美國聯(lián)邦調(diào)查局FBI局長克里斯托弗·雷 （Christopher Wray） 在周三（昨日）的參議院聽證會上面臨質(zhì)疑。一份已發(fā)表的報告稱，F(xiàn)BI扣留了特工從針對軟件公司Kaseya的勒索軟件團(tuán)伙獲得的REvil解密密鑰近三周都不放出共享，作為其正在進(jìn)行的事件調(diào)查的一部分。

　　FBI局長克里斯托弗·雷

　　在參議院國土安全和政府事務(wù)委員會的聽證會上，委員會主席、密歇根州民主黨參議員加里彼得斯就華盛頓郵報的一篇報道向雷局長提出了質(zhì)疑，該報道稱聯(lián)邦調(diào)查局已獲得REvil勒索軟件團(tuán)伙使用的解密密鑰，但隨著調(diào)查的繼續(xù)，拒絕與襲擊受害者分享。

　　FBI保留了該局從該團(tuán)伙服務(wù)器中獲得的解密密鑰，因為它計劃針對REvil的基礎(chǔ)設(shè)施，并且不想泄露網(wǎng)絡(luò)犯罪分子。當(dāng)勒索軟件組織于7月消失而沒有任何解釋時于是后續(xù)操作停止了。

　　一些安全研究人員現(xiàn)在認(rèn)為REvil，又名Sodinokibi，已經(jīng)回歸。

　　然而，在聽證會上，彼得斯質(zhì)疑雷局長為何FBI拒絕將解密密鑰分發(fā)給Kaseya和該公司大約50名在7月份被REvil勒索軟件感染的托管服務(wù)提供商客戶。反過來，這些MSP的大約1500名客戶也感染了加密鎖定惡意軟件--其中許多是安全資源很少或沒有安全資源的小型企業(yè)。

　　彼得斯指出，受害者花費數(shù)百萬美元從這些攻擊中恢復(fù)數(shù)據(jù)，有些人本可以使用密鑰來抵消這些成本。雷局長在公開聽證會上拒絕提供具體細(xì)節(jié)，但表示勒索軟件攻擊仍在調(diào)查中，決定是由多個相關(guān)機(jī)構(gòu)做出的。

　　“需要進(jìn)行大量測試和驗證，以確保 [解密密鑰] 能夠真正執(zhí)行他們應(yīng)該做的事情。開發(fā)該工具需要進(jìn)行大量工程 [并] 將使用的工具，”雷局長作證說?！坝袝r我們必須計算如何最好地幫助最多的人，因為最大化影響始終是目標(biāo)，每當(dāng)我們在這些聯(lián)合啟用的有序操作中這樣做時，我們都會與其他政府機(jī)構(gòu)和其他機(jī)構(gòu)一起進(jìn)行?！?/p>

　　雷局長拒絕透露哪些其他政府機(jī)構(gòu)參與了在調(diào)查繼續(xù)期間扣留密鑰的決定。

　　REvil解密密鑰

　　本月早些時候，安全公司Bitdefender發(fā)布了REvil勒索軟件的免費解密器，該軟件于2019年4月首次開始運行并針對受害者。該公司指出，其密鑰不適用于該團(tuán)伙使用的所有版本的加密鎖定惡意軟件，但它可以幫助所有7月之前的被REvil勒索軟件攻擊的受害者，例如參與。

　　雖然發(fā)布了免費的解密器密鑰，但Bitdefender沒有具體說明該公司是如何獲得它的。然而，反病毒供應(yīng)商Emsisoft的CTO Fabian Wosar在一條推文中暗示執(zhí)法人員似乎已經(jīng)獲得了密鑰，盡管他沒有具體提到FBI。

　　看起來在幾個月前拆除部分REvil基礎(chǔ)設(shè)施期間，LEA獲得了解密贖金票據(jù)密鑰blob所需的密鑰，其中包括系統(tǒng)的密鑰。對于現(xiàn)在可以解密文件的老受害者來說，這是個好消息。- Fabian Wosar （@fwosar） 2021年9月17日

　　當(dāng)雷局長回答彼得斯關(guān)于Kaseya案件并獲得解密密鑰的問題時，他指出任何具體細(xì)節(jié)都需要在機(jī)密設(shè)置中共享。彼得斯還指出，他想知道FBI是否在其他勒索軟件調(diào)查中扣留了其他解密密鑰。

　　其他網(wǎng)絡(luò)問題

　　周三（昨日）參議院國土安全委員會聽證會的最初目標(biāo)是討論自2001年9月11日恐怖襲擊事件以來20年來對美國的威脅，以及對國家安全的一些新出現(xiàn)的擔(dān)憂。雷和國土安全部部長亞歷杭德羅·馬約卡斯（Alejandro Mayorkas）都作證說，網(wǎng)絡(luò)安全問題，包括勒索軟件和國家APT活動，是對美國國家安全的主要威脅之一，還有恐怖主義（國內(nèi)和國外）以及暴力犯罪和知識產(chǎn)權(quán)等國家盜竊。在美國軍隊于8月撤出阿富汗后，雷局長和馬約卡斯還面臨著幾個關(guān)于移民和阿富汗難民在美國重新安置的問題。

　　國土安全部部長亞歷杭德羅·馬約卡斯

　　“我們最近看到許多網(wǎng)絡(luò)安全事件影響各種規(guī)模的組織并中斷關(guān)鍵服務(wù)，從SolarWinds供應(yīng)鏈妥協(xié)到利用Microsoft Exchange Servers和 Pulse Connect Secure設(shè)備中發(fā)現(xiàn)的漏洞，再到影響從Colonial Pipeline到JBS肉聯(lián)廠的實體的勒索軟件?！瘪R約卡斯在開幕詞中作證。

　　馬約卡斯還指出，2020年，美國約有2400個州、地方、部落和地區(qū)政府、醫(yī)療機(jī)構(gòu)和學(xué)校成為勒索軟件的目標(biāo)，受害組織已支付約3.5億美元的贖金，平均支付金額超過30萬美元……

　　雷局長指出，2020年，F(xiàn)BI的互聯(lián)網(wǎng)犯罪投訴中心報告的勒索軟件事件數(shù)量增加了 20%?！罢缈偨y(tǒng)所觀察到的，勒索軟件已經(jīng)演變成一個國家安全問題，影響了我們最不能承受的關(guān)鍵基礎(chǔ)設(shè)施” 。雷局長指出，F(xiàn)BI專注于來自他國的網(wǎng)絡(luò)威脅，這不僅包括各種網(wǎng)絡(luò)行動，還包括不斷竊取美國知識產(chǎn)權(quán)。他還指出，伊朗和朝鮮繼續(xù)提高他們的網(wǎng)絡(luò)能力，而網(wǎng)絡(luò)犯罪團(tuán)伙繼續(xù)在俄羅斯境內(nèi)開展業(yè)務(wù)。

　　“這些是最受關(guān)注的事件，但在幕后，F(xiàn)BI去年對網(wǎng)絡(luò)對手采取了1100多項行動，包括逮捕、刑事指控、定罪、拆除和破壞；并通過我們的專門合作伙伴采取了更多行動與私營部門、外國合作伙伴以及聯(lián)邦、州和地方層面的合作，”雷局長說。

　　拜登總統(tǒng)周二在聯(lián)合國大會上的講話中指出，美國應(yīng)該繼續(xù)在該國的網(wǎng)絡(luò)安全方面做出改進(jìn)。拜登說：“我們保留對威脅我們的人民、我們的盟友或我們的利益的網(wǎng)絡(luò)攻擊作出果斷回應(yīng)的權(quán)利。”