黑客利用SolarWindsOrion漏洞攻击多个美国机构FireEye和微软分析指出涉及SolarWindsOrion软件的供应链攻击,美国网络安全和基础设施安全局(CISA)发布紧急指令指示非军事政府系统停止运行软件。随后,包括英国媒体路透社和美国媒体华盛顿邮报在内的多家媒体报道称,这可能是来自俄罗斯情报机构SVR的袭击,属于间谍活动。俄罗斯驻华盛顿大使馆澄清:有关俄罗斯黑客攻击的报道毫无根据,信息领域的攻击违背俄罗斯的外交政策和国家利益。什么是SolarWindsOrionSolarWindsOrion是SolarWinds网络和计算机管理工具套件的一部分。它的功能包括监控、在关键计算机停机时通知用户以及自动重启服务的能力。该软件可能安装在企业最关键的系统上,在系统出现故障时阻止工作进程。对SolarWindsOrion漏洞的分析发现,早在3月份,就有人设法在构建过程中修改了SolarWindsOrion软件,包括植入木马程序,可以远程控制安装了SolarWindsOrion的计算机。当用户安装最新版本的软件时,木马程序开始在受害者的计算机上运行,??这就是所谓的软件“供应链攻击”,受害者直接或间接从SolarWinds收到受感染的Orion软件副本。特洛伊木马执行后门攻击。SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件,包含一个通过HTTP与第三方服务器通信的后门。木马植入后,有长达两周的初始休眠期,然后它会检索并执行称为“作业”的命令,包括传输文件、执行文件、分析系统、重启计算机以及禁用系统服务。该恶意软件伪装成OrionImprovedProgram(OIP)协议网络流量,并将侦察结果存储在兼容的插件配置文件中,使其与常规SolarWinds活动混淆并无法识别,从而允许攻击者远程控制计算机。微软对攻击者行为的分析表明,即使移除了SolarWinds后门,攻击者仍可能继续访问整个目标网络。现在,受到攻击的组织正在重新配置他们的网络。本文转自OSCHINA文章标题:黑客利用SolarWindsOrion漏洞攻击多家美国机构
