上周五晚些时候,橡树岭国家实验室(Oak Ridge National Laboratory)遭遇了一次复杂的网络攻击,被迫关闭了其电子邮件系统,并关闭了所有员工的互联网接入。
橡树岭国家实验室是世界上最大的实验室之一强大的超级计算机上周五晚些时候,由于受到一场复杂的网络攻击,该公司被迫关闭了员工的电子邮件系统和所有互联网接入。
在调查人员确定攻击已经完全得到控制之前,对互联网接入的限制将继续存在,俄勒冈州国家实验室通讯主任芭芭拉·彭兰德说。
实验室预计将在周三恢复外部电子邮件服务,但暂时不允许附件。
Penland说,其他几个国家实验室和政府机构也遭到了同样的攻击,这些攻击似乎是本月早些时候发起的。
Penland说,橡树岭的这些措施是在周五晚间实施的,此前初步调查显示,攻击者试图从实验室的系统中窃取技术数据,并将其发送到外部系统。
不过,到目前为止,似乎没有大量数据被窃取。Penland表示,调查人员认为,无论是谁发起的攻击,他成功窃取了不到1GB的数据。
潘兰德说,目前还没有证据表明这些袭击来自哪里,也没有人可能是幕后主使。
这些攻击是通过向573名实验室员工发送钓鱼邮件发起的。这些邮件被伪装成来自实验室人力资源部的样子,并声称是为了通知员工一些与福利相关的变化。
这些电子邮件包含一个链接,员工们被要求点击链接以获得进一步的信息。
一些员工似乎点击了这个链接,导致一个窃取信息的恶意软件程序被下载到他们的系统中。
Penland没有提供关于恶意软件本身的更多细节。但是一个故事Knoxnews.com援引俄勒冈州国家实验室主任梅森的话说,恶意软件程序利用了ie浏览器的零日漏洞。
报道援引梅森的描述称,这次攻击是一场复杂的高级持续威胁(Advanced Persistent Threat, APT)攻击,旨在在实验室的网络上获得一个落脚点,然后悄悄寻找和窃取特定类型的信息。
梅森告诉Knoxnews.com说:“看看这个APT,你会发现它比几年前使用的要复杂得多。”“当然,我们所看到的与RSA攻击非常一致,”他指的是一个几周前对RSA的攻击这导致了与该公司的SecurID双因素认证技术相关的数据被盗。
Penland说,实验室的200名IT人员目前几乎都在调查这些攻击,或者确保其他系统仍然可用。她说,其他国家实验室的工作人员也在协助调查。目前,这些攻击只是IT部门调查的对象,而不是犯罪行为。
Penland说,攻击似乎是针对ORNL的商业系统。该实验室的超级计算机,包括世界上最强大的系统,1.75千万亿次的美洲豹,没有受到攻击,并继续正常运行。
她补充说,截至今天下午,袭击似乎已经得到控制。她说:“关闭互联网是一种预防措施,以确保在我们进一步调查的过程中不会泄露任何信息。”
她说,自上周五以来,电子邮件和互联网的关闭迫使员工依靠传真机和电话与外界联系。
梅森描述的这类apt是高度定向的、低强度的攻击,旨在进行间谍活动,并从高价值目标那里窃取信息。这些攻击据信有许多来自中国,最初的目标是美国空军和政府网络。
在过去18个月左右的时间里,越来越多的私营企业也报告成为APTs的受害者。最引人注目的是谷歌,去年指责中国发动APT攻击去窃取它的知识产权
最近,安全供应商RSA声称,它是APT攻击的受害者,此前入侵者侵入其网络,窃取了其SecurID双因素认证技术的数据。
橡树岭国家实验室的地位作为能源部资助的实验室,和它做的工作特别是在超级计算机领域,使它容易攻击的主要目标,如果这确实是发生在实验室里,富Mogull Securosis分析师说。
Mogull说,ORNL所描述的入侵显然符合典型的APT攻击模式,即攻击者首先尝试使用高度针对性的钓鱼邮件来破坏系统,然后投放零日恶意软件来窥探和窃取数据
但其他分析人士表示,在更多细节公布之前,很难确定。
“‘高级持续威胁’这个词肯定是大肆宣传而且经常被用作借口,比如在‘好吧,这真的不是我们的错,这是一个高级持续威胁’,”Gartner分析师约翰·佩斯卡托雷(John Pescatore)说。“先进的意思是它越过了你的防御,持久的意思是一旦它进来,你花了太长时间才发现它。”
Spire Security分析师皮特·林德斯特伦(Pete Lindstrom)表示,燕鸥APT最近经常被用作保全面子的工具。他说:“APT的定义非常混乱,任何人都可以声称APT,在某种意义上是对的,在另一种意义上是错的。”“证据就在本可以阻止它的防御中——如果它们是基本的安全措施,那么APT的概念就没有意义了。”
这是橡树岭第二次成为网络钓鱼攻击的受害者。在2007年,黑客进入了一个非机密数据库通过网络钓鱼邮件感染内部系统后。
这种妥协导致了个人数据的泄露,包括实验室访客的社会安全号码。
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注贾库马尔@jaivijayan或订阅Jaikumar的RSS提要.他的电子邮件地址是jvijayan@computerworld.com.
阅读更多关于网络犯罪和黑客的信息在计算机世界的网络犯罪和黑客主题中心。
这篇文章,“橡树岭国家实验室在网络攻击后关闭了互联网,电子邮件”最初是由《计算机世界》 .