據《紐約時報》報導，美國網絡司令部司令兼美國國安局局長保羅·中曾根在選舉日曾報告說，反對俄羅斯干預總統競選的戰鬥已經取得了重大成功，並暴露了對方的在線武器、工具和諜報技術。他對記者說：“我們拓寬了行動範圍，感覺我們現在的情況非常好。”八週後，中曾根將軍和其他負責網絡安全的美國官員現在被他們至少9個月來所忽略的事情所消耗：現在被認為影響到多達250個聯邦機構和企業的黑客攻擊，俄羅斯的目標不是選舉系統，而是美國政府的其他部門和許多美國大公司。

入侵事件曝光三週後，美國官員仍在試圖了解俄羅斯人的所作所為，究竟是簡單的在美國官僚系統內部進行間諜活動，還是將“後門”接入政府機構、大公司、電網以及開發和運輸新一代核武器的實驗室。

《紐約時報》認為，至少這些事件已經引發了美國政府和私營部門網絡易受攻擊的警報，並提出了美國國家網絡防禦系統為何失敗的問題。

鑑於此次漏洞並不是由任何一個分擔網絡防禦責任的政府機構–軍方的網絡司令部和國家安全局（均由中曾根將軍掌管）以及國土安全部–發現的，而是由一家私營網絡安全公司FireEye發現的，因此這些問題顯得尤為緊迫。

“這看起來比我最初擔心的要糟糕得多，”弗吉尼亞州民主黨參議員、參議院情報委員會排名成員馬克·華納說。“它的規模不斷擴大。很明顯，美國政府錯過了它。”“而如果FireEye沒有站出來，”他補充說，“我不確定我們到今天還能不能完全意識到這一點。”

對調查情報機構認為是俄羅斯SVR情報部門行動的關鍵人物的採訪顯示了這些要點：

漏洞的範圍比最初認為的要大得多。最初的估計是，俄羅斯只向18000個政府和私人網絡中的幾十個網絡發起攻擊，他們在德克薩斯州一家名為SolarWinds的公司製造的網絡管理軟件中插入代碼，從而獲得了訪問權。但隨著亞馬遜和微軟等提供雲服務的企業深入挖掘證據，現在看來，俄羅斯利用供應鏈的多個層面獲得了多達250個網絡的訪問權限。

黑客從美國境內的服務器進行管理入侵，利用國家安全局從事國內監控的法律禁令，躲過了國土安全部部署的網絡防禦措施。

美國網絡司令部和國家安全局在外國網絡深處放置的“預警”傳感器，用於偵測醞釀的攻擊，顯然是失敗的。目前也還沒有跡象表明，有任何人類情報機構向美國發出了黑客攻擊的警報。

美國政府對選舉防禦的重視雖然在2020年至關重要，但可能轉移了資源和注意力，使其無法解決保護軟件“供應鏈”等醞釀已久的問題。在私營部門，也是如此，像FireEye和微軟這樣專注於選舉安全的公司，現在也透露他們被攻破，成為更大的供應鏈攻擊的一部分。

據現任和前任員工以及政府調查人員稱，被黑客用作攻擊渠道的SolarWinds公司，其產品的安全性能歷來不高，因此很容易成為目標。該公司首席執行官Kevin B. Thompson已經迴避了他的公司是否應該發現入侵的問題。

部分被入侵的SolarWinds軟件是在東歐設計的，美國調查人員目前正在研究入侵是否源自那裡，因為俄羅斯情報人員在那裡根深蒂固。

攻擊背後的意圖仍被掩蓋。但隨著新政府在不到三週後上任，一些分析人士表示，俄羅斯人可能試圖動搖華盛頓對其通信安全的信心，並展示他們的cyberarsenal，以便在核武談判之前獲得對當選總統拜登的影響力。

“我們仍然不知道俄羅斯的戰略目標是什麼，”曾在奧巴馬政府期間擔任國土安全部高級網絡官員的Suzanne Spaulding說。“但我們應該關注的是，這其中的一部分可能超出了偵察的範圍。他們的目標可能是讓自己處於對新政府有影響力的地位，就像拿槍指著我們的腦袋，以阻止我們採取行動對抗普京。”

日益增長的打擊名單

美國政府顯然是攻擊的主要焦點，財政部、國務院、商務部、能源部和五角大樓的部分機構都被證實被滲透。國防部堅持認為對其係統的攻擊是不成功的，儘管它沒有提供證據。

但黑客攻擊也攻破了大量的公司，其中許多公司尚未出面。SolarWinds被認為是俄羅斯在黑客攻擊中使用的幾家供應鏈供應商之一。微軟截至12月17日已統計出40名受害者，起初它說自己沒有被入侵，但本週才發現自己被入侵了–而且其軟件的經銷商也被入侵了。亞馬遜情報團隊此前未報告的評估發現，受害者人數可能是其五倍之多，不過官員警告說，其中一些人可能被重複計算。

官員們在公開場合表示，他們不相信來自俄羅斯SVR的黑客攻破了包含敏感通信和計劃的機密系統。但私下里，官員們表示，他們仍不清楚可能被竊取的內容。

他們說，他們擔心黑客可能從聯邦能源監管委員會等受害者那裡竊取了微妙但不保密的數據，包括”黑啟動(Black-Start) “，即美國計劃在大停電時如何恢復電力的詳細技術藍圖。

這些計劃將給俄羅斯提供一個目標系統的命中名單，以防止其在2015年在烏克蘭發動的攻擊中恢復電力，在深冬時關閉電力6小時。莫斯科早就在美國電網中植入了惡意軟件，美國也對俄羅斯做了同樣的事情，以示威懾。

供應鏈受損

到目前為止，調查的一個主要焦點是SolarWinds，這家位於奧斯汀的公司，其軟件更新被黑客入侵。但美國國土安全部的網絡安全部門認為，黑客也是通過其他渠道工作的。而上週，另一家安全公司CrowdStrike透露，它也被同樣的黑客盯上了，但沒有成功，但通過一家轉售微軟軟件的公司。

由於經銷商經常受託設置客戶的軟件，他們–像SolarWinds一樣–可以廣泛進入微軟客戶的網絡。因此，他們可以成為俄羅斯黑客的理想木馬。情報官員對微軟沒有更早發現這次攻擊表示憤怒；該公司週四表示，黑客查看了其源代碼，但沒有透露其哪些產品受到影響，也沒有透露黑客在其網絡內部停留了多長時間。

Obsidian Security公司創始人Glenn Chisholm表示：“他們瞄準了供應鏈中最薄弱的環節，並通過我們最信任的關係進行攻擊。”

對SolarWinds現員工和前員工的採訪表明，它遲遲沒有將安全作為優先事項，即使其軟件被美國首屈一指的網絡安全公司和聯邦機構採用。員工們表示，在受過培訓的會計師和前首席財務官湯普森先生的領導下，公司對業務的每一個部分都進行了檢查，以節約成本，而普通的安全實踐則因其費用而被摒棄。他的方法幫助SolarWinds的年利潤率從2010年的1.52億美元增加了近三倍，到2019年超過4.53億美元。

但其中一些措施可能會使公司及其客戶面臨更大的攻擊風險。SolarWinds將其大部分工程轉移到捷克共和國、波蘭和白俄羅斯的辦公室，在那裡，工程師可以廣泛訪問俄羅斯特工入侵的Orion網絡管理軟件。該公司僅表示，對其軟件的操縱是人為黑客所為，而非計算機程序。該公司沒有公開處理內部人員參與入侵的可能性。

《紐約時報》最近幾週接觸的SolarWinds客戶中，沒有一個人知道他們依賴的是在東歐維護的軟件。許多人表示，他們甚至直到最近才知道自己使用的是SolarWinds軟件。

即使在整個聯邦網絡中安裝了它的軟件，員工們說，SolarWinds只是在2017年，在新的歐洲隱私法的懲罰威脅下，才加裝了安全防護措施。員工說，直到那時，SolarWinds才聘請了第一位首席信息官，並安裝了一位”安全架構”副總裁。

SolarWinds的前網絡安全顧問Ian Thornton-Trump表示，他當年曾警告管理層，除非它對內部安全採取更積極的態度，否則網絡安全事件將是”災難性的”。在他的基本建議被忽視後，桑頓-特朗普先生離開了公司。

SolarWinds拒絕回應有關其安全性是否充分的問題。在一份聲明中，它說它是”高度複雜、複雜和有針對性的網絡攻擊的受害者”，並正在與執法部門、情報機構和安全專家密切合作進行調查。

但安全專家指出，在發現俄羅斯攻擊後數天，SolarWinds的網站才停止向客戶提供受影響的代碼。

攻大於守

近年來，數十億美元的網絡安全預算流向了進攻性的間諜活動和先發製人計劃，也就是中曾根將軍所說的”超前防禦”的需要，通過入侵對手的網絡，儘早了解他們的行動，並在必要時，在他們發動攻擊之前，在自己的網絡內部進行反擊。但這種方法雖然被譽為早就應該採取的先發製人的策略​​，但卻錯過了俄羅斯的漏洞。

據FireEye報導，俄羅斯人通過從美國境內的服務器發動攻擊，在某些情況下，他們使用的計算機與受害者在同一個城鎮或城市，利用了國家安全局的權力限制。國會沒有賦予該機構或國土安全局任何進入或保衛私營部門網絡的權力。正是在這些網絡上，SVR特工們不太小心，留下了他們入侵的線索，FireEye最終得以發現。

通過將自己插入到SolarWinds的獵戶座更新中，並使用自定義工具，他們還避免了跳過國土安全局在政府機構中部署的”愛因斯坦”檢測系統的警報，以捕捉已知的惡意軟件，以及所謂的CDM程序，該程序是明確設計用來提醒機構注意可疑活動的。

一些情報官員質疑，政府是否如此專注於選舉干預，以至於在其他地方製造了空子。情報機構幾個月前得出結論，認為俄羅斯已經確定無法滲透到足夠多的選舉系統來影響選舉結果，而是將注意力轉移到轉移可能剝奪選民權利的勒索軟件攻擊，以及旨在播撒不和諧的影響行動，引發對系統完整性的懷疑，改變選民的想法。

早在2019年10月就開始的SolarWinds黑客攻擊事件，以及對微軟經銷商的入侵，讓俄羅斯有機會攻擊多個聯邦機構中最脆弱、最不設防的網絡。

中曾根將軍拒絕接受采訪。但國家安全局發言人查爾斯-K-斯塔德蘭德說。“我們不認為這是一個’非此即彼’的權衡。選舉安全工作中構建的行動、見解和新框架，對國家和美國政府的網絡安全態勢有著廣泛的積極影響。”

事實上，美國似乎已經成功說服了俄羅斯，即旨在改變選票的攻擊將促使俄羅斯採取代價高昂的報復行動。但隨著入侵規模的凸顯，美國政府顯然未能說服俄羅斯，執行對聯邦政府和企業網絡的大範圍黑客攻擊會有相當的後果。

把黑客“趕出去”

情報官員說，他們可能要花幾個月甚至幾年的時間才能對黑客攻擊事件有一個全面的了解。

自2017年提取一名克里姆林宮高層線人以來，中情局對俄羅斯行動的了解已經減少。而情報官員說，SVR通過避免可能向國家安全局暴露機密的電子通訊，一直保持著世界上最有能力的情報部門之一。

對SVR最好的評估來自荷蘭人。2014年，為荷蘭情報和安全總局工作的黑客刺破了該組織使用的電腦，至少觀察了一年，並一度將其拍下。

正是荷蘭人在2014年和2015年幫助提醒白宮和國務院他們的系統遭到SVR黑客攻擊，上個月，他們抓住了兩名被指控滲透到荷蘭科技公司的SVR特工，並將其驅逐出荷蘭。雖然該組織並不以破壞性著稱，但其滲透到的計算機系統中卻很難驅逐。

當SVR闖入國務院和白宮的非機密系統時，時任國家安全局副局長的理查德-萊傑特說，該機構進行的數字相當於“徒手搏鬥”。有一次，SVR獲得了調查人員用來連根拔除俄羅斯後門的NetWitness Investigator工具的訪問權限，以這樣的方式操縱它，使黑客繼續逃避檢測。

調查人員說，他們會認為自己已經把SVR“趕出去”了，卻發現這群人從另一扇門“爬了進來”。

一些安全專家說，把這麼多龐大的聯邦機構趕出SVR可能是徒勞的，唯一的出路可能是關閉系統，重新開始。其他人說，在大流行期間這樣做將是非常昂貴和耗時的，新政府將不得不努力識別和控制每一個受損的系統，然後才能校準響應。

“SVR是故意的，他們很複雜，而且他們沒有像我們在西方國家那樣的法律約束，”前政府情報分析師亞當-達拉說，他現在是安全公司Vigilante的情報總監。他補充說，制裁、起訴和其他措施都沒能阻擋住SVR，它已經顯示出它可以迅速適應。

“他們現在正在非常密切地觀察我們，”達拉說。“而且他們會相應地進行調整。”