据报道,美国财政部和商务部的通信受到了对SolarWinds的供应链攻击的影响,该公司是一家安全供应商,可以帮助联邦政府和众多财富500强公司监控其IT网络的运行状况。鉴于该公司客户群的广度,专家表示,该事件可能只是许多此类披露中的第一起。
据路透社报道,据信正在为俄罗斯工作的黑客一直在监视美国财政部和商务部的内部电子邮件流量。路透社报道称,攻击者能够秘密篡改SolarWinds针对其Orion平台(一套网络管理工具)发布的更新。
在安全咨询中,总部位于德克萨斯州奥斯汀的SolarWinds承认其系统“对2020年3月至2020年6月发布的2019.4 HF 5至2020.2.1版本的SolarWinds Orion Platform软件进行了高度复杂的手动供应链攻击。”
为了应对美国财政部和商业部的入侵,美国国土安全部网络安全和基础设施安全局(CISA)采取了不同寻常的步骤,发布了紧急指令,命令所有联邦机构立即将受影响的Orion产品从其网络中断开。
CISA建议:“对所有由SolarWinds Orion监视软件监视的主机进行处理,使其免受威胁因素的破坏,并假定已部署了更多的持久性机制。”
微软的一篇博客文章说,攻击者能够在SolarWinds为Orion用户提供的软件更新中添加恶意代码。微软写道:“这导致攻击者在网络中获得立足点,攻击者可以利用该立足点来获得更高的凭据。”
从那里,攻击者将能够伪造单次登录令牌,从而模拟组织的任何现有用户和帐户,包括网络上的高特权帐户。
微软解释说:“使用通过上述技术或其他方式获得的高特权帐户,攻击者可以将其自己的凭据添加到现有的应用程序服务主体中,从而使他们能够在分配给该应用程序的权限下调用API。”
主机系统上的防病毒软件和其他安全工具可能未检测到添加到Orion软件更新中的恶意代码,这在一定程度上要归功于SolarWinds本身的指导。在此支持咨询中,SolarWinds表示其产品可能无法正常工作,除非其文件目录免于防病毒扫描和组策略对象限制。
路透社的故事援引了几位匿名消息人士的话说,商务部和财政部的入侵可能只是冰山一角。这似乎是一个公平的选择。
-超过425家美国《财富》 500强-美国十大电信公司中的所有十家-美国军方的所有五个分支机构-美国前五名会计师事务所的所有五家-五角大楼-国务院-国家安全局-司法部-白宫。
目前尚不清楚SolarWinds网站上列出的客户中有多少是受影响的Orion产品的用户。但据路透社报道,对SolarWinds的供应链攻击与广泛的活动有关,该活动还涉及最近在FireEye披露的黑客攻击,其中黑客获得了该公司用于帮助客户发现其计算机和网络中的安全漏洞的一系列专有工具。
据认为,美国联邦机构的妥协可以追溯到今年夏天初,并被归咎于为俄罗斯政府工作的黑客。 FireEye说,它的违反行为是APT 29(又称“舒适熊”)的工作,该组织是俄罗斯黑客组织,据信与俄罗斯一个或多个情报机构有关。
FireEye在自己的公告中表示,从2020年3月至2020年5月,使用SolarWinds证书进行了数字签名的多个被恶意后门程序毒害的更新,并发布到SolarWindws更新网站上。
FireEye假定SolarWinds的黑客攻击的影响非常普遍,影响了全世界的公共和私人组织。 该公司的分析师写道:“受害者包括北美,欧洲,亚洲和中东的政府,咨询,技术,电信和采掘业实体。” “我们预计其他国家和垂直行业还会有更多受害者。”