欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

解读美国国会关于OPM数据泄露事件的调查报告

来源:本站整理 作者:佚名 时间:2016-09-17 TAG: 我要投稿


2015年7月,美国联邦人事管理局(OPM)公开承认曾遭到两次黑客入侵攻击,攻击造成现任和退休联邦雇员超过2210万相关个人信息和560万指纹数据遭到泄露。泄露内容包括详细个人信息,如社会安全码、姓名、出生年月、居住地址、教育工作经历、家庭成员和个人财务信息等。美官员声称,这是美国政府历史上最大的数据泄露案件之一。美国前高级反间谍官员布伦纳(Joel Brenner)表示,对外国情报机关来说,这些信息简直就是金矿或者皇冠上的明珠。
OPM攻击最早由美国计算机应急响应中心(US-CERT)通过爱因斯坦入侵检测系统(Einstein)发现,但US-CERT声称OPM网络可能早于爱因斯坦系统部署前就已被渗透。
9月7日,美众议院监督和政府改革委员会公布了名为《The OPM Data Breach: How the Government Jeopardized Our NationalSecurity for More than a Generation》的调查报告,报告指出OPM从根本上缺乏防患于未然的意识,简单的“亡羊补牢”措施,导致了如此严重的后果。

 
调查报告批评OPM领导不力,虽然多年来一直受到信息安全警告,但却从未采取有效行动保护其存储的大量敏感数据。报告认为,只要OPM采取基本的安全防范措施,加强安全意识,信息泄露事件或许就不会发生。我们来简要了解一下这份241页的调查报告:
1 概要
黑客所窃取数据的重要性:
黑客从OPM盗走的SF-86表格信息涉及美国政府雇员、国家安全雇员、情报人员、军人和承包商等,由于国家安全或涉密领域相关的联邦雇员必须进行背景安全调查,调查要求填写的SF-86表格涉及个人过往和现在的大量隐私信息,包括社会安全码、出生年月、居住地址、教育经历、家庭成员和个人财务信息等,这些信息一旦被非法利用,将对美国家安全造成威胁。
首次事件:
根据报告,美国土安全部(DHS)早在2012年7月就对OPM发出入侵攻击警告,2014年3月,DHS爱因斯坦入侵检测系统监测到OPM数据遭到泄露, OPM网络在晚上22时到次日上午10时经常出现可疑异常流量,经分析,这是黑客在半夜进行大量资料的窃取活动。
后续事件:
2014年3月,经过取证分析,OPM发现了第一位入侵系统的黑客X1,之后几个月OPM与FBI、NSA和其它机构合作对这位黑客展开监控调查,并拟定“大爆炸”(Big Bang)计划,准备在2014年5月将这位X1黑客“驱逐”出系统。
出乎所有人预料,在“大爆炸”计划之前,另一名假冒OPM承包商身份的黑客X2,早已入侵OPM系统并安装了恶意软件,而所有人都不知道它的存在。
“大爆炸”计划之后,黑客X2潜伏于OPM网络系统。2014年7月至8月,X2窃取了OPM的背景安全调查文件;2014年12月,X2窃取了OPM的人事档案资料;2015年初,X2窃取了OPM大量指纹数据。
然而,OPM于2015年4月才发现黑客X2入侵了其网络系统。
2 关键事件节点
数据泄露事件发生后,经过OPM的调查和回顾,罗列了以下一些关键事件的时间节点:
2012年7月,据US-CERT报告,OPM网络遭到黑客入侵,在其中一台服务器上发现了植入的Hikit后门软件;
2013年11月,黑客攻击活动产生了第一条线索;
2013年12月,黑客攻击活动产生了数据窃取线索(包括后续的OPM承包商认证信息窃取);
2014年3月20日,US-CERT警告OPM网络中存在数据窃取活动,之后,OPM与US-CERT联合以反间谍为由实施“Big Bang”计划,在网络中监控攻击者(X1)。此次具体泄露数据未知;
2014年3月27日,在OPM监控黑客X1过程中,甚至还计划了“必要时关闭整个系统“的方案;
2014年4月21日,OPM承包商SRA发现了一种特定的恶意软件,并引起了US-CERT的关注;
2014年4月25日,黑客为后续C&C和窃取数据之用,注册了域名“opmsecurity.org”,注册人名称为Steven Rogers(美国队长);
2014年5月7日,攻击者X2以OPM承包商KeyPoint雇员身份,使用OPM认证信息远程登录进入网络,安装后门软件PlugX,然而,此时,OPM因为在执行监控黑客X1的“BigBang”计划,而完全没留意到黑客X2;
2014年5月27日,由于黑客X1向一些数据库管理平台植入了键盘记录程序,无限接近背景调查资料处理系统PIPS,OPM不得不关闭了被黑客入侵的计算机系统;
然而,与此同时,于5月7日植入后门的黑客X2还继续潜伏在OPM网络中;
2014年6月5日,黑客通过不同的管理员账户权限成功在某KeyPoint网站服务器中安装了恶意软件;
2014年6月20日,攻击者执行RDP协议会话,远程连接储存有重要敏感信息的服务器;
2014年7月-8月,攻击者成功从OPM系统窃取了背景调查资料;
2014年7月9日,OPM正式承认其个人身份信息遭到攻击泄露;
2014年7月29日,攻击者在入侵OPM系统期间,为C&C之用,注册了域名“opmlearning.org”,注册人名称为Tony Stark(钢铁侠);
2014年10月,在FBI发出“美国大量政府和商业公司正遭受网络间谍攻击”的警告后,攻击者从OPM网络中转移到了存储有OPM窃取资料的美国内政部DOI数据中心;
2014年12月,攻击者从内政部DOI数据库中转移了从OPM系统窃取的420万个人信息;
2015年3月3日,为了C&C和后续入侵使用,攻击者注册了”wdc-news-post.com“域名;
2015年3月26日,OPM指纹数据被窃取;
2015年4月16日,OPM联系安全公司Cylance进行安全工具Cylance V的技术支撑;
2015年4月17日,OPM开始在内部网络中部署CylanceProtect安全防护设备;

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载