内部财政报告揭示了俄罗斯对SolarWinds的黑客攻击 - 彭博社

总部位于德克萨斯州奥斯汀的SolarWinds曾是近期最大网络安全攻击事件的中心。

摄影师：Niolas Asfouri/Getty Images 欢迎回到FOIA文件！上周我忙于提交数十份新的记录请求，并阅读从一些机构获得的数百页文件。我将在未来的通讯中讨论我获得的内容，敬请关注。接下来是我的最新收获。我终于拿到了内部报告，这是财政部监察长关于其对2020年12月SolarWinds黑客事件调查的报告。对于那些不记得的人，这次黑客事件被微软公司总裁布拉德·史密斯描述为“世界上最大和最复杂的攻击”。如果你还没有在收件箱中收到FOIA文件，请在这里注册。

首先，让我们谈谈监察长。IGs，正如他们所称，是政府的监督者。他们是独立、公正的政府员工，负责对联邦机构进行审计和调查，旨在揭露浪费、欺诈和滥用行为。他们往往是那些反对透明度的人的眼中钉。

FOIA文件的常规读者知道我经常写关于我从联邦政府各个IG办公室获得的文件。他们的内部报告提供了对政府官僚机构的惊人洞察，使我能够揭示幕后的情况。

好吧，上周五午夜左右，白宫解雇了至少17名IG，包括农业、劳动和国家部门的IG。每位监察长都收到了电子邮件通知他们“由于优先事项的变化，您的监察长职位…立即终止。”财政部的代理IG洛伦·西乌尔巴据报道是其中一位受害者。（IG办公室的发言人拒绝发表评论。）

我正在努力获取有关IG清洗的更多信息。如果您有想分享的信息，请随时在这里与我联系。

现在，回到我手头的记录！

“懒惰的堡垒”

关于财政部SolarWinds漏洞的部分编辑的文件是IG提供的透明度类型的完美例子。它们为黑客攻击后的直接后果提供了迷人的视角，以及该机构的网络安全响应似乎在哪些方面未能达到预期。（有关SolarWinds黑客攻击的精彩入门，请阅读我同事迈克尔·赖利的这篇故事。）

美国情报机构得出结论认为俄罗斯的对外情报局，或称SVR，是此次攻击的幕后黑手。黑客在SolarWinds的Orion网络监控系统中植入了恶意代码，该系统被政府和企业使用。当SolarWinds向客户发送Orion更新时，更新中包含了恶意代码，使黑客能够访问联邦政府员工的计算机。此次攻击还波及了司法、能源、商务和国务院。

点击这里查看文件（第46页）起初，我甚至不知道这些IG文件的存在。去年年初，我收到了一份来自财政部的单独文件，概述了IG办公室关闭的各种调查。我在一份文件上的内部案件标题“懒惰的堡垒”引起了我的注意。该文件表示，调查围绕“几名财政部员工的电子邮件账户的未经授权访问，这一行为是由一名授权软件供应商提供给财政部的恶意程序造成的。”

这显然与SolarWinds黑客事件有关。但我并不确定。财政部对此不予置评，我的消息来源也保持沉默。因此，我提交了关于“懒惰的堡垒”文件的FOIA请求。几个月过去了。当我询问状态时，财政部表示，由于我的请求涉及机密文件，其他机构也必须参与，以确定可以发布哪些信息。他们警告我不要指望在短期内收到文件。与其等待，我起诉财政部以加快发布。上个月，该机构交出了超过40页关于此次黑客事件的调查备忘录。

点击这里查看文件（第31页）### 高级目标

IG调查人员采访了一些财政部员工——其中一些似乎是高级官员——他们的政府电子邮件账户被入侵。一些人在财政部的外国资产控制办公室（OFAC）工作，参与敏感调查，包括涉及俄罗斯的网络农场、互联网研究机构以及针对俄罗斯、叙利亚、乌克兰和由俄罗斯亿万富翁奥列格·德里帕斯卡控制的公司的制裁计划。

由于调查刚开始，财政部调查人员试图弄清楚那些电子邮件账户被黑客入侵的员工是否被特别针对。调查人员询问他们是否有活跃的社交媒体账户，是否在社交媒体帖子中自我标识为政府员工，是否与外国人会面或与外部人士讨论他们的工作。但他们的回答中没有任何值得注意的内容能够将他们置于黑客的视线之中。

在调查初期，尚无法确定黑客盗取了什么。不过，我发现文件中埋藏的细节非常有趣，这些细节揭示了财政部的工作和运作。例如，OFAC设有一个全球目标办公室，由九人组成。中东和俄罗斯的全球团队位于该办公室内，其中还包括一位俄罗斯-乌克兰主题专家。大约四到五名员工被分配到该小组，另外四到五名员工则处理叙利亚和白俄罗斯问题。

点击这里查看文件（第15页）### 网络安全

一个悬而未决的问题是财政部的安全团队如何处理对泄露事件的响应。虽然关键参与者对他们自己的响应表示赞赏，但显然存在一些真正的问题。

例如，负责该机构对黑客攻击响应的“主要协调员”表示这次响应是“出色的”。该人员在财政部的计算机安全事件响应中心工作，该团队在攻击发生前八个月成立，由10人组成，且没有全职员工。

该人员表示，财政部“为重大事件做好了准备”。但“应该做更多工作来检测网络泄露。”财政部“目前没有专门人员负责审查计算机日志文件，以识别异常或可疑的计算机活动。如果有的话，”该人员说，“被感染的SolarWinds设备造成的网络流量本可以更早被识别和阻止。”

点击这里查看文件（第19页）该人员补充说，财政部在应对黑客攻击时并没有缺少“神奇的软件或硬件”。“最缺乏的是应对所需的人员。”

另一位在财政部不同网络安全小组工作的人员告诉调查人员，他的团队在应对黑客攻击方面也做得“很好”。然而，“他最大的惊讶”是“事件首次曝光时，无法快速和轻松地进行沟通。”

该人士表示，由于员工的电子邮件被泄露，他们不得不使用加密消息应用程序Signal进行沟通，这在最初减缓了响应速度。

在2022年，距离SolarWinds黑客攻击两年后，财政部获得了1亿美元的资金——比前一年增加了2000万美元——以增强其网络安全基础设施。该机构请求更多资金以资助今年的额外改进，并指出它“不断受到包括国家和犯罪集团在内的大量威胁行为者的攻击。”

事实上，即使财政部在网络安全方面投入了所有资金，该机构似乎仍然脆弱。上个月，距离SolarWinds黑客攻击近五年之际，财政部被中国国家支持的行为者黑客攻击。至少3000个文件以及员工的用户名和密码被盗。

有关于您认为我应该通过FOIA请求的文件的提示吗？给我发邮件：[email protected]或在Signal上给我发消息：+1-213-270-4334。

更多来自FOIA文件

• 国家档案馆需要特朗普的支持，但该机构背负着目标
• 卡什·帕特尔的电子邮件提供了他可能如何管理FBI的见解
• 对最高法院和联邦法官的图形和奇异威胁内幕
• 普京的暗杀目标在解密备忘录中揭示

更多来自彭博社

喜欢FOIA文件吗？查看这些通讯：

• 网络简报：独家报道黑客和网络间谍活动的阴影世界——以及企业如何进行防御。
• 华盛顿版：通过商业、市场和经济的视角关注特朗普的第二个任期。

在 Bloomberg.com 上探索所有通讯。