上周震驚全球網絡安全界的FireEye被黑事件只是冰山一角，在攻擊FireEye后不到一周時間，俄羅斯黑客組織APT29又入侵了包括美國財政部和商務部在內的多個政府機構。

[[357688]]

FireEye在周日晚上透露說，攻擊者正在使用Orion(SolarWinds出品的一款廣泛使用的網絡監控管理軟件)更新來感染目標。在控制了Orion的更新機制之后，攻擊者就可以用木馬化的Orion更新來滲透目標網絡，橫向移動并竊取數據，FireEye研究人員將這個后門稱為Sunburst(日爆)：

• SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟件框架的SolarWinds數字簽名組件，此SolarWinds Orion插件的木馬版本包含一個后門(Sunburst)，可通過HTTP與第三方服務器進行通信。
• 經過長達兩個星期的初始休眠期后，木馬組件會檢索并執行稱為“作業”的命令，這些命令包括傳輸文件、執行文件、對系統進行配置文件、重新引導計算機以及禁用系統服務的功能。該惡意軟件偽裝成Orion改進程序(OIP)協議的網絡流量，并將偵察結果存儲在合法的插件配置文件中，從而使其能夠與合法的SolarWinds活動融合。該后門使用多個混淆的阻止列表來識別作為進程、服務和驅動程序運行的取證和防病毒工具。

Sunburst這個后門有多可怕?微軟在博客中指出，利用Orion更新機制在目標網絡上立足之后，攻擊者正在竊取簽名證書，這些證書允許他們冒充目標網絡中的任何現有用戶和賬戶，包括高特權賬戶。

帶有后門的SolarWinds軟件的數字簽名

奇安信CERT安全專家rem4x@A-TEAM通過分析發現，被污染的SolarWinds軟件帶有該公司簽名，這表明SolarWinds公司內部很可能已經被黑客完全控制。

1.8萬客戶中招!影響全球的重大APT軟件供應鏈攻擊

據《華盛頓郵報》報道：知情人士透露，作為全球間諜活動的一部分，俄羅斯政府的黑客已經入侵了美國財政部和商務部以及其他美國政府機構。

知情人士說，官員們在剛剛過去這個周末忙于評估入侵的性質和嚴重程度，并采取有效對策，但初步跡象表明，這一黑客活動是長期的(FireEye認為攻擊最早始于今年春季)，而且影響重大。

據包括《華盛頓郵報》在內的多家美國媒體報道，此次黑客攻擊的領導者是俄羅斯黑客組織APT29(舒適熊)，該組織隸屬俄羅斯聯邦安全局(FSB)和外國情報服務(SVR)，奧巴馬執政期間，該俄羅斯組織入侵了國務院和白宮電子郵件服務器。

據悉，聯邦調查局已經開始著手調查該事件，但周日沒有發表評論。

FireEye在周日的博客中說，所有受害公司遭遇的APT29攻擊都有一個共同的攻擊路徑：通過目標公司的SolarWinds網絡管理系統的更新服務器。

美國聯網網絡安全與基礎設施安全局(CISA)周日也發出警報，敦促企業閱讀SolarWinds和FireEye的安全咨文以及Github頁面(文末)，以了解最新的檢測對策。

SolarWinds則在周日的一份聲明中表示：

幾位知情人士透露，俄羅斯此次間諜活動的規模非常大。一位人士說：“這看起來非常非常糟糕。”專家們的擔心并非沒有來由，APT29這一波攻擊的影響絕不僅限于美國重要政府部門，據網絡公司FireEye稱，最近這一波攻擊的受害者包括北美、歐洲、亞洲和中東的政府、咨詢、技術、電信以及石油和天然氣公司。

事實上，SolarWinds的客戶圈子不是一般的大：

• SolarWinds產品在全球超過300,000個組織中使用。根據該公司的網站，SolarWinds的客戶包括美國軍方的所有五個分支機構、五角大樓、國務院、司法部、美國國家航空航天局、總統執行辦公室和國家安全局。
• 此外，SolarWinds的客戶還包括美國十大電信公司。

在向美國證券交易委員會提交的文件中，SolarWinds還表示：

路透社周日首次報道了針對財政部和商務部的黑客攻擊，指出：此事是如此嚴重，以至于國家安全委員會在周六召開緊急會議。

國家安全委員會發言人約翰·尤利奧特(John Ullyot)表示：“美國政府已意識到這些報告，我們正在采取一切必要步驟，以識別和糾正與這種情況有關的任何可能問題。”他沒有對負責的國家或集團發表評論。

根據路透社的報道，除了商務部，俄羅斯人還瞄準了處理互聯網和電信政策的美國國家電信和信息管理局，此外該黑客組織也與最近發生的竊取冠狀病毒疫苗研究的攻擊有關。

總結：軟件供應鏈已入雷區

雖然就目前報道來看，本次攻擊貌似與國內并無多大干系，但實際上已經拉響警笛!

根據ESG和Crowstrike的2019年供應鏈安全報告：

• 16%的公司購買了被做過手腳的IT設備;
• 90%的公司“沒有做好準備”應對供應鏈網絡攻擊。

在安全牛“供應鏈安全五大數字風險”一文中，“企業或者供應商軟件漏洞”和“被植入惡意軟件的軟硬件”占據了兩席，軟件(包括固件)供應鏈正在成為黑客實施供應鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點，打擊一片”，危害性極大，甚至很多網絡安全軟件自身都存在供應鏈風險(例如FireEye剛剛泄露的紅隊工具)。

根據埃森哲2019年的一項調查，受訪的4600家企業中40%曾因供應商遭受網絡攻擊而發生數據泄露，大量企業報告直接攻擊減少的同時，通過供應鏈發起的“間接攻擊”卻呈上升趨勢。19年2月，賽門鐵克發布報告顯示，過去一年全球供應鏈攻擊爆增78%，并特別強調2019年全球范圍內供應鏈攻擊活動仍在繼續擴大。以下，安全牛將過去近二十年的重大軟件供應鏈攻擊事件列舉如下，以期幫助安全人員更好地理解供應鏈入侵的模式，開發出最佳實踐與工具。

參考資料：

• SolarWinds Orion軟件后門緩解建議(本周二將更新修補版本2020.2.1 HF 2)：https://www.solarwinds.com/securityadvisory
• SUNWINRST后門利用SolarWinds供應鏈入侵全球受害者：https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
• FireEye SUNBURST檢測緩解工具頁面：https://github.com/fireeye/sunburst_countermeasures
• 美國證券交易委員會提交文件：http://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文