在从SolarWinds下载后门版本的18,000个组织中,最小的碎片(可能只有0.2%)收到了后续黑客利用该后门安装第二阶段有效负载的信息。进入第二阶段的人口最多的依次是科技公司,政府机构和智囊团/非政府组织。在这40个选定的国家中,绝大多数(80%)位于美国。
这些数字是Microsoft总裁Brad Smith的更新提供的。史密斯还就这种几乎史无前例的攻击的重要性分享了一些有见地和发人深省的评论。他的数字不完整,因为Microsoft仅看到其Windows Defender应用程序检测到的内容。不过,微软认为很多,因此与实际数字的任何差异都可能是舍入错误。
SolarWinds是几乎无处不在的网络管理工具Orion的制造商。全球企业网络中有惊人的比例运行它。在一个民族国家的支持下,两名美国参议员接受了私人简报,称黑客入侵是俄罗斯,他们成功接管了SolarWinds的软件构建系统,并推送了注入后门程序的安全更新。 SolarWinds说大约18,000个用户下载了该恶意更新。长达数月的黑客攻击活动只有在安全公司FireEye承认它已被某个民族国家违反后才暴露出来。在调查过程中,公司研究人员发现,黑客不仅利用Orion后门来攻击FireEye,还利用了针对多个联邦机构的更广泛的活动。从那以后的10天内,黑客操作的范围和纪律变得越来越清晰。
攻击SolarWinds及其后门18,000台服务器只是攻击的第一阶段,在此阶段,仅对目标目标进行了零干预。这些组织的组织可能是整个行动的唯一目的,整个行动持续了至少9个月,甚至可能更长。
Microsoft的数字说明了这种攻击的针对性。这种供应链折衷背后的黑客特权访问了18,000个企业网络,并且仅对其中的40个进行了跟踪。
史密斯默契地承认,所有工业化国家都从事包括黑客在内的间谍活动。他说,这次的不同之处在于,一个民族国家违反了既定准则,将世界大片土地置于现实危险之中,以追求自己的目标。史密斯继续写道:
至关重要的是,我们退后一步并全面评估这些攻击的重要性。即使在数字时代,这也不是“像往常一样的间谍活动”。相反,它代表了鲁re的举动,对美国和世界造成了严重的技术漏洞。实际上,这不仅是对特定目标的攻击,而且是对世界关键基础设施的信任和可靠性的攻击,以促进一个国家的情报机构的发展。尽管最近的攻击似乎反映出对美国和许多其他民主国家的特别关注,但它也有力地提醒人们,几乎每个国家的人都处于危险之中,需要保护,无论其生活在哪个政府之下。
在帖子的其他地方,史密斯引用了FireEye首席执行官凯文·曼迪亚(Kevin Mandia)的话说:“我们正在目睹一个拥有一流进攻能力的国家发动的袭击。”史密斯然后写道:
在Microsoft网络安全专家的协助下,我们得出了相同的结论。不幸的是,攻击是对美国政府机密信息和公司用来保护它们的技术工具的一次广泛,成功的基于间谍活动的攻击。攻击正在进行中,并且包括Microsoft在内的公共和私营部门的网络安全团队正在积极调查和解决。当我们的团队作为对这些攻击的第一响应者时,这些正在进行的调查表明,这种攻击在范围,复杂程度和影响方面都非常出色。
如果不是有史以来,SolarWinds黑客正在成为过去十年中最严重的间谍黑客行为之一。精确的工艺和惊人的准确性。在接下来的几周中,这些精英受害者揭露了第二阶段对其网络的影响,这个故事很可能会涉及到超速驾驶。