美國聯(lián)邦調(diào)查局FBI局長克里斯托弗·雷 （Christopher Wray） 在周三（昨日）的參議院聽證會(huì)上面臨質(zhì)疑。一份已發(fā)表的報(bào)告稱，F(xiàn)BI扣留了特工從針對(duì)軟件公司Kaseya的勒索軟件團(tuán)伙獲得的REvil解密密鑰近三周都不放出共享，作為其正在進(jìn)行的事件調(diào)查的一部分。

　　FBI局長克里斯托弗·雷

　　在參議院國土安全和政府事務(wù)委員會(huì)的聽證會(huì)上，委員會(huì)主席、密歇根州民主黨參議員加里彼得斯就華盛頓郵報(bào)的一篇報(bào)道向雷局長提出了質(zhì)疑，該報(bào)道稱聯(lián)邦調(diào)查局已獲得REvil勒索軟件團(tuán)伙使用的解密密鑰，但隨著調(diào)查的繼續(xù)，拒絕與襲擊受害者分享。

　　FBI保留了該局從該團(tuán)伙服務(wù)器中獲得的解密密鑰，因?yàn)樗?jì)劃針對(duì)REvil的基礎(chǔ)設(shè)施，并且不想泄露網(wǎng)絡(luò)犯罪分子。當(dāng)勒索軟件組織于7月消失而沒有任何解釋時(shí)于是后續(xù)操作停止了。

　　一些安全研究人員現(xiàn)在認(rèn)為REvil，又名Sodinokibi，已經(jīng)回歸。

　　然而，在聽證會(huì)上，彼得斯質(zhì)疑雷局長為何FBI拒絕將解密密鑰分發(fā)給Kaseya和該公司大約50名在7月份被REvil勒索軟件感染的托管服務(wù)提供商客戶。反過來，這些MSP的大約1500名客戶也感染了加密鎖定惡意軟件--其中許多是安全資源很少或沒有安全資源的小型企業(yè)。

　　彼得斯指出，受害者花費(fèi)數(shù)百萬美元從這些攻擊中恢復(fù)數(shù)據(jù)，有些人本可以使用密鑰來抵消這些成本。雷局長在公開聽證會(huì)上拒絕提供具體細(xì)節(jié)，但表示勒索軟件攻擊仍在調(diào)查中，決定是由多個(gè)相關(guān)機(jī)構(gòu)做出的。

　　“需要進(jìn)行大量測試和驗(yàn)證，以確保 [解密密鑰] 能夠真正執(zhí)行他們應(yīng)該做的事情。開發(fā)該工具需要進(jìn)行大量工程 [并] 將使用的工具，”雷局長作證說?！坝袝r(shí)我們必須計(jì)算如何最好地幫助最多的人，因?yàn)樽畲蠡绊懯冀K是目標(biāo)，每當(dāng)我們?cè)谶@些聯(lián)合啟用的有序操作中這樣做時(shí)，我們都會(huì)與其他政府機(jī)構(gòu)和其他機(jī)構(gòu)一起進(jìn)行?！?/p>

　　雷局長拒絕透露哪些其他政府機(jī)構(gòu)參與了在調(diào)查繼續(xù)期間扣留密鑰的決定。

　　REvil解密密鑰

　　本月早些時(shí)候，安全公司Bitdefender發(fā)布了REvil勒索軟件的免費(fèi)解密器，該軟件于2019年4月首次開始運(yùn)行并針對(duì)受害者。該公司指出，其密鑰不適用于該團(tuán)伙使用的所有版本的加密鎖定惡意軟件，但它可以幫助所有7月之前的被REvil勒索軟件攻擊的受害者，例如參與。

　　雖然發(fā)布了免費(fèi)的解密器密鑰，但Bitdefender沒有具體說明該公司是如何獲得它的。然而，反病毒供應(yīng)商Emsisoft的CTO Fabian Wosar在一條推文中暗示執(zhí)法人員似乎已經(jīng)獲得了密鑰，盡管他沒有具體提到FBI。

　　看起來在幾個(gè)月前拆除部分REvil基礎(chǔ)設(shè)施期間，LEA獲得了解密贖金票據(jù)密鑰blob所需的密鑰，其中包括系統(tǒng)的密鑰。對(duì)于現(xiàn)在可以解密文件的老受害者來說，這是個(gè)好消息。- Fabian Wosar （@fwosar） 2021年9月17日

　　當(dāng)雷局長回答彼得斯關(guān)于Kaseya案件并獲得解密密鑰的問題時(shí)，他指出任何具體細(xì)節(jié)都需要在機(jī)密設(shè)置中共享。彼得斯還指出，他想知道FBI是否在其他勒索軟件調(diào)查中扣留了其他解密密鑰。

　　其他網(wǎng)絡(luò)問題

　　周三（昨日）參議院國土安全委員會(huì)聽證會(huì)的最初目標(biāo)是討論自2001年9月11日恐怖襲擊事件以來20年來對(duì)美國的威脅，以及對(duì)國家安全的一些新出現(xiàn)的擔(dān)憂。雷和國土安全部部長亞歷杭德羅·馬約卡斯（Alejandro Mayorkas）都作證說，網(wǎng)絡(luò)安全問題，包括勒索軟件和國家APT活動(dòng)，是對(duì)美國國家安全的主要威脅之一，還有恐怖主義（國內(nèi)和國外）以及暴力犯罪和知識(shí)產(chǎn)權(quán)等國家盜竊。在美國軍隊(duì)于8月撤出阿富汗后，雷局長和馬約卡斯還面臨著幾個(gè)關(guān)于移民和阿富汗難民在美國重新安置的問題。

　　國土安全部部長亞歷杭德羅·馬約卡斯

　　“我們最近看到許多網(wǎng)絡(luò)安全事件影響各種規(guī)模的組織并中斷關(guān)鍵服務(wù)，從SolarWinds供應(yīng)鏈妥協(xié)到利用Microsoft Exchange Servers和 Pulse Connect Secure設(shè)備中發(fā)現(xiàn)的漏洞，再到影響從Colonial Pipeline到JBS肉聯(lián)廠的實(shí)體的勒索軟件?！瘪R約卡斯在開幕詞中作證。

　　馬約卡斯還指出，2020年，美國約有2400個(gè)州、地方、部落和地區(qū)政府、醫(yī)療機(jī)構(gòu)和學(xué)校成為勒索軟件的目標(biāo)，受害組織已支付約3.5億美元的贖金，平均支付金額超過30萬美元……

　　雷局長指出，2020年，F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心報(bào)告的勒索軟件事件數(shù)量增加了 20%?！罢缈偨y(tǒng)所觀察到的，勒索軟件已經(jīng)演變成一個(gè)國家安全問題，影響了我們最不能承受的關(guān)鍵基礎(chǔ)設(shè)施” 。雷局長指出，F(xiàn)BI專注于來自他國的網(wǎng)絡(luò)威脅，這不僅包括各種網(wǎng)絡(luò)行動(dòng)，還包括不斷竊取美國知識(shí)產(chǎn)權(quán)。他還指出，伊朗和朝鮮繼續(xù)提高他們的網(wǎng)絡(luò)能力，而網(wǎng)絡(luò)犯罪團(tuán)伙繼續(xù)在俄羅斯境內(nèi)開展業(yè)務(wù)。

　　“這些是最受關(guān)注的事件，但在幕后，F(xiàn)BI去年對(duì)網(wǎng)絡(luò)對(duì)手采取了1100多項(xiàng)行動(dòng)，包括逮捕、刑事指控、定罪、拆除和破壞；并通過我們的專門合作伙伴采取了更多行動(dòng)與私營部門、外國合作伙伴以及聯(lián)邦、州和地方層面的合作，”雷局長說。

　　拜登總統(tǒng)周二在聯(lián)合國大會(huì)上的講話中指出，美國應(yīng)該繼續(xù)在該國的網(wǎng)絡(luò)安全方面做出改進(jìn)。拜登說：“我們保留對(duì)威脅我們的人民、我們的盟友或我們的利益的網(wǎng)絡(luò)攻擊作出果斷回應(yīng)的權(quán)利?！?/p>