信息化觀察網(wǎng)

上周震驚全球網(wǎng)絡(luò)安全界的FireEye被黑事件只是冰山一角，在攻擊FireEye后不到一周時間，俄羅斯黑客組織APT29又入侵了包括美國財政部和商務(wù)部在內(nèi)的多個政府機(jī)構(gòu)。

FireEye在周日晚上透露說，攻擊者正在使用Orion（SolarWinds出品的一款廣泛使用的網(wǎng)絡(luò)監(jiān)控管理軟件）更新來感染目標(biāo)。在控制了Orion的更新機(jī)制之后，攻擊者就可以用木馬化的Orion更新來滲透目標(biāo)網(wǎng)絡(luò)，橫向移動并竊取數(shù)據(jù)，F(xiàn)ireEye研究人員將這個后門稱為Sunburst（日爆）：

SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟件框架的SolarWinds數(shù)字簽名組件，此SolarWinds Orion插件的木馬版本包含一個后門（Sunburst），可通過HTTP與第三方服務(wù)器進(jìn)行通信。

經(jīng)過長達(dá)兩個星期的初始休眠期后，木馬組件會檢索并執(zhí)行稱為“作業(yè)”的命令，這些命令包括傳輸文件、執(zhí)行文件、對系統(tǒng)進(jìn)行配置文件、重新引導(dǎo)計算機(jī)以及禁用系統(tǒng)服務(wù)的功能。該惡意軟件偽裝成Orion改進(jìn)程序（OIP）協(xié)議的網(wǎng)絡(luò)流量，并將偵察結(jié)果存儲在合法的插件配置文件中，從而使其能夠與合法的SolarWinds活動融合。該后門使用多個混淆的阻止列表來識別作為進(jìn)程、服務(wù)和驅(qū)動程序運(yùn)行的取證和防病毒工具。

Sunburst這個后門有多可怕？微軟在博客中指出，利用Orion更新機(jī)制在目標(biāo)網(wǎng)絡(luò)上立足之后，攻擊者正在竊取簽名證書，這些證書允許他們冒充目標(biāo)網(wǎng)絡(luò)中的任何現(xiàn)有用戶和賬戶，包括高特權(quán)賬戶。

帶有后門的SolarWinds軟件的數(shù)字簽名

奇安信CERT安全專家rem4x A-TEAM通過分析發(fā)現(xiàn)，被污染的SolarWinds軟件帶有該公司簽名，這表明SolarWinds公司內(nèi)部很可能已經(jīng)被黑客完全控制。

1.8萬客戶中招！影響全球的重大APT軟件供應(yīng)鏈攻擊

據(jù)《華盛頓郵報》報道：知情人士透露，作為全球間諜活動的一部分，俄羅斯政府的黑客已經(jīng)入侵了美國財政部和商務(wù)部以及其他美國政府機(jī)構(gòu)。

知情人士說，官員們在剛剛過去這個周末忙于評估入侵的性質(zhì)和嚴(yán)重程度，并采取有效對策，但初步跡象表明，這一黑客活動是長期的（FireEye認(rèn)為攻擊最早始于今年春季），而且影響重大。

據(jù)包括《華盛頓郵報》在內(nèi)的多家美國媒體報道，此次黑客攻擊的領(lǐng)導(dǎo)者是俄羅斯黑客組織APT29（舒適熊），該組織隸屬俄羅斯聯(lián)邦安全局（FSB）和外國情報服務(wù)（SVR），奧巴馬執(zhí)政期間，該俄羅斯組織入侵了國務(wù)院和白宮電子郵件服務(wù)器。

據(jù)悉，聯(lián)邦調(diào)查局已經(jīng)開始著手調(diào)查該事件，但周日沒有發(fā)表評論。

FireEye在周日的博客中說，所有受害公司遭遇的APT29攻擊都有一個共同的攻擊路徑：通過目標(biāo)公司的SolarWinds網(wǎng)絡(luò)管理系統(tǒng)的更新服務(wù)器。

美國聯(lián)網(wǎng)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）周日也發(fā)出警報，敦促企業(yè)閱讀SolarWinds和FireEye的安全咨文以及Github頁面（文末），以了解最新的檢測對策。

SolarWinds則在周日的一份聲明中表示：

“根據(jù)監(jiān)測，今年3月和6月發(fā)布的Orion產(chǎn)品可能已經(jīng)被秘密地安裝在大量高度復(fù)雜的、有針對性的目標(biāo)中。”

幾位知情人士透露，俄羅斯此次間諜活動的規(guī)模非常大。一位人士說：“這看起來非常非常糟糕。”專家們的擔(dān)心并非沒有來由，APT29這一波攻擊的影響絕不僅限于美國重要政府部門，據(jù)網(wǎng)絡(luò)公司FireEye稱，最近這一波攻擊的受害者包括北美、歐洲、亞洲和中東的政府、咨詢、技術(shù)、電信以及石油和天然氣公司。

事實上，SolarWinds的客戶圈子不是一般的大：

SolarWinds產(chǎn)品在全球超過300,000個組織中使用。根據(jù)該公司的網(wǎng)站，SolarWinds的客戶包括美國軍方的所有五個分支機(jī)構(gòu)、五角大樓、國務(wù)院、司法部、美國國家航空航天局、總統(tǒng)執(zhí)行辦公室和國家安全局。

此外，SolarWinds的客戶還包括美國十大電信公司。

在向美國證券交易委員會提交的文件中，SolarWinds還表示：

“大約有18,000個客戶下載了木馬化的SolarWinds Orion版本”

路透社周日首次報道了針對財政部和商務(wù)部的黑客攻擊，指出：此事是如此嚴(yán)重，以至于國家安全委員會在周六召開緊急會議。

國家安全委員會發(fā)言人約翰·尤利奧特（John Ullyot）表示：“美國政府已意識到這些報告，我們正在采取一切必要步驟，以識別和糾正與這種情況有關(guān)的任何可能問題。”他沒有對負(fù)責(zé)的國家或集團(tuán)發(fā)表評論。

根據(jù)路透社的報道，除了商務(wù)部，俄羅斯人還瞄準(zhǔn)了處理互聯(lián)網(wǎng)和電信政策的美國國家電信和信息管理局，此外該黑客組織也與最近發(fā)生的竊取冠狀病毒疫苗研究的攻擊有關(guān)。

總結(jié)：軟件供應(yīng)鏈已入雷區(qū)

雖然就目前報道來看，本次攻擊貌似與國內(nèi)并無多大干系，但實際上已經(jīng)拉響警笛！

根據(jù)ESG和Crowstrike的2019年供應(yīng)鏈安全報告：

16％的公司購買了被做過手腳的IT設(shè)備；

90％的公司“沒有做好準(zhǔn)備”應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)攻擊。

在安全牛“供應(yīng)鏈安全五大數(shù)字風(fēng)險”一文中，“企業(yè)或者供應(yīng)商軟件漏洞”和“被植入惡意軟件的軟硬件”占據(jù)了兩席，軟件（包括固件）供應(yīng)鏈正在成為黑客實施供應(yīng)鏈攻擊的重要突破口，而且此類攻擊往往能夠“突破一點，打擊一片”，危害性極大，甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險（例如FireEye剛剛泄露的紅隊工具）。

根據(jù)埃森哲2019年的一項調(diào)查，受訪的4600家企業(yè)中40%曾因供應(yīng)商遭受網(wǎng)絡(luò)攻擊而發(fā)生數(shù)據(jù)泄露，大量企業(yè)報告直接攻擊減少的同時，通過供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢。19年2月，賽門鐵克發(fā)布報告顯示，過去一年全球供應(yīng)鏈攻擊爆增78%，并特別強(qiáng)調(diào)2019年全球范圍內(nèi)供應(yīng)鏈攻擊活動仍在繼續(xù)擴(kuò)大。以下，安全牛將過去近二十年的重大軟件供應(yīng)鏈攻擊事件列舉如下，以期幫助安全人員更好地理解供應(yīng)鏈入侵的模式，開發(fā)出最佳實踐與工具。