寻目标国家网络上的安全漏洞、恶意软件以及对手的存在。美国网络司令部(USCYBERCOM)与目标国共享前出狩猎行动的见解,与联邦调查局(FBI)、国土安全部(DHS)等其他政府机构以及私营企业分享信息。这些行动强化了美国国土安全和网络安全,同时暴露了美国对手的技战术和网络武器,避免它们被用于攻击美国。

HFOs团队实施了美国网络司令部(USCYBERCOM)持续的前向防御策略。美国网络不断受到对手国家和恶意网络行为者的攻击,他们试图利用漏洞破坏美国的社会稳定和军事能力。为应对这种情况,美国网络司令部(USCYBERCOM)在网络空间中持续与对手进行交战,以打击网络威胁,削弱对手的能力和网络,不断加强国防部信息网络(DODIN)的安全防御。前向防御需要尽可能地接近对手活动的来源,扩大美国网络作战人员的覆盖范围,并在源头消除威胁。

从2018年到2022年,美国网络司令部(USCYBERCOM)下属的网络国家任务部队与合作伙伴国家进行了二十多次前出狩猎行动。CNMF运营团队部署到了全球范围内的十六个不同国家,包括乌克兰、爱沙尼亚和立陶宛等。经过多次合作,这些由合作伙伴支持的行动已经发现了多个高级威胁捕获成果向网络安全界公开以供分析。

前出狩猎行动产生的见解已被证明对保卫美国网络空间、防御外部入侵和恶意攻击来说非常宝贵。2020年,美国网络司令部(USCYBERCOM)就在九个不同国家进行了十一次前出狩猎行动,对保卫2020年美国选举免受外部影响和干扰做出了贡献。在2021年,美国网络司令部(USCYBERCOM)与网络安全和基础设施安全局(CISA)联合进行了一次HFOs行动,以应对SolarWinds供应链攻击,最终将攻击归因于俄罗斯APT29组织,HFOs行动有效的产出了有关对手的技战术、意图和情报。

当然最终的结果是某些APT“砖家”想要的成功溯源,大结局是白宫发了制裁令。但就此Solarwinds攻击剧终了么...?

答案是没有!美国其实对于APT攻击一点都不怵,反而很高兴,因为借这次SolarWinds安全事件的驱动,美国军方终于依靠“受害者”的身份发明了HFOs这种去海外网络空间交战的“正当防卫”手段。至此美国可以堂而皇之地去侵犯对手国家的网络空间主权,网络战的号角已经被悄悄吹响...

声明:本文来自赛博攻防悟道,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。