據(jù)路透社華盛頓2020年12月31日報道,微軟公司稱,太陽風(fēng)公司背后的黑客團(tuán)伙能夠侵入微軟公司,獲得他們的一些源代碼。
該公司的專家們說,這發(fā)出了一個信號,讓人對這些間諜的野心感到擔(dān)憂。
報道指出,源代碼——運(yùn)行軟件或操作系統(tǒng)的基本指令集——通常是技術(shù)公司最嚴(yán)格保守的機(jī)密,微軟歷來對保護(hù)源代碼尤為謹(jǐn)慎。
目前尚不清楚黑客能夠進(jìn)入多少微軟源代碼庫以及哪些部分,但披露的信息顯示,利用軟件公司太陽風(fēng)公司作為跳板侵入美國政府敏感網(wǎng)絡(luò)的黑客也對發(fā)現(xiàn)微軟產(chǎn)品內(nèi)部運(yùn)行情況感興趣。
報道介紹,微軟公司已經(jīng)披露,與其他公司一樣,它在其網(wǎng)絡(luò)中發(fā)現(xiàn)了太陽風(fēng)公司軟件的惡意版本,但關(guān)于源代碼的發(fā)現(xiàn)——在一篇博文中披露——是新的。兩周前路透社報道微軟公司遭攻破后,該公司稱,它沒有“發(fā)現(xiàn)任何獲得生產(chǎn)服務(wù)的證據(jù)”。
3名簡要介紹情況的人士說,微軟幾天前就知道源代碼已經(jīng)被訪問了。一名微軟發(fā)言人說,安全雇員一直在“夜以繼日”地工作,“當(dāng)有可采取行動的信息分享時,他們已經(jīng)發(fā)表并分享了這一信息。”
報道稱,太陽風(fēng)黑客事件是迄今披露的最野心勃勃的網(wǎng)絡(luò)行動之一,至少損害了6個聯(lián)邦機(jī)構(gòu)、可能還有數(shù)千家公司和其他機(jī)構(gòu)利益。美國和私營部門調(diào)查人員在假期中徹底梳理材料,試圖了解他們的數(shù)據(jù)是否被盜或被篡改。
報道認(rèn)為,修改源代碼——雖然微軟說黑客沒有這樣做——可能會帶來災(zāi)難性后果,因為微軟產(chǎn)品無處不在,其中包括Office生產(chǎn)套件和Windows操作系統(tǒng)。但專家說,即使僅僅能夠看到代碼,也可能為黑客提供可能幫助他們顛覆微軟產(chǎn)品或服務(wù)的洞察力。
以色列源代碼保護(hù)公司Cycode的安德魯·菲夫說:“源代碼是軟件開發(fā)的架構(gòu)藍(lán)圖。如果有了藍(lán)圖,策劃襲擊要容易得多。”
獨(dú)立網(wǎng)絡(luò)安全研究人員馬特·泰特也認(rèn)為,源代碼可以作為幫助黑客入侵微軟產(chǎn)品的路線圖,但他也提醒說,該公司源代碼內(nèi)容已經(jīng)被廣泛分享,例如與外國政府共享。他說,他懷疑微軟犯了常見錯誤,在代碼中留下了密鑰或密碼。
泰特說:“這不會影響他們客戶的安全,至少在根本上不會。”
(來源:參考消息 編譯:盧荻)
