根据多方媒体报道汇总,目前新确认感染SolarWinds木马化版本的美国联邦政府机构包括美国国务院、国防部、国土安全部、能源部国家核安全局、美国国立卫生研究院等。路透社报道称微软内部也被感染,旗下产品被用于攻击客户,但微软否认了产品遭到滥用。
美国国土安全部网络安全与基础设施安全局(CISA)表示,本次针对美国政府机构发起大规模攻势的APT组织曾使用多种初始访问媒介。
“CISA目前掌握的证据显示,除SolarWinds Orion平台之外,还存在其它初始访问媒介。我们仍在对这些媒介进行调查,后续将持续更新通报。”
“并非所有使用SolarWinds Orion平台提供后门的组织都成为了攻击者下一步计划的目标。”
难以从受感染网络中彻底清除
根据CISA方面介绍,该APT组织长期对受感染组织网络实施入侵,发起此次黑客攻击的幕后团伙,很有可能还使用到其它未被发现的战术、技术与程序(TTPs),这也是他们当前调查工作中的关注重点。
CISA目前正在调查一些与SolarWinds攻击同期出现的其它事件,“包括一部分并未使用SolarWinds Orion,或者使用了SolarWinds Orion但并未发现相关入侵活动的受害者。”
CISA发布的AA20-352A警报补充道,“CISA已经确认此次威胁已经给从联邦到地区自上而下的政府机构,乃至一系列关键基础设施实体与私营部门组织构成了严重风险。”
“该APT团伙在本次攻击行动中展现出极大的耐心、行动保障能力以及和极为复杂的技术手段。CISA认为若想将该恶意攻击者从受威胁环境中彻底清除,对各组织而言将是一项极为复杂且极具挑战的任务。”
警报还提到了其它技术细节,包括本轮攻击中使用的初始感染媒介,战术、技术与程序(TTPs),缓解措施以及危害指标等信息。
美国政府正式确认此次入侵事件
美国联邦调查局(FBI)、国家情报局局长办公室(ODNI)与CISA在12月16日联合发布声明,首次正式确认SolarWinds违规事件造成多个美国联邦政府机构的网络遭受入侵。
它们表示,“事态仍在不断发酵,我们将继续努力调查此次事件的全部影响范围。而且目前可以肯定,联邦政府的内部网络已遭到入侵。”
微软、FireEye和GoDaddy已经合作为SolarWinds后门的控制域名创建了一个“终止开关”,旨在迫使该恶意软件从受感染网络当中进行自我删除。
此后门被微软方面命名为Solarigate,FireEye则将其称为Sunburst(日爆攻击)。目前该后门已经通过SolarWinds的自动更新机制被分发至大约18000家客户的系统当中。
国内安全公司奇安信分析称,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。研究人员认为,执行该攻击行动的是一个数百人的集团化组织,并将其命名为“金链熊”。
截至目前,综合多家媒体报道显示,受此事件影响的美国政府机构包括美国国务院、国防部、财政部、国土安全部、能源部国家核安全局、商务部国家电信与信息管理局、美国国立卫生研究院等。
原文链接:
https://www.bleepingcomputer.com/news/security/cisa-apt-group-behind-us-govt-hacks-used-multiple-access-vectors/
https://www.theregister.com/2020/12/18/solarwinds_nnsa_microsoft_cisa/
https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW
https://nypost.com/2020/12/15/russian-hackers-hit-dhs-dod-nih-state-department/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。