美國資安大廠FireEye被駭後,現如雪球般愈滾越大,發現SolarWinds的Orion監控平台被攻擊者篡改,已知的受害者包括美國財政部,電信資訊署(NTIA)和FireEye本身。攻擊者利用SolarWinds供應鏈部署了SUNBURST後門攻擊全球多個目標!!!
美國安全公司FireEye今天(美國時間12月13日)表示,證實了先前的懷疑,在SolarWinds Orion發現了一個供應鏈攻擊,國家級駭客組織已將Orion的商業軟體更新並木馬化,以進行分發惡意軟體並感染多個美國公司和政府網路。FireEye 的報告是在路透社,華盛頓郵報和華爾街日報於週日報導美國財政部和美國商務部電信資訊署(NTIA)遭到入侵之後發布的。
聯邦機構受害者使用的IT公司SolarWinds說,“一個國家級駭客組織對美國進行了高度複雜,有針對性的手動供應鏈攻擊”攻擊了今年早些時候其Orion IT監控平台發布的軟體更新。另FireEye說 ,SolarWinds供應鏈的攻擊也是駭客入侵FireEye的路徑。
SolarWinds總裁兼首席執行長Kevin Thompson的一份聲明說,該公司“意識到潛在的漏洞,目前認為該漏洞與2020年3月至2020年6月之間發布的Orion監控產品更新有關。”
路透社報導說,這一事件被認為非常嚴重,以至於美國國家安全委員會在星期六在白宮舉行罕見的會議。據路透社報導,美國政府機構,包括財政部和商務部,受到此嚴重的攻擊,以至於國家安全委員會在周六開會討論該事件。
華盛頓郵報還說,國家級駭客對SolarWinds產品的攻擊是由俄羅斯駭客組織APT29,又名舒適熊(Cozy Bear)犯下的。美國政府官員已承認這些攻擊事件,但未提供更多細節。
FireEye表示,它“已在全球多個實體中檢測到此活動”。受害者包括北美,歐洲,亞洲和中東的政府,諮詢,技術,電信等等實體。我們預計其他國家和地區還會有其他受害者。”
FireEye將這種惡意軟體命名為SUNBURST,並於今天早些時候發布了技術報告以及 GitHub上的檢測規則和反制措施。
微軟將其命名為Solorigate惡意軟體, 並為其Defender防病毒軟體增加了檢測規則。
利用SolarWinds供應鏈和SUNWINRST後門來攻擊多個全球目標的有關情資:
https://otx.alienvault.com/pulse/5fd6df943558e0b56eaf3da8
