【CSDN 編者按】大家知道嗎?你們常用的開發環境 IntelliJ IDEA 和 PyCharm 、著名編程語言 Kotlin 背後的 JetBrains 公司,因上個月 SolarWinds 被黑客入侵的事件遭美國調查,究竟是怎麼回事呢?
整理 | 屠敏、鄭麗媛
出品 | CSDN(ID:CSDNnews)
JetBrains 這家捷克軟件公司大家有知道嗎?沒有的話,那學習 Java 的人肯定知道 IntelliJ IDEA,學習 Python 的人也知道 PyCharm,就算沒有接觸過這兩個開發環境,那 Android 官方支持的開發語言 Kotlin 肯定有所耳聞吧?而這三個產品背後的公司正是 JetBrains。或許它並沒有微軟、甲骨文這類巨頭企業發展悠久,但它爲開發者提供的軟件工具覆蓋了 IDE、.NET、編程語言、框架等等。
可就是這“潤物細無聲”的 JetBrains,最近卻攤上事了:據《紐約時報》報道,美國情報機構和私人網絡安全調查人員正在對該公司進行調查!主要調查的方向爲 JetBrains 是否遭到入侵,旗下的 TeamCity(CI/CD 服務器)產品是否可能成爲黑客入侵的途徑。
爲何不久前剛因市值達到約 70 億美元並助力其創始人登上彭博億萬富翁指數榜單的 JetBrains 轉身就成爲了被調查的對象,這或許要從“SolarWinds 黑客事件”說起。
一、SolarWinds 黑客事件
據《華爾街日報》報道,去年 12 月,美國財政部、商務部等多個政府機構遭到攻擊。在追蹤源頭時發現,安全人員發現這些機構的電腦等設備均安裝了被植入惡意代碼的軟件,其來自於知名 IT 公司 SolarWinds 旗下的 Orion 網絡監控軟件。
在應用中,SolarWinds 的客戶包括了”財富美國500強“(Fortune 500)企業、美國所有前十大電信業者、美軍所有五大部隊、美國國務院、國家安全局,以及美國總統辦公室等。而此次黑客事件,可能會影響並波及到 18,000 位用戶。
不過,據外媒報道,截止目前,所披露出來的影響範圍或僅是冰上一角。在此之下,美國網絡安全和基礎架構安全局(CISA)發佈了緊急指令,指示非軍事政府系統停止運行該軟件。
不久後,SolarWinds 證實了,在其超過 30 萬名的客戶中,有不到 18000 個客戶在 2020 年 3-6 月期間下載了 SolarWinds Orion 更新,其中就可能包括惡意軟件。而這些惡意軟件可能進行祕密運作,從入侵的系統中盜竊有價值的知識產權、機密和專有數據、電子郵件和其他有價值的信息。
事情發生後,經調查,美 FBI、NSA、網絡安全與基礎設施安全局 (CISA) 和國家情報總監辦公室 (ODNI) 近日正式發表聯合聲明稱:俄羅斯很可能是攻擊 SolarWinds 供應鏈的源頭。
與此同時,國外知名的安全公司 fireeye 也發佈了分析報告《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》,詳細披露了該攻擊事件的技術細節以及檢測規則。
SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟件框架 的SolarWinds 數字簽名組件,黑客通過修改該文件並植入了一個後門,該後門通過 HTTP 與第三方服務器進行通信。
在放入木馬之後,經過長達兩週的初始休眠期後,它會檢索並執行稱爲“Jobs”的命令,這些命令包括傳輸文件、執行文件、對系統進行配置文件、重新啓動計算機以及禁用系統服務的功能。
此外,該惡意軟件僞裝成 Orion 改進程序(OIP)協議的網絡流量,並將偵察結果存儲在合法的插件配置文件中,從而使其能夠與合法的 SolarWinds 活動融合在一起。黑客基於此可以遠程控制安裝木馬的計算機。
二、JetBrains 牽扯其中?
不過,這和 JetBrains 又是如何扯上關係的?
據瞭解,JetBrains 的創始人有三位,分別是 Sergey Dmitriev、Eugene Belyaev 及 Valentin Kipiatkov,均來自俄羅斯。JetBrains 憑藉其優秀的軟件產品,全美財富 100 強公司中有 79 家是其客戶,有 30 萬家企業的開發人員在使用其產品,SolarWinds 就是其中之一。
據《紐約時報》報道,調查人員查的正是 JetBrains 旗下的 TeamCity ,該產品允許開發人員在軟件代碼發佈之前對其進行測試和交換。網絡專家指出, TeamCity 可能是黑客入侵的途徑,因爲通過破壞 TeamCity 或利用客戶使用的版本差異,俄羅斯黑客可以輕鬆在衆多用戶中植入惡意代碼。
同時 TeamCity 的使用非常廣泛,因此專家認爲必須確定這款軟件是否存在漏洞,攻擊者是否可能通過盜竊用戶密碼或利用過時版本軟件的漏洞入侵 TeamCity 的客戶。
SolarWinds 週三證實,確實使用了 JetBrains 旗下的 TeamCity 以軟件開發,並且正在調查該軟件,作爲系統入侵調查的一部分。
不過 SolarWinds 表示,尚未確認 JetBrains 與此次黑客入侵有明確聯繫。
三、JetBrains 迴應!
隨後 JetBrains 於 1 月 6 日進行了正面的迴應,否定《紐約時報》所報道的正在被調查一事,並稱“JetBrains 並未以任何方式參與或涉及到此次攻擊中。”
JetBrains 表示,“SolarWinds 僅是作爲其使用 TeamCity 產品的一位客戶。TeamCity 是一款持續集成 CI 服務器工具,於 2006 年 10 月首次發佈,旨在爲廣大用戶提供了全面、預先集成的解決方案。SolarWinds 尚未與我們聯繫以獲取有關違規的任何詳細信息,而我們僅有的信息都是公開可用的信息。
需要強調的是,TeamCity 是一個複雜的產品,需要適當的配置。如果在此過程中使用了 TeamCity,則很可能是由於配置錯誤而並非是特定漏洞引起的。此外,安全是我們的首要任務,我們在安全公告中透明地通知和管理更新。
其次,沒有任何政府或安全機構就此事與我們聯繫,也沒有任何調查的可能。如果進行了這樣的調查,我們會積極配合。
我們始終願意回答有關此問題的所有問題,並且一如既往地致力於爲我們的客戶提供最佳的產品和服務。”
對此,你怎麼看?
參考鏈接:
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html