据知情人士透露,黑客通过一家名为SolarWinds的公司制造的软件破坏了联邦机构网络,似乎在去年对其广泛的间谍活动进行了测试。
黑客于2019年10月从SolarWinds网络分发了恶意文件,比之前报告的文件通过公司的软件更新服务器发送给受害者的时间还早五个月。 10月文件于10月10日分发给客户,但是其中没有嵌入后门程序,就像受害者在2020年春季下载的后续恶意文件一样,这些文件直到本月才被发现。
“我们认为他们想测试它是否会工作以及是否会被检测到。因此,这或多或少是一场空战。”熟悉调查的消息人士告诉雅虎新闻。 “他们花了时间。他们决定不立即使用实际的后门。这表明他们更加有纪律和有意识。”
十月份的文件是在几名受害者的系统中发现的,但到目前为止,调查人员尚未发现任何迹象,表明在文件降落到这些系统之后,黑客在这些系统上进行了任何其他恶意活动。
五个月后,黑客向SolarWinds软件更新服务器添加了新的恶意文件,这些文件已分发并安装在联邦政府机构和其他客户的网络上。这些新文件在受害网络上安装了后门,使黑客可以直接访问它们。一旦进入受感染的网络,攻击者就可以使用SolarWinds软件来了解网络的结构或更改网络系统的配置。但是他们还能够破坏网络上的其他系统,或者直接将新的恶意文件下载到这些系统。
目前尚不知道受感染受害者的具体人数,但据报道,2020年春季文件中违反的一些受害者包括:美国财政部和商务部,国土安全部,为能源部工作的国家实验室,以及监督国家核武器库存的国家核安全局。在商业领域,安全公司FireEye也通过SolarWinds软件遭到黑客的攻击,微软周二晚间承认,它也在网络上也发现了恶意的SolarWinds文件。并非所有SolarWinds客户都下载了恶意更新。
在发现网络中的黑客之后,FireEye于12月8日在博客中首次揭露了间谍活动,尽管它没有提到SolarWinds是其网络漏洞的源头。消息人士称,直到发布其帖子后,该公司才意识到SolarWinds的连接。
有关2019文件的新信息扩展了先前报告的有关入侵的时间表,并表明黑客至少比报告的时间早了五个月就入侵了SolarWinds的软件更新系统。
“这告诉我们,演员比今年早得多可以进入SolarWinds的环境。我们至少知道他们可以在2019年10月10日访问。但是,他们肯定必须拥有更长的访问时间,”消息人士说。 “因此,入侵[SolarWinds]必须至少在此之前几个月开始-可能至少在2019年中期[如果不是更早]。“
2019年10月分发给受害者的文件已使用合法的SolarWinds证书签名,以使它们看起来像是该公司Orion Platform软件的真实代码,系统管理员可使用该工具监视和配置其网络上的服务器和其他计算机硬件。
SolarWinds不会回答有关攻击者在其网络中存在多长时间的问题,但发言人将Yahoo News定向到周五早晨发布的一份针对2019年文件的常见问题清单。它表明,在2019年10月,SolarWinds分发了其软件的版本,该版本“包含对代码库的测试修改……这是我们目前看到攻击者活动的第一个版本。”该公司指出,它在2019年发布的后续软件版本``未包含该版本2019年10月版中包含的任何测试修改'',也未添加2020年春季版本中的后门。
该公司没有说这些文件是在受害者的机器上找到的。
于10月10日感染客户的文件是在客户被感染的同一天编译的,就像2020年春季发布的文件一样,它们在编译后几小时(有时甚至是几分钟)内感染客户。
程序员首先用一种编程语言编写代码,然后再将其编译成计算机可以读取的二进制文件。
目前尚不清楚何时每个客户在2020年春季首次可以下载文件时被后门感染。FireEye事件响应部门Mandiant的高级副总裁兼首席技术官Charles Carmakal不会说当他的公司遭到破坏但确实说攻击者在从供客户从SolarWinds服务器下载恶意软件更新到FireEye发现漏洞之时的整整八个月内都不在他的公司中。他告诉雅虎新闻(Yahoo News),他们的调查显示,其他被该恶意软件感染的SolarWinds客户直到该更新在更新服务器上可用几个月后才下载并安装该恶意更新。
关于FireEye如何发现其网络中的黑客,一直存在一些困惑。周三发表的一个故事援引国会山的消息来源称,黑客欺骗了一名FireEye员工,泄露了他们访问公司网络的凭据。
但是Carmakal告诉雅虎新闻,这是不正确的。该漏洞是在黑客将设备注册到FireEye的多因素身份验证系统后发现的,FireEye员工使用该系统远程登录公司的VPN。多重身份验证系统的工作方式类似于Gmail用户以安全方式访问其帐户的方式。每次他们访问帐户时,它都会在他们输入的用户手机上生成一个唯一的代码,以及他们的用户名和密码,这样,即使有人拥有用户名和密码,他们也无法在没有唯一代码的情况下访问该帐户。仅在与帐户绑定的帐户持有人的手机上生成唯一代码。
黑客在FireEye网络上注册了他们的设备以获取通常只用于该员工设备的唯一代码后,FireEye的安全系统会向该员工和公司安全团队发出自动警报,通知该公司的设备已注册了未知设备。多因素身份验证系统,就像设备属于员工一样。
Carmakal说:“为了向FireEye VPN进行身份验证,他们必须提供凭据来向[多因素身份验证系统]进行身份验证。” “正是攻击者注册了MFA解决方案所遵循的过程,这才是生成警报的原因。但是此时,攻击者已经有了该员工的用户名和密码。”
凭据被泄露的员工告诉FireEye的安全团队该设备不属于他,在调查黑客如何获取员工凭据的过程中,他们发现黑客已通过恶意的SolarWinds软件访问了网络。 。
Carmakal没有透露骇客如何取得凭证,也没有透露他们窃取了多少员工凭证。但是,一旦进入网络,熟练的黑客通常会寻求对存储员工帐户凭据的关键系统文件的访问权限,以便使用这些凭据来更深入地访问网络的其他部分。