【CSDN 編者按】大家知道嗎?你們常用的開發環境 IntelliJ IDEA 和 PyCharm 、著名程式語言 Kotlin 背後的 JetBrains 公司,因上個月 SolarWinds 被黑客入侵的事件遭美國調查,究竟是怎麼回事呢?
整理 | 屠敏、鄭麗媛
JetBrains 這家捷克軟體公司大家有知道嗎?沒有的話,那學習 Java 的人肯定知道 IntelliJ IDEA,學習 Python 的人也知道 PyCharm,就算沒有接觸過這兩個開發環境,那 Android 官方支持的開發語言 Kotlin 肯定有所耳聞吧?而這三個產品背後的公司正是 JetBrains。或許它並沒有微軟、甲骨文這類巨頭企業發展悠久,但它為開發者提供的軟體工具覆蓋了 IDE、.NET、程式語言、框架等等。
可就是這「潤物細無聲」的 JetBrains,最近卻攤上事了:據《紐約時報》報導,美國情報機構和私人網絡安全調查人員正在對該公司進行調查!主要調查的方向為 JetBrains 是否遭到入侵,旗下的 TeamCity(CI/CD 伺服器)產品是否可能成為黑客入侵的途徑。
為何不久前剛因市值達到約 70 億美元並助力其創始人登上彭博億萬富翁指數榜單的 JetBrains 轉身就成為了被調查的對象,這或許要從「SolarWinds 黑客事件」說起。
SolarWinds 黑客事件
據《華爾街日報》報導,去年 12 月,美國財政部、商務部等多個政府機構遭到攻擊。在追蹤源頭時發現,安全人員發現這些機構的電腦等設備均安裝了被植入惡意代碼的軟體,其來自於知名 IT 公司 SolarWinds 旗下的 Orion 網絡監控軟體。
在應用中,SolarWinds 的客戶包括了」財富美國500強「(Fortune 500)企業、美國所有前十大電信業者、美軍所有五大部隊、美國國務院、國家安全局,以及美國總統辦公室等。而此次黑客事件,可能會影響並波及到 18,000 位用戶。不過,據外媒報導,截止目前,所披露出來的影響範圍或僅是冰上一角。在此之下,美國網絡安全和基礎架構安全局(CISA)發布了緊急指令,指示非軍事政府系統停止運行該軟體。
不久後,SolarWinds 證實了,在其超過 30 萬名的客戶中,有不到 18000 個客戶在 2020 年 3-6 月期間下載了 SolarWinds Orion 更新,其中就可能包括惡意軟體。而這些惡意軟體可能進行秘密運作,從入侵的系統中盜竊有價值的智慧財產權、機密和專有數據、電子郵件和其他有價值的信息。
事情發生後,經調查,美 FBI、NSA、網絡安全與基礎設施安全局 (CISA) 和國家情報總監辦公室 (ODNI) 近日正式發表聯合聲明稱:俄羅斯很可能是攻擊 SolarWinds 供應鏈的源頭。
與此同時,國外知名的安全公司 fireeye 也發布了分析報告《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》(https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html),詳細披露了該攻擊事件的技術細節以及檢測規則。
SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟體框架 的SolarWinds 數字籤名組件,黑客通過修改該文件並植入了一個後門,該後門通過 HTTP 與第三方伺服器進行通信。
在放入木馬之後,經過長達兩周的初始休眠期後,它會檢索並執行稱為「Jobs」的命令,這些命令包括傳輸文件、執行文件、對系統進行配置文件、重新啟動計算機以及禁用系統服務的功能。此外,該惡意軟體偽裝成 Orion 改進程序(OIP)協議的網絡流量,並將偵察結果存儲在合法的插件配置文件中,從而使其能夠與合法的 SolarWinds 活動融合在一起。黑客基於此可以遠程控制安裝木馬的計算機。
JetBrains 牽扯其中?
不過,這和 JetBrains 又是如何扯上關係的?
據了解,JetBrains 的創始人有三位,分別是 Sergey Dmitriev、Eugene Belyaev 及 Valentin Kipiatkov,均來自俄羅斯。JetBrains 憑藉其優秀的軟體產品,全美財富 100 強公司中有 79 家是其客戶,有 30 萬家企業的開發人員在使用其產品,SolarWinds 就是其中之一。
據《紐約時報》報導,調查人員查的正是 JetBrains 旗下的 TeamCity ,該產品允許開發人員在軟體代碼發布之前對其進行測試和交換。網絡專家指出, TeamCity 可能是黑客入侵的途徑,因為通過破壞 TeamCity 或利用客戶使用的版本差異,俄羅斯黑客可以輕鬆在眾多用戶中植入惡意代碼。同時 TeamCity 的使用非常廣泛,因此專家認為必須確定這款軟體是否存在漏洞,攻擊者是否可能通過盜竊用戶密碼或利用過時版本軟體的漏洞入侵 TeamCity 的客戶。
SolarWinds 周三證實,確實使用了 JetBrains 旗下的 TeamCity 以軟體開發,並且正在調查該軟體,作為系統入侵調查的一部分。
不過 SolarWinds 表示,尚未確認 JetBrains 與此次黑客入侵有明確聯繫。
JetBrains 回應!
隨後 JetBrains 於 1 月 6 日進行了正面的回應,否定《紐約時報》所報導的正在被調查一事,並稱「JetBrains 並未以任何方式參與或涉及到此次攻擊中。」
JetBrains 表示,「SolarWinds 僅是作為其使用 TeamCity 產品的一位客戶。TeamCity 是一款持續集成 CI 伺服器工具,於 2006 年 10 月首次發布,旨在為廣大用戶提供了全面、預先集成的解決方案。SolarWinds 尚未與我們聯繫以獲取有關違規的任何詳細信息,而我們僅有的信息都是公開可用的信息。需要強調的是,TeamCity 是一個複雜的產品,需要適當的配置。如果在此過程中使用了 TeamCity,則很可能是由於配置錯誤而並非是特定漏洞引起的。此外,安全是我們的首要任務,我們在安全公告中透明地通知和管理更新。
其次,沒有任何政府或安全機構就此事與我們聯繫,也沒有任何調查的可能。如果進行了這樣的調查,我們會積極配合。
我們始終願意回答有關此問題的所有問題,並且一如既往地致力於為我們的客戶提供最佳的產品和服務。」
對此,你怎麼看?
參考連結:
https://www.nytimes.com/2021/01/06/us/politics/russia-cyber-hack.html
https://blog.jetbrains.com/teamcity/2021/01/statement-on-the-story-from-the-new-york-times-regarding-jetbrains-and-solarwinds/
全球知名代碼託管平臺 GitHub 拆除伊朗「開源有國界這堵牆」。開源本無國界,但是自從美國「貿易禁令」的出現,外加身為開源的創造者有國界之分,開源還能實現共享嗎?中國開發者當如何自處?