美国财政部、商务部等政府机构正遭受国家级APT供应链攻击 – 作者:国际安全智库

【快 讯】美网络空间的战火从未偃旗息鼓。上周FireEye风波还未平息,今天凌晨《路透社》再次爆出猛料称,美国财政部、商务部以及一些其他政府机构等正被国家级APT组织攻击。值得注意的是,此次攻击利用SolarWinds产品缺陷发起,不仅美国相关政府及企业受到影响,更涉及全球多个区域和国家。可以说,一场全球大范围供应链攻击正蓄意进行……

SolarWinds:成立于1999年,是一家致力于为企业开发软件以帮助管理其网络、系统和信息技术基础架构的美国公司,其总部位于美德克萨斯州的奥斯汀,并在世界多个国家设有销售和产品开发办事处。

值得注意的是,SolarWinds的客户十分“显赫”。根据其公司官网显示,SolarWinds的客户包括:”财富美国500强“(Fortune 500)企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局,以及美国总统办公室等。

1608539761_5fe05e7122fc961e9512c.png!small

风波再起

美国财政部、商务部等机构正被APT入侵

今天凌晨,据《路透社》报道,知情人士表示,国家级APT组织正在监控美国财政部和一个负责互联网和电信政策机构的内部电子邮件的往来。

知情人士进一步透露,美国情报界担心,上述针对财政部和商务部下属的国家电信和信息管理局的黑客还使用了类似的方法,侵入了美国其它一些政府机构。

1608539799_5fe05e97ebbeb08b1319e.png!small

紧接着,外媒补充报道,此次攻击,由俄罗斯知名的黑客组织APT29发起,他们利用SolarWinds产品缺陷实施了攻击。

官方证实

SolarWinds和安全公司公开技术细节

事件爆出后,SolarWinds官方紧急发布安全公告,承认SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 – 2020.2.1版本,遭受了高度复杂的供应链攻击,并建议客户建议尽快升级到Orion Platform版本2020.2.1 HF 1版本,以保证自己的安全。

1608539824_5fe05eb0be13d8b713731.png!small

与此同时,美国网络安全公司FireEye也在官网发布报告证实,国家级APT组织在Orion平台上更新部署了恶意软件,FireEye将该恶意软件命名为SUNBURST,并在《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》的报告中披露了相关技术细节。

1608539845_5fe05ec504a8563dbf405.png!small

值得注意的是,此次针对SolarWinds供应链攻击事件,疑似与上周黑客入侵访问FireEye网络事件存在关联。360安全大脑还原攻击过程如下:

1608539867_5fe05edb14381c46f7da4.png!small

势态严峻

一场波及全球的供应链攻击正蓄意进行

不止于美国财政部、商务部等政府机构被入侵攻击,由于SolarWinds公司的客户群体涉及美国党、政、军、企以及总统办公室各部。其势态严峻性不言而喻。据《路透社》报道,上周六(12月12日)美国国家安全委员会还针对此次攻击事件在白宫举行罕见会议。

1608539888_5fe05ef0b5f05ff7f1d1d.png!small

国家安全委员会发言人约翰·尤利奥特(John Ullyot)表示:“美国政府正在采取一切必要举措,以识别和纠正与这种情况有关的任何可能问题。”

然而,不止于美国相关政府机构和企业受到影响,一场波及全球的供应链攻击正在蓄意进行。事件爆出后,360安全大脑通过遥测分析初步确认:

攻击者在SolarWinds官网发布的多个版本的软件安装包和升级包中植入了后门程序。受影响用户不限于美国地区,更涉及全球多个区域和国家,包括:美国、哥伦比亚、澳大利亚等多个国家均受到影响。鉴于使用SolarWinds软件的各行各业及大中型企业都受到了不同程度的攻击波及,360安全大脑请相关机构和组织提高警惕。

严防之道

360安全大脑国内率先提供专杀工具

除追踪遥测分析预警外,360安全大脑还给出了严防之道,建议相关组织机构可以自查是否安装2019.4 – 2020.2.1版本的SolarWinds Orion平台软件,及时清除后门程序。

同时,360安全大脑、360情报云等360政企全线安全产品,也可以检测和防御SolarWinds软件供应链攻击。此外,他们还提供SolarWinds供应链后门专杀工具,联系[email protected]即可获取。

智 库 时 评  

当攻击者被锁定为俄罗斯国家级黑客组织APT29时,我们会认为这是美俄两个大国间网络战的持续较量。然而,数字化世界、全球万物互通互联之下,网络空间任何角落的战火都能燃向全球。尤其供应链攻击之下,稍有不慎,下一个危机就会轮到我们自己。

与此同时,当我们研究网空态势、威胁情报时,当威胁来临时,我们第一个要做的是预警是有效防范。第一时间给出预判并提出有效解决方案,至关重要。这是我们从业于网络安全行业真正职责所在。

补充阅读:关于APT29:别名YTTRIUM、TheDukes、Cozy Duke、Cozy Bear、Office Monkeys等,被业界称为世界上最隐秘的黑客组织,已被归于俄罗斯政府情报组织。主要攻击目标为美国和东欧的一些国家,其目的为获取国家机密和相关政治利益,包括但不限于政党内机密文件、操控选举等。关于360高级威胁研究院:360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可。相关参考链接:https://mp.weixin.qq.com/s/KS9iw8EosGVI_1Lhsq2g3w 
来源:freebuf.com 2020-12-21 16:41:21 by: 国际安全智库

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论