12 月 13 日，美國財政部和商務部等機構遭到攻擊，可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出，這是涉及 SolarWinds Orion 軟件的供應鏈攻擊，美國網絡安全和基礎架構安全局(CISA)發布了緊急指令，指示非軍事政府系統停止運行該軟件。

之后，包括英國媒體路透社、美國媒體華盛頓郵報等在內的多家媒體報道，這可能是來自俄羅斯情報部門 SVR 的攻擊，屬于間諜活動。俄羅斯駐華盛頓大使館澄清：有關俄羅斯黑客入侵的報道毫無根據，在信息領域進行攻擊的行為與俄羅斯的外交政策和國家利益相矛盾。

什么是 SolarWinds Orion

SolarWinds Orion 是 SolarWinds 網絡和計算機管理工具套件的一部分。其功能包括監視、告知用戶關鍵計算機何時停機，還有自動重啟服務的功能。該軟件可能會被安裝在企業最關鍵的系統上，會在系統故障時阻止工作進程。

SolarWinds Orion 漏洞

分析發現，最早在今年 3 月，有人設法在構建過程中修改了 SolarWinds Orion 軟件，包括植入一個特洛伊木馬程序，可遠程控制安裝了 SolarWinds Orion 的計算機。當用戶安裝最新版軟件時，該木馬開始在受害者的計算機上運行，這被稱為是軟件“供應鏈攻擊”，受害者直接或間接地從 SolarWinds 接受了 Orion 軟件的污染副本。

該木馬進行后門攻擊。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟件框架的 SolarWinds 數字簽名組件，包含一個后門，該后門通過 HTTP 與第三方服務器進行通信。

植入木馬之后，會有長達兩個星期的初始休眠期，然后它會檢索并執行稱為“Jobs”的命令，這些命令包括傳輸文件，執行文件，對系統進行文件配置，重新引導計算機以及禁用系統服務的功能。惡意軟件偽裝成 Orion 改進程序(OIP)協議的網絡流量，并將偵察結果存儲在合規的插件配置文件中，使其能夠與常規 SolarWinds 活動混淆，不易識別，進而使攻擊者可以遠程操控計算機。

微軟對攻擊者行為的分析表明，即使刪除了 SolarWinds 后門，攻擊者也可能會繼續擁有整個目標網絡的訪問權限。現在，受到攻擊的機構正在重構網絡。

本文轉自OSCHINA

本文標題：黑客利用 SolarWinds Orion 漏洞攻擊美多個機構

本文地址：https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department