SolarWinds攻击行动躲过了美国斥资数百亿美元建造的网络攻击防御系统Einstein

美国上周揭露-机构史上规模最大的骇客入侵事件，推测是俄罗斯骇客集团借由危害SolarWinds Orion Platform的构建系统，渗透到采用该平台的各个组织。而纽约时报与华盛顿邮报则说，此一攻击行动躲过美国花了十多年、斥资数百亿美元所建造的网络攻击防御系统“爱因斯坦”（Einstein）。

Einstein是美国国土安全部US-CERT在2004年发表的专案，它所负责的两个关键角色分别是侦测及封锁网络攻击行动以免危害联邦组织，以及在察觉攻击情况时将资讯提供给网络安全暨基础架构安全署（CISA），以保护其它的-组织及民间组织。不过， Einstein显然这次两件事都没做到。

率先公开披露遭到攻击的是美国资安业者FireEye，接着传出美国财政部与商务部也受到危害，骇客于SolarWinds今年3月到6月间释出的Orion Platform 2019.4 HF 5至2020.2.1版本中植入Sunburst木马程式，借由供应链攻击了采用Orion Platform的各大组织。除FireEye、美国财政部与商务部外，美国国务院、国土安全部、美国国家卫生院据传也遭到危害，而且完整的受骇范围仍在统计中。

更令人讶异的是，骇客的攻击行动从今年3月就展开，但Einstein似乎一无所知。

华盛顿邮报分析，这是因为Einstein只能侦测已知的恶意程式与恶意IP，但骇客使用全新的恶意程式，且C&C服务器亦设立于未被列入黑名单的美国IP地址。此事彰显了美国-的网络监控系统无法侦测到由先进国家级骇客所主导的复杂网络攻击行动。

值得提醒的是，根据SolarWinds的统计，全球有接近1.8万个组织部署了被危害的Orion Platform，因此除美国与当地-机构之外，全球各地还有更多的受害者。