這是一個(gè)來(lái)自外部國(guó)家的高度復(fù)雜、有針對(duì)性的定向供應(yīng)鏈攻擊事件。黑客利用SolarWinds在今年3月至6月間發(fā)布的的網(wǎng)絡(luò)管理產(chǎn)品Orion更新，植入惡意代碼，從而入侵了美國(guó)財(cái)政部、商務(wù)部下屬的國(guó)家電信和信息管理局(NTIA)、FireEye的網(wǎng)絡(luò)，此外，多達(dá)1.8萬(wàn)的Orion客戶(hù)也正面臨著這次供應(yīng)鏈攻擊帶來(lái)的巨大威脅。

這意味著，在長(zhǎng)達(dá)9個(gè)月時(shí)間里，黑客可以持續(xù)監(jiān)視這些企業(yè)和機(jī)構(gòu)，窺探內(nèi)部電子郵件流量。

不得不提及的是，SolarWinds的全球用戶(hù)中包括了白宮、國(guó)防部門(mén)、美英信號(hào)情報(bào)機(jī)構(gòu)等敏感機(jī)構(gòu)。巨大的安全危機(jī)下，這些機(jī)構(gòu)正在迫切地試圖解決問(wèn)題。

此次攻擊被歸因于APT29，一個(gè)與俄羅斯相關(guān)的黑客組織。黑客使用木馬化 SolarWinds Orion更新來(lái)分發(fā)名為SUNBURST 的后門(mén)，進(jìn)入網(wǎng)絡(luò)內(nèi)部，然后創(chuàng)建一個(gè)新的后門(mén)。

根據(jù)SolarWinds的聲明， Orion 軟件構(gòu)建系統(tǒng)遭到破壞，但漏洞并未進(jìn)入到Orion 產(chǎn)品的源代碼存儲(chǔ)庫(kù)中。此外，SolarWinds 使用微軟Office 365提供電子郵件和辦公工具，并且意識(shí)到存在一個(gè)攻擊媒介入侵了公司的電子郵件，且對(duì)公司辦公工具中包含的其他數(shù)據(jù)的進(jìn)行了訪問(wèn)。盡管SolarWinds與Microsoft 合作，采取了補(bǔ)救步驟來(lái)解決這一漏洞，但這一漏洞是否與Orion被植入惡意代碼有關(guān)尚未調(diào)查清楚。

目前

• 在相關(guān)期間(3月-6月)下載、實(shí)施或更新的 Orion 產(chǎn)品包含漏洞;
• 在相關(guān)期間(3月-6月)之前下載和實(shí)施，且在相關(guān)期間未更新，不包含此漏洞;
• 在相關(guān)期間(3月-6月)后下載和實(shí)施的 Orion 產(chǎn)品不包含此漏洞;
• 在存在該漏洞的期間，運(yùn)行受影響的 Orion 產(chǎn)品的服務(wù)器可能遭到破壞。

根據(jù)最新消息，SolarWinds已經(jīng)與全球33000個(gè)客戶(hù)進(jìn)行聯(lián)系，并提供了緩解措施和修補(bǔ)程序更新。此后，SolarWinds會(huì)準(zhǔn)備第2個(gè)修補(bǔ)程序更新。

• https://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm
• https://securityaffairs.co/wordpress/112294/hacking/solarwinds-sec-filing.html