2015年7月，美國聯邦人事管理局（OPM）公開承認曾遭到兩次黑客入侵攻擊，攻擊造成現任和退休聯邦雇員超過2210萬相關個人信息和560萬指紋數據遭到泄露。泄露內容包括詳細個人信息，如社會安全碼、姓名、出生年月、居住地址、教育工作經歷、家庭成員和個人財務信息等。美官員聲稱，這是美國政府歷史上最大的數據泄露案件之一。美國前高級反間諜官員布倫納（Joel Brenner）表示，對外國情報機關來說，這些信息簡直就是金礦或者皇冠上的明珠。

OPM攻擊最早由美國計算機應急響應中心（US-CERT）通過愛因斯坦入侵檢測系統（Einstein）發現，但US-CERT聲稱OPM網絡可能早于愛因斯坦系統部署前就已被滲透。

9月7日，美眾議院監督和政府改革委員會公布了名為《The OPM Data Breach: How the Government Jeopardized Our NationalSecurity for More than a Generation》的調查報告，報告指出OPM從根本上缺乏防患于未然的意識，簡單的“亡羊補牢”措施，導致了如此嚴重的后果。

調查報告批評OPM領導不力，雖然多年來一直受到信息安全警告，但卻從未采取有效行動保護其存儲的大量敏感數據。報告認為，只要OPM采取基本的安全防范措施，加強安全意識，信息泄露事件或許就不會發生。我們來簡要了解一下這份241頁的調查報告：

1 概要

黑客所竊取數據的重要性：

黑客從OPM盜走的SF-86表格信息涉及美國政府雇員、國家安全雇員、情報人員、軍人和承包商等，由于國家安全或涉密領域相關的聯邦雇員必須進行背景安全調查，調查要求填寫的SF-86表格涉及個人過往和現在的大量隱私信息，包括社會安全碼、出生年月、居住地址、教育經歷、家庭成員和個人財務信息等，這些信息一旦被非法利用，將對美國家安全造成威脅。

首次事件：

根據報告，美國土安全部（DHS）早在2012年7月就對OPM發出入侵攻擊警告，2014年3月，DHS愛因斯坦入侵檢測系統監測到OPM數據遭到泄露， OPM網絡在晚上22時到次日上午10時經常出現可疑異常流量，經分析，這是黑客在半夜進行大量資料的竊取活動。

后續事件：

2014年3月，經過取證分析，OPM發現了第一位入侵系統的黑客X1,之后幾個月OPM與FBI、NSA和其它機構合作對這位黑客展開監控調查，并擬定“大爆炸”（Big Bang）計劃，準備在2014年5月將這位X1黑客“驅逐”出系統。

出乎所有人預料，在“大爆炸”計劃之前，另一名假冒OPM承包商身份的黑客X2，早已入侵OPM系統并安裝了惡意軟件，而所有人都不知道它的存在。

“大爆炸”計劃之后，黑客X2潛伏于OPM網絡系統。2014年7月至8月，X2竊取了OPM的背景安全調查文件；2014年12月，X2竊取了OPM的人事檔案資料；2015年初，X2竊取了OPM大量指紋數據。

然而，OPM于2015年4月才發現黑客X2入侵了其網絡系統。

2 關鍵事件節點

數據泄露事件發生后，經過OPM的調查和回顧，羅列了以下一些關鍵事件的時間節點：

2012年7月，據US-CERT報告，OPM網絡遭到黑客入侵，在其中一臺服務器上發現了植入的Hikit后門軟件；

2013年11月，黑客攻擊活動產生了第一條線索；

2013年12月，黑客攻擊活動產生了數據竊取線索（包括后續的OPM承包商認證信息竊取）；

2014年3月20日，US-CERT警告OPM網絡中存在數據竊取活動，之后，OPM與US-CERT聯合以反間諜為由實施“Big Bang”計劃，在網絡中監控攻擊者（X1）。此次具體泄露數據未知;

2014年3月27日，在OPM監控黑客X1過程中，甚至還計劃了“必要時關閉整個系統“的方案；

2014年4月21日，OPM承包商SRA發現了一種特定的惡意軟件，并引起了US-CERT的關注；

2014年4月25日，黑客為后續C&C和竊取數據之用，注冊了域名“opmsecurity.org”，注冊人名稱為Steven Rogers（美國隊長）；

2014年5月7日，攻擊者X2以OPM承包商KeyPoint雇員身份，使用OPM認證信息遠程登錄進入網絡，安裝后門軟件PlugX，然而，此時，OPM因為在執行監控黑客X1的“BigBang”計劃，而完全沒留意到黑客X2;

2014年5月27日，由于黑客X1向一些數據庫管理平臺植入了鍵盤記錄程序，無限接近背景調查資料處理系統PIPS，OPM不得不關閉了被黑客入侵的計算機系統；

然而，與此同時，于5月7日植入后門的黑客X2還繼續潛伏在OPM網絡中；

2014年6月5日，黑客通過不同的管理員賬戶權限成功在某KeyPoint網站服務器中安裝了惡意軟件；

2014年6月20日，攻擊者執行RDP協議會話，遠程連接儲存有重要敏感信息的服務器；

2014年7月-8月，攻擊者成功從OPM系統竊取了背景調查資料；

2014年7月9日，OPM正式承認其個人身份信息遭到攻擊泄露；

2014年7月29日，攻擊者在入侵OPM系統期間，為C&C之用，注冊了域名“opmlearning.org”，注冊人名稱為Tony Stark(鋼鐵俠)；

2014年10月，在FBI發出“美國大量政府和商業公司正遭受網絡間諜攻擊”的警告后，攻擊者從OPM網絡中轉移到了存儲有OPM竊取資料的美國內政部DOI數據中心；

2014年12月，攻擊者從內政部DOI數據庫中轉移了從OPM系統竊取的420萬個人信息；

2015年3月3日，為了C&C和后續入侵使用，攻擊者注冊了”wdc-news-post.com“域名；

2015年3月26日，OPM指紋數據被竊取；

2015年4月16日，OPM聯系安全公司Cylance進行安全工具Cylance V的技術支撐；

2015年4月17日，OPM開始在內部網絡中部署CylanceProtect安全防護設備；

2015年4月18-19日，OPM在內部網絡中部署了大約2000套CylanceProtect，據Cylance工程師形容“OPM系統內發現的大量惡意事件警告足可以點亮一棵圣誕樹”；

2015年4月21日，Cylance公司取證團隊CyTech到達OPM現場進行數據取證分析；

2015年4月23日，OPM確認發生“大規模數據泄露“事件，并通報國會；

……

2015年7月10日，OPM局長Katherine Archuleta辭職；

2016年2月24日，OPM 首席信息官Donna Seymour辭職。

3 OPM信息泄露事件的主要原因

政府承包商信息安全狀況堪憂：

在美國聯邦政府中，承包商或合同商在為政府提供支撐服務的同時，也掌握了大量政府機密信息，容易受到APT攻擊。

例如，2014年8月，OPM聘用的對聯邦雇員背景做調查的承包商US Investigations Services(USIS)遭到網絡入侵，黑客可能竊取了大量政府雇員和相關背景調查人員個人信息，涉及31000人。事件發生后，USIS也及時通知了OPM。

2014年夏天，US-CERT曾對政府承包商KeyPoint公司進行過網絡安全評估，情況不容樂觀。就在2014年12月，KeyPoint發現48000名聯邦雇員個人信息因網絡攻擊泄密，這其中就包括了OPM雇員信息。

USIS在2014年8月被黑客入侵后，OPM解除了與USIS的承包合同，并聘請了另外兩家承包商SRA和KeyPoint。而KeyPoint，則在2014年12月也遭到黑客攻擊。

另外，OPM承包商掌握的大量聯邦雇員健康信息也有可能成為APT攻擊目標，如2015年2月，美國第二大醫療保險公司Anthem遭黑客入侵，近8000萬用戶數據泄露。而與OPM有合作的小型保險公司Premera于2015年3月遭到黑客攻擊，導致大約1100萬人的信息被盜。

當前，很多政府機構嚴重依賴第三方承包商進行信息系統維護，存在很多潛在安全風險，比如，承包商公司員工可以以政府雇員身份使用未授權的認證登錄進入政府網絡系統，當然這也就不難理解造成OPM數據泄露事件的原因。

政府應加強應對持續攻擊的信息安全能力：

隨著政府信息化建設不斷深入,美國政府面向公眾提供信息服務的能力不斷提高,但同時帶來了新的安全風險。2004年8月簽發的國土安全12號總統令(HSPD-12),要求政府機構在簽發和使用聯邦個人身份驗證智能卡證書時必須遵循特定的技術標準和業務流程,包括驗證員工和承包商身份所需的標準化背景調查。2008年，聯邦政府開始重視自身系統網絡安全，但在以后的幾年里，網絡空間的攻擊也變得多樣和復雜，被攻擊的情況也變得越來越糟。

以OPM攻擊事件為例，2012年5月，與Anonymous相關的，隸屬于@k0detec黑客組織的成員入侵了OPM數據庫并竊取了37組用戶名密碼信息。而在2011年，DHS對Anonymous黑客成員的定義還僅停留在“腳本小子“的層面。

OPM無法在關鍵時刻識別并處置威脅：

OPM因儲存有現任和退休政府雇員及承包商敏感信息，對APT攻擊來說是理想的入侵目標。當然，OPM也應該設置高度安全的防護策略。但在2014年之前，OPM網絡中存在各種漏洞，

雖然在2014年之后，OPM對信息安全有所改進，但是實際效果太差。在2014年關鍵時刻，低效的領導能力和不當的決策能力，導致了數據泄露事件的發生。

OPM的網絡安全支出始終落后于其他聯邦機構：

OPM在2015財年的網絡安全預算支出：

OPM在2014財年的網絡安全預算支出：

OPM在2013財年的網絡安全預算支出：

OPM在2012財年的網絡安全預算支出對比：

OPM多年來一直忽視安全警告：

OPM依賴計算機技術和信息系統來管理數百萬現任和之前的聯邦雇員以及相關親屬信息，任何惡意攻擊（黑客攻擊、蠕蟲或病毒）都可能對管理系統的效率和可用性造成影響。

為了承擔儲存背景調查資料的重任，OPM在2005年開始就加強了網絡安全，之后OPM接手了國防保密處（DSS）針對90%聯邦政府雇員的安全背景調查業務（FIS）。

2005年以來，在情報改革和反恐法案的大背景下，背景和忠誠度調查顯得越來越重要，同時，OPM也注意到信息安全對其存儲數據的重要性。在2005-2007年間的OPM督察辦審計年報中都對信息系統存在的漏洞進行過識別。在2008年的半年國會報告中，OPM督察辦承認保護敏感信息和個人身份信息的長期必要性。

2008年秋，OPM督察辦報告指出，上一年信息系統存在的重要漏洞沒有被完全解決，可能會對信息系統產生重要威脅。同時，督察辦警告OPM現有的安全策略多年未更新，主要認證鑒別系統存在重大缺陷，另外，在措施執行和里程碑計劃中，缺乏專業的信息安全人員；

2009年，OPM領導更換，John Berry成為新任局長；2009年9月，OPM督察辦報告聲稱OPM的信息安全狀況正在惡化；

2010年初，OPM督察辦繼續對OPM信息安全狀況表示“嚴重擔心“；

2012年，OPM把信息安全業務集中劃歸給首席信息辦（OCIO）承擔，2012年3月，OPM督察辦聲稱”我們的審計報告表明OPM的信息安全水平亟需提高“，同時督察辦指出OCIO在處理信息安全問題時缺乏有效授權，另外，OPM系統需要盡快遷移到集中化管理平臺，因為“現運行的基本程序設計存在缺陷”；

但是，直到2013年底，由于人員不足和預算限制，集中化信息安全管理仍沒能實現；就在2013年OPM準備更換領導時，OPM督察辦發布了兩份重要審計報告，第一份聲稱OPM信息系統存在重要漏洞；第二份對存儲有背景調查資料的PIPS系統給予安全警告。

OPM督察辦對PIPS系統的漏洞發現和安全警告非常具有先見之明，但當這些警告快要生效時，OPM又迎來了新的領導。

4 第一次網絡攻擊的發現

應急響應：

2014年3月20日，US-CERT通知OPM其網絡存在數據泄露可疑活動。US-CERT通過第三方機構獲悉被竊取數據通過一個已知的C&C域名進行傳輸通信。經查證分析：

聯邦背景調查服務FIS的賬戶被入侵；

攻擊者遠程C&C服務器正與OPM的一臺服務器進行通信；

C&C服務器與OPM系統的通信連接為加密信息；

C&C服務器連接OPM網絡時間通常為晚上22點至早上10點之間；

攻擊者利用攻陷的系統用戶在OPM網絡中搜尋背景調查處理系統（RIPS）的相關文件；

在對可疑網絡流量的首次監測分析中發現，C&C與OPM服務器之間的通信使用了4字節的異或碼加密；

OPM自身的安全工具無法檢測識別到C&C的加密通信，OPM承包商配合NetWitness工具和解密腳本對網絡進行可疑流量監測，最終識別出了被感染的主機系統和攻擊者操作執行的命令；

Big Bang計劃：

自2014年3月25日起，OPM聯合US-CERT、FBI、NSA組成跨部門聯合調查組，對該攻擊者進行網絡監控響應，監控目的一方面為了解攻擊者的”戰術-技術-程序（TTPS）“指標,另外為確認入侵者身份和入侵目的。

5月27日，在RIPS系統即將成為攻擊者下一個入侵目標時，OPM打算以“Big Bang”計劃對黑客進行清除”驅趕“。

OPM和US-CERT采取的措施包括：下線清理所有被入侵的系統、重置可能遭到攻擊的150個賬戶信息、強制所有管理員賬戶使用PIV個人身份認證卡進行登錄驗證、重置所有管理員賬戶、為入侵系統重建賬戶、重置內部路由信息等。

以下為2014年6月US-CERT監控到的OPM背景調查處理系統RIPS相關的部分泄露文檔目錄：

US-CERT在當年6月的響應報告中聲稱：攻擊者使用SMB命令刺探內網中RIPS管理員相關的共享文件。在對被入侵系統的調查中發現，文件復印電子件、壓縮文件、文檔都成為了攻擊者的目標清單，被發往C&C服務器。

最終，雖然OPM承認了2014年3月的信息泄露事件，但US-CERT聲稱在這之前可能還存在其它文件資料泄露的可能。

5 攻擊者的線索和惡意軟件信息

經取證分析發現了攻擊者在2014年入侵前后使用的惡意軟件Hikit和C&C域名信息：

而Hikit后門軟件是APT攻擊組織Axiom經常使用的黑客工具之一，這類型惡意軟件通常是Poision Ivy、Gh0st、ZXsheell的變種。

另外，OPM根據特定的域名分析工具發現，攻擊者主要使用三個注冊域名進行C&C活動：opmsecurity.org、wdc-news-post.com、opm-learning.org，這三個域名的注冊人名稱分別為：Steve Rogers、Tony Stark、Tony Stark。而這也是另一個APT組織Deep Panda常用的注冊習慣，以下為ThreatConnect對幾個注冊域名的分析：

Tony Stark （鋼鐵俠）

Steve Rogers（美國隊長）

Natasha Romanoff（黑寡婦）

James Rhodes(戰爭機器)

John nelson（鋼鐵俠視覺特效導演）

Dubai Tycoon（鋼鐵俠中的另一個人物）

另外，在OPM的入侵事件中，攻擊者還使用以下域名架構進行C&C通信：

調查顯示，2014年，攻擊者使用Hikit后門程序對OPM網絡發起攻擊，最終利用了PlugX惡意軟件竊取了RIPS中的背景調查資料。而Hikit和PlugX是APT組織Axiom和DeepPanda常用的黑客工具：

6 參與OPM攻擊事件應急響應的兩家安全公司

CyFIR:

CyFIR是一家小規模的安全服務公司，專門為美國政府提供安全事件應急響應服務，公司以：全球范圍的快速響應能力、綜合集中調查、動態可視化分析、全方位取證和非法圖像識別為服務宗旨。在2014年RSA大會期間，CyFIR為了凸顯國家間的安全對抗狀況，在其展臺上放置了一幅備受爭議的海報，隨后引起軒然大波。

Cylance：

Cylance是一家成立于2012年的網絡安全企業。Cylance安全平臺采用了一套基于算法的安全協議來檢查網絡薄弱環節，同時Cylance 還有一套黑客學習系統，利用機器學習技術實現對網絡威脅的事先預測和防護。目前，全球已有1000 多家客戶使用 Cylance 系統。2016年6月，Cylance獲得了 1 億美元的 D 輪融資。此前，Cylance曾陸續收購了Ridgeway、Skout Forensics、Spearpoint等信息安全公司，這些公司的產品涵蓋蜜罐技術、網絡取證和工業控制系統網絡安全評估等技術。其旗下的主打服務產品為CylanceProtect。

7 結語

也許，OPM事件的最終處理結果非常讓美國人民不滿意，這份國會調查報告的最終目的，還是希望政府能加強網絡信息安全能力建設，最大程度地保護個人信息安全和國家安全不受威脅。