近日,APT黑客组织利用隐藏在美国软件提供商SolarWinds的产品中的木马后门发动供应链攻击,全球网络安全部门纷纷发出警告。
此前,网络安全公司FireEye上周透露,其系统遭受了黑客攻击、红队工具被盗。黑客正是通过木马化的SolarWinds Orion软件入侵了FireEye。
FireEye声称攻击者采用了全新的复杂攻击技术和手段,只有国家黑客组织才拥有这种技术能力,《华盛顿邮报》和《纽约时报》的报道则点明攻击者是俄罗斯网络犯罪团伙APT29。
APT29是一个黑客组织,已分别与一个或多个俄罗斯情报机构(特别是外国情报局(SVR)和联邦安全局(FSB))存在联系。
除了包括商务部、财政部、五角大楼、NSA、白宫总统办公室在内的美国政府及军队客户外,财富500强中的425个企业都使用了SolarWinds的服务,SolarWinds的客户中还包括全球数百所大学。
尽管业界普遍认为该事件特别针对美国联邦机构,但来自全球各地的多个政府网络安全中心也都发出了警告。
新西兰计算机应急响应小组(CERT NZ)建议SolarWinds用户尽快安装修补程序,并“考虑立即隔离这些服务器,以确保在对服务器进行修补和保护之前,切断互联网出口”。
该机构还表示,已经与国际合作伙伴进行了讨论,并表示,作为额外的预防措施,SolarWinds客户还应修改Orion服务器可访问的任何基础结构的密码。
英国国家网络安全中心(NCSC)12月15日表示,正在就此事件与FireEye及其“国际合作伙伴密切合作”。
NCSC建议组织阅读FireEye的调查更新,并遵循SolarWinds公司建议的安全缓解措施。
此外,将警告标记为“高”状态的澳大利亚网络安全中心(ACSC)敦促Orion用户遵循SolarWinds和FireEye提供的缓解措施。
不可接受的风险
同时,美国网络安全和基础设施安全局(CISA)也发布了一项紧急指令,指示所有美国联邦机构审查其网络是否存在受到破坏的迹象,并立即断开所有SolarWinds产品的网络连接。
CISA代理总监布兰登·威尔斯说:“黑客对SolarWinds的Orion网络管理产品的入侵,给联邦网络的安全带来了无法接受的风险。”
“今晚的指令旨在减轻联邦民用网络内部的潜在妥协,我们敦促所有公共和私营部门的合作伙伴评估他们遭受这种妥协的风险,并保护其网络免受任何剥削。”
据信,仍在进行的供应链攻击活动可能早在2020年春季就已开始。
FireEye将该木马恶意软件跟踪为“Sunburst”(日爆攻击)。可以在FireEye的博客上找到有关恶意软件如何运行的更详细的报告。
参考资料
12月16日SolarWinds发布了最新补丁:
https://www.solarwinds.com/securityadvisory