约18,000个组织下载了Cozy Bear黑客植入的后门程序

2020-12-15 04:32:29

该工具提供商SolarWinds周一表示,全球约有18,000个组织下载了包含后门程序的网络管理工具,俄罗斯间谍可以使用这些后门程序来安装其他窃取敏感数据的恶意软件。

来自美国德克萨斯州奥斯汀市的软件制造商SolarWinds的披露是在美国政府透露严重安全漏洞袭击联邦机构和私人公司的第二天之后发布的。在攻击的接收端,财政和商务部门属于联邦机构,这些攻击使人们可以访问电子邮件和其他敏感资源。

安全公司FireEye上周披露严重违反了其自身的网络,称俄罗斯政府支持的黑客破坏了SolarWinds软件更新机制,然后用它来感染安装了该公司Orion网络管理工具后门版本的部分客户。 。 SolarWinds在周一向美国证券交易委员会/ SolarWinds提交的文件中表示,今年3月至6月安装了更新的后门感染客户表示,SolarWinds拥有约300,000 Orion客户,使受影响的客户数量大约为18,000。

几个因素使Orion成为进入了由俄罗斯支持的黑客梦co以求的网络的理想跳板,在过去的十年中,这些黑客已成为对美国网络安全的最强大威胁之一。圣母大学IT,分析和运营学教授Mike Chapple说,该工具被广泛用于管理大型组织内部的路由器,交换机和其他网络设备。特权访问级别以及所暴露的网络数量使Orion成为黑客利用的理想工具。

国家安全局前计算机科学家Chapple在接受采访时说:“ SolarWinds本质上具有访问基础架构其他部分的特权。” “您可以将SolarWinds视为拥有网络主密钥的工具,如果您能够破坏该类型的工具,则可以使用这些类型的密钥来访问网络的其他部分。妥协的话,您基本上就拥有了解锁许多组织的网络基础架构的钥匙。”

这次袭击是联邦政府以及FireEye,Microsoft和其他私人公司的官员所说的一部分,这是一次广泛的间谍活动,一个精明的威胁行为者正在通过供应链攻击进行袭击。 FireEye在周日晚上发布的博客文章中称,该公司发现了一项全球入侵活动,该活动使用后门SolarWinds的更新机制作为“通过软件供应链进入公共和私人组织网络的初始入口”。包括《华盛顿邮报》和《纽约时报》在内的出版物援引了不愿透露姓名的政府官员的话说,黑客组织Cozy Bear是袭击的幕后黑手,据信这是俄罗斯联邦安全局(FSB)的一部分。

FireEye官员写道:“基于我们的分析,我们现在已经确定了多个组织,在这些组织中我们可以看到可以追溯到2020年春季的妥协迹象,并且我们正在通知这些组织。” “我们的分析表明,这些妥协并非自我传播;每种攻击都需要精心计划和手动交互。我们正在进行的调查发现了这一活动,我们正在按照我们的标准做法共享此信息。”

在周日晚上也发表的另一篇文章中,FireEye补充说:“ FireEye发现了一项广泛的战役,我们正在追踪它为UNC2452。这场运动的幕后参与者获得了世界各地众多公共和私人组织的参与。他们通过对SolarWind的Orion IT监视和管理软件进行了木马化更新来访问受害者。这项运动可能最早在2020年春季开始,目前正在进行中。在此供应链妥协后的妥协后活动包括横向移动和数据盗窃。该活动是一名高技能演员的工作,并且在进行操作时具有很高的操作安全性。”

Orion后门为攻击者提供了对内部网络设备的有限但至关重要的访问权限。然后,攻击者使用其他黑客技术进一步挖掘。据微软称,攻击者随后窃取了签名证书,使他们可以通过安全断言标记语言模拟目标的任何现有用户和帐户。基于XML的语言通常缩写为SAML,它为身份提供者提供了一种与服务提供者交换身份验证和授权数据的方式。

通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者获得了网络中的立足点,攻击者可以使用该立足点来获得更高的凭据。 Microsoft Defender现在可以检测到这些文件。另请参见SolarWinds安全公告。

入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来,他们就可以伪造SAML令牌,以模拟组织的任何现有用户和帐户,包括特权较高的帐户。

使用由受损的令牌签名证书创建的SAML令牌进行的异常登录,由于已对其进行了配置,因此可以将其用于任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)信任证书。由于SAML令牌是使用其自己的受信任证书签名的,因此组织可能会遗漏异常。

使用通过上述技术或其他方式获得的高特权帐户,攻击者可以将自己的凭据添加到现有的应用程序服务主体,从而使他们能够使用分配给该应用程序的权限来调用API。

SolarWinds周一早间提交的文件显示,Cozy Bear黑客能够攻击公司约18,000的客户。目前尚不清楚实际上有多少符合条件的用户被黑了。

美国国土安全部网络安全基础设施和基础设施安全局已发布紧急指令,指示使用SolarWinds产品的联邦机构分析其网络是否受到破坏。 FireEye在此发布的信息列出了各种签名以及管理员可以用来检测感染的其他指标。