违反政府网络的SolarWinds骇客给国家带来了“严重风险”

2020-12-18 15:14:10

联邦官员表示,曾经破坏联邦机构和至少一家私人公司的供应链攻击给美国带来了“严重风险”,部分原因是攻击者可能使用了除SolarWinds后门之外的其他手段来渗透感兴趣的网络。星期四。根据Politico的一份报告,其中一个网络属于国家核安全局,该局负责Los Alamos和Sandia实验室。

网络安全基础设施和安全局的官员在警报中写道:“这个对手已经证明了利用软件供应链的能力,并且显示了对Windows网络的丰富知识。” “对手可能还有尚未被发现的其他初始访问媒介以及战术,技术和程序(TTP)。” CISA是该机构的缩写,是国土安全部的下属机构。

官员在其他地方写道:“ CISA已经确定,这种威胁对联邦政府以及州,地方,部落和地区政府以及重要的基础设施实体和其他私营部门组织构成了严重威胁。”

同时,路透社报道说,攻击者破坏了一家独立的主要技术供应商,并利用折衷方案达成了高价值的最终目标。新闻服务机构引述了两人对此事的简报。

CISA称,攻击者直到3月才开始行动,直到上周安全公司FireEye报告说,一个民族国家支持的黑客已经深入其网络后,这些攻击者才得以未被发现。 FireEye在本周初表示,黑客正在使用Orion(由SolarWinds广泛使用的网络管理工具)感染目标。在控制了Orion更新机制之后,攻击者正在使用它来安装FireEye研究人员称为Sunburst的后门。周日,多个新闻媒体援引匿名人士的话报道,黑客利用Orion的后门破坏了商务部,财政部以及其他机构的网络。国土安全部和国立卫生研究院后来被添加到列表中。周四的CISA警报提供了对该骇客异常暗淡的评估;对国家,州和地方各级政府机构的威胁;以及将攻击者从其渗透了数月之久的网络中发现出来所需的技能,持久性和时间。

官员在周四的警报中写道:“这位APT演员在这些入侵事件中表现出了耐心,操作安全和复杂的技术手段。” “ CISA希望,从受威胁的环境中消除威胁因素对于组织而言将是非常复杂且具有挑战性的。”

官员们继续提供了另一个惨淡的评估:“ CISA有证据表明,除了SolarWinds Orion平台以外,还有其他初始访问媒介;但是,这些仍在调查中。当新信息可用时,CISA将更新此警报。”

该通报没有说明可能会增加什么其他媒介,但官员们继续指出了感染SolarWinds软件构建平台,向18,000个客户分发后门程序,然后在几个月内未被发现的技术。

他们写道:“这个对手已经证明了利用软件供应链的能力,并且显示了对Windows网络的丰富知识。” “对手可能还有尚未被发现的其他初始访问媒介以及战术,技术和程序。”

据报道,使用SolarWinds Orion的众多联邦机构中有一个是国税局。星期四,参议院财政委员会排名成员罗恩·怀登(Ron Wyden)(美国俄勒冈州)和参议院财政委员会主席查克·格拉斯利(Chuck Grassley)(R-Iowa)向国税局局长查克·雷蒂格(Chuck Rettig)致函,要求他简要介绍纳税人的数据是否受到损害。

美国国税局(IRS)似乎是2017年SolarWinds的客户。鉴于委托给美国国税局(IRS)的个人纳税人信息极为敏感,以及盗窃和利用该信息可能对美国人的隐私和我们的国家安全造成损害根据我们的对手提供的数据,我们必须了解IRS可能受到损害的程度。同样重要的是,我们要了解国税局为减轻任何潜在损害所采取的措施,确保黑客仍然无法访问内部国税局系统,并防止将来黑客入侵纳税人数据。

美国国税局(IRS)代表没有立即回电,要求对此发表评论。

这是一个耐心,资源丰富且专注的对手,在受害人网络上持续了长时间的活动

SolarWinds Orion供应链折衷并不是该APT参与者所利用的唯一初始感染媒介

并非所有通过SolarWinds Orion交付后门的组织都已采取后续行动,使攻击者成为攻击目标 怀疑存在妥协的组织需要高度意识到运营安全性,包括参与事件响应活动以及规划和实施补救计划时 到目前为止,已经出现了这是一个非常骇人的骇客,其完整范围和效果在数周甚至数月内都不会为人所知。 额外的鞋子很可能会提前下降,而且经常下降。