美国知名IT公司SolarWinds旗下的Orion网络监控平台已被证实遭受入侵,其被长期用于针对美国多个重要政府机构开展攻击,甚至可能与上周曝出的FireEye网络武器库被盗事件有关

路透社首先报道了SolarWinds遭遇黑客入侵的消息。报道指出,SolarWinds的监控产品在今年3月和6月可能遭到某个民族国家植入恶意代码,导致美国财政部、商务部下辖国家电信和信息管理局(NTIA)的办公软件微软Office365遭到入侵,内部邮件被黑客监视了数月,众多重要联邦政府机构长期遭受攻击,美国国家安全委员会甚至在上周六召开紧急会议讨论此事。

《华盛顿邮报》报道称,攻击活动是由俄罗斯黑客组织APT29(又名Cozy Bear)所实施,该组织同时也是FireEye红队攻击工具被盗的怀疑对象。

01 被篡改的产品更新包

SolarWinds CEO兼总裁Kevin Thompson在声明中指出,该公司“发现一个内部潜在漏洞,很可能与2020年3-6月期间发布的Orion监控产品更新有关。”

“我们认为,这个漏洞是由某个民族国家对软件供应链实施的高度复杂的针对性攻击所引发。我们目前正在与FireEye、联邦调查局、情报机构以及其他执法部门开展合作,推动事件调查。在得出最终结论之前,当前暂时无法公布更多细节。”

SolarWinds在3-6月期间发布的受影响具体版本包括Orion 2019.4-2020.2.1。该公司表示,计划在12月15日(明天)发布新的完整修复版2020.2.1 HF 2,替换受影响的组件并修复安全缺陷。

02 攻击影响重大

本次事态值得各方引起高度重视,如果主要安全厂商的产品更新供应链都可以被感染,则表明Cozy Bear可能已经深入到多种系统与多家供应商内部。更恐怖的是,SolarWinds的客户名单份量极重,且都有可能已经受到了入侵活动的影响。

  • 美国五角大楼、国务院、宇航局、国家安全局、邮政总局、国家海洋与大气管理局、司法部、美国总统办公室等;

  • 美国军方全部五大分支部队;

  • 美国前十大电信企业;

  • 美国前五大会计师事务所;

  • 全美500强企业中超过425家。

03 业界安全专家分析

单是想象这样的涉案规模,就足以令人不寒而栗。但安全专家们倒相对保持乐观态度。

安全分析师Jake Williams在Twitter上发文称,像Orion这样的产品虽然确实是个不错的攻击起点,但此类产品大多用于观察IT基础设施性能,而非主动改变其配置。因此,他开导用户不必将此轮攻击默认理解为攻击方已经掌握了系统控制权。

前美国网络安全与基础设施安全局局长Chris Krebs表示,攻击活动可能已经进行了数月,但仍有可能得到全面控制。

他建议称,“如果您是SolarWinds的客户,请做好已经出现安全违规的心理准备,并立即联系您的事故响应团队。当然,您也可能不会受到任何影响,因为这是一轮资源密集型黑客攻势。关注您最有价值的资产即可,相信大家能挺过去。”

但是,连FireEye、SolarWinds这样的领先安全厂商都被入侵,导致美国政府和企业面临着严峻的网络安全威胁。向来以自身保护能力为傲的安全企业都不能幸免,接下来我们还能相信谁?

参考链接:

https://www.theregister.com/2020/12/14/solarwinds_fireeye_cozybear/

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。