近日,APT黑客组织利用隐藏在美国软件提供商SolarWinds产品中的木马后门发起供应链攻击,全球网络安全部门发布警告一一个接一个。该消息是在网络安全公司FireEye上周透露其系统遭到黑客攻击并且红队工具被盗后发布的。黑客通过木马化的SolarWindsOrion软件破坏了FireEye。FireEye称,攻击者使用了只有国家级黑客组织才具备的新型、复杂的攻击技术和方法。《华盛顿邮报》和《纽约时报》的报道指出,攻击者是俄罗斯网络犯罪组织APT29。APT29是一个黑客组织,与一个或多个俄罗斯情报机构分别有联系,特别是外国情报局(SVR)和联邦安全局(FSB)。除了包括商务部、财政部、五角大楼、国家安全局、白宫总统办公室在内的美国政府和军方客户外,还有425家世界500强企业使用了SolarWinds的服务,并且SolarWinds的客户包括全球数百家公司。大学。尽管业界普遍认为该事件专门针对美国联邦机构,但全球各政府网络安全中心也纷纷发出警告。新西兰计算机应急响应小组(CERTNZ)建议SolarWinds用户尽快安装补丁,并“考虑立即隔离这些服务器,以确保在服务器得到补丁和保护之前没有互联网出口”。该机构还表示,它已经与国际合作伙伴进行了讨论,并表示,作为额外的预防措施,SolarWinds客户还应该更改Orion服务器可访问的任何基础设施上的密码。英国国家网络安全中心(NCSC)12月15日表示,正在与FireEye及其“国际合作伙伴”密切合作处理该事件。NCSC建议组织审查FireEye的调查更新并遵循SolarWinds推荐的安全缓解措施。此外,澳大利亚网络安全中心(ACSC)将警告标记为“高”状态,敦促Orion用户遵循SolarWinds和FireEye提供的缓解措施。不可接受的风险同时,美国网络安全和基础设施安全局(CISA)发布了一项紧急指令,指示所有美国联邦机构审查其网络是否存在受损迹象,并立即断开所有SolarWinds产品与网络的连接。“黑客入侵SolarWinds的Orion网络管理产品对联邦网络的安全构成了不可接受的风险,”CISA代理主任BrandonWells说。潜在的妥协,我们敦促所有公共和私营部门合作伙伴评估他们遭受此类妥协的风险,并保护他们的网络免受任何利用。”据信,正在进行的供应链攻击活动可能才刚刚开始。FireEye将特洛伊木马恶意软件追踪为“Sunburst”。有关恶意软件如何工作的更详细报告可以在FireEye的博客上找到。参考资料:SolarWinds于12月16日发布最新补丁:https://www.solarwinds.com/securityadvisory:gooann-sectv)获取授权】戳这里看作者更多好文
