12 月 13 日，美國財(cái)政部和商務(wù)部等機(jī)構(gòu)遭到攻擊，可能會(huì)影響到 18,000 個(gè)用戶。FireEye 和 Microsoft 的分析指出，這是涉及 SolarWinds Orion 軟件的供應(yīng)鏈攻擊，美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)發(fā)布了緊急指令，指示非軍事政府系統(tǒng)停止運(yùn)行該軟件。

之后，包括英國媒體路透社、美國媒體華盛頓郵報(bào)等在內(nèi)的多家媒體報(bào)道，這可能是來自俄羅斯情報(bào)部門 SVR 的攻擊，屬于間諜活動(dòng)。俄羅斯駐華盛頓大使館澄清：有關(guān)俄羅斯黑客入侵的報(bào)道毫無根據(jù)，在信息領(lǐng)域進(jìn)行攻擊的行為與俄羅斯的外交政策和國家利益相矛盾。

什么是 SolarWinds Orion

SolarWinds Orion 是 SolarWinds 網(wǎng)絡(luò)和計(jì)算機(jī)管理工具套件的一部分。其功能包括監(jiān)視、告知用戶關(guān)鍵計(jì)算機(jī)何時(shí)停機(jī)，還有自動(dòng)重啟服務(wù)的功能。該軟件可能會(huì)被安裝在企業(yè)最關(guān)鍵的系統(tǒng)上，會(huì)在系統(tǒng)故障時(shí)阻止工作進(jìn)程。

SolarWinds Orion 漏洞

分析發(fā)現(xiàn)，最早在今年 3 月，有人設(shè)法在構(gòu)建過程中修改了 SolarWinds Orion 軟件，包括植入一個(gè)特洛伊木馬程序，可遠(yuǎn)程控制安裝了 SolarWinds Orion 的計(jì)算機(jī)。當(dāng)用戶安裝最新版軟件時(shí)，該木馬開始在受害者的計(jì)算機(jī)上運(yùn)行，這被稱為是軟件“供應(yīng)鏈攻擊”，受害者直接或間接地從 SolarWinds 接受了 Orion 軟件的污染副本。

該木馬進(jìn)行后門攻擊。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟件框架的 SolarWinds 數(shù)字簽名組件，包含一個(gè)后門，該后門通過 HTTP 與第三方服務(wù)器進(jìn)行通信。

植入木馬之后，會(huì)有長達(dá)兩個(gè)星期的初始休眠期，然后它會(huì)檢索并執(zhí)行稱為“Jobs”的命令，這些命令包括傳輸文件，執(zhí)行文件，對系統(tǒng)進(jìn)行文件配置，重新引導(dǎo)計(jì)算機(jī)以及禁用系統(tǒng)服務(wù)的功能。惡意軟件偽裝成 Orion 改進(jìn)程序(OIP)協(xié)議的網(wǎng)絡(luò)流量，并將偵察結(jié)果存儲(chǔ)在合規(guī)的插件配置文件中，使其能夠與常規(guī) SolarWinds 活動(dòng)混淆，不易識(shí)別，進(jìn)而使攻擊者可以遠(yuǎn)程操控計(jì)算機(jī)。

微軟對攻擊者行為的分析表明，即使刪除了 SolarWinds 后門，攻擊者也可能會(huì)繼續(xù)擁有整個(gè)目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限。現(xiàn)在，受到攻擊的機(jī)構(gòu)正在重構(gòu)網(wǎng)絡(luò)。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：黑客利用 SolarWinds Orion 漏洞攻擊美多個(gè)機(jī)構(gòu)

本文地址：https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department