“日爆攻擊”后全球政府發出安全警告
責編:gltian |2020-12-18 16:28:26近日,APT黑客組織利用隱藏在美國軟件提供商SolarWinds的產品中的木馬后門發動供應鏈攻擊,全球網絡安全部門紛紛發出警告。
此前,網絡安全公司FireEye上周透露,其系統遭受了黑客攻擊、紅隊工具被盜。黑客正是通過木馬化的SolarWinds Orion軟件入侵了FireEye。
FireEye聲稱攻擊者采用了全新的復雜攻擊技術和手段,只有國家黑客組織才擁有這種技術能力,《華盛頓郵報》和《紐約時報》的報道則點明攻擊者是俄羅斯網絡犯罪團伙APT29。
APT29是一個黑客組織,已分別與一個或多個俄羅斯情報機構(特別是外國情報局(SVR)和聯邦安全局(FSB))存在聯系。
除了包括商務部、財政部、五角大樓、NSA、白宮總統辦公室在內的美國政府及軍隊客戶外,財富500強中的425個企業都使用了SolarWinds的服務,SolarWinds的客戶中還包括全球數百所大學。
盡管業界普遍認為該事件特別針對美國聯邦機構,但來自全球各地的多個政府網絡安全中心也都發出了警告。
新西蘭計算機應急響應小組(CERT NZ)建議SolarWinds用戶盡快安裝修補程序,并“考慮立即隔離這些服務器,以確保在對服務器進行修補和保護之前,切斷互聯網出口”。
該機構還表示,已經與國際合作伙伴進行了討論,并表示,作為額外的預防措施,SolarWinds客戶還應修改Orion服務器可訪問的任何基礎結構的密碼。
英國國家網絡安全中心(NCSC)12月15日表示,正在就此事件與FireEye及其“國際合作伙伴密切合作”。
NCSC建議組織閱讀FireEye的調查更新,并遵循SolarWinds公司建議的安全緩解措施。
此外,將警告標記為“高”狀態的澳大利亞網絡安全中心(ACSC)敦促Orion用戶遵循SolarWinds和FireEye提供的緩解措施。
不可接受的風險
同時,美國網絡安全和基礎設施安全局(CISA)也發布了一項緊急指令,指示所有美國聯邦機構審查其網絡是否存在受到破壞的跡象,并立即斷開所有SolarWinds產品的網絡連接。
CISA代理總監布蘭登·威爾斯說:“黑客對SolarWinds的Orion網絡管理產品的入侵,給聯邦網絡的安全帶來了無法接受的風險。”
“今晚的指令旨在減輕聯邦民用網絡內部的潛在妥協,我們敦促所有公共和私營部門的合作伙伴評估他們遭受這種妥協的風險,并保護其網絡免受任何剝削。”
據信,仍在進行的供應鏈攻擊活動可能早在2020年春季就已開始。
FireEye將該木馬惡意軟件跟蹤為“Sunburst”(日爆攻擊)。可以在FireEye的博客上找到有關惡意軟件如何運行的更詳細的報告。
參考資料
12月16日SolarWinds發布了最新補丁:
https://www.solarwinds.com/securityadvisory