美国国家安全局表示正在追踪针对美国国防部门的Ivanti网络攻击

美国国家安全局（U.S. National Security Agency）证实，黑客利用Ivanti广泛使用的企业VPN设备中的漏洞，瞄准了美国国防部门的组织。

美国国家安全局发言人爱德华·贝内特（Edward Bennett）周五在给TechCrunch的一份电子邮件声明中证实，美国情报机构及其跨部门同行正在“跟踪并意识到最近利用Ivanti产品的广泛影响，包括美国国防部门。

NSA网络安全协作中心继续与合作伙伴合作检测和缓解这种活动，发言人补充说：
在确认美国国家安全局正在跟踪这些网络攻击的几天前，Mandiant报道称，疑似中国间谍黑客已经进行了“大规模尝试”，以利用影响Ivanti Connect Secure的多个漏洞，Ivanti Connect Secure是全球数千家公司和大型组织使用的流行远程访问VPN软件。

Mandiant本周早些时候表示，中国支持的黑客被追踪为一个威胁组织，UNC5325该组织的目标是各行各业的组织。Mandiant表示，这包括美国国防工业基地部门，这是一个由数千个私营部门组织组成的全球网络，为美国军方提供设备和服务，并引用了安全公司Volexity的早期调查结果。
Mandiant在分析中表示，UNC5325展示了对Ivanti Connect Secure设备的“重要知识”，并采用了离地技术 - 使用目标系统中已经发现的合法工具和功能 - 以更好地逃避检测，Mandiant说。中国支持的黑客还部署了新型恶意软件，“试图在恢复出厂设置、系统升级和补丁后仍嵌入 Ivanti 设备中”。
美国网络安全机构CISA周四发布的一份公告也对此表示赞同，该公告警告说，利用易受攻击的Ivanti VPN设备的黑客即使在执行恢复出厂设置后，也可能能够保持根级持久性。联邦网络安全机构表示，其自己的独立测试表明，成功的攻击者能够欺骗Ivanti的完整性检查工具，这可能导致“无法检测到入侵”。
作为对 CISA 调查结果的回应，Ivanti 现场首席信息安全官 Mike Riemer 淡化了 CISA 的调查结果，他告诉 TechCrunch，Ivanti 认为 CISA 的测试不会对实时客户环境有效。Riemer 补充说，Ivanti “不知道在实施 Ivanti 建议的安全更新和恢复出厂设置后，任何成功持续存在威胁行为者的情况。
目前尚不清楚究竟有多少 Ivanti 客户受到 1 月份开始的 Connect Secure 漏洞的广泛利用的影响。
Akamai在上周发表的一份分析报告中表示，黑客每天发起大约250,000次攻击尝试，并针对1,000多名客户。

原文始发于微信公众号（重生者安全团队）：美国国家安全局表示正在追踪针对美国国防部门的Ivanti网络攻击