这是一次来自外部国家的高度精密、有针对性、有针对性的供应链攻击。黑客利用今年3月至6月发布的SolarWinds网络管理产品Orion更新植入恶意代码,从而入侵了美国财政部和商务部下属的美国国家电信和信息管理局(NTIA)和FireEye的网络。此外,多达1.8万名猎户座客户也面临着来自此次供应链攻击的巨大威胁。这意味着在长达九个月的时间里,黑客可以继续监控这些企业和机构,窥探内部电子邮件流量。不得不提的是,SolarWinds的全球用户包括白宫、国防部、美英信号情报机构等敏感组织。在巨大的安全危机下,这些机构正在紧急尝试解决问题。该攻击归因于与俄罗斯有联系的黑客组织APT29。黑客使用木马化的SolarWindsOrion更新来分发一个名为SUNBURST的后门,进入网络内部,然后创建一个新的后门。根据SolarWinds的一份声明,Orion软件构建系统遭到破坏,但该漏洞并未进入Orion产品的源代码存储库。此外,SolarWinds使用MicrosoftOffice365来提供电子邮件和生产力工具,并意识到一种攻击媒介会破坏公司的电子邮件并获得对公司生产力工具中包含的其他数据的访问权限。虽然SolarWinds与微软合作对该漏洞采取了补救措施,但尚未调查该漏洞是否与Orion被植入恶意代码有关。在相关期间(3-6月)当前下载、实施或更新的Orion产品包含该漏洞;相关期间(3-6月)之前下载实施,相关期间未更新,不包含该漏洞;相关时间段(3-6月)后下载实施的Orion产品不存在该漏洞;在漏洞存在期间,运行受影响的Orion产品的服务器可能会受到损害。根据最新消息,SolarWinds已联系全球33,000名客户提供缓解措施和补丁更新。之后,SolarWinds准备第二次补丁更新。https://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htmhttps://securityaffairs.co/wordpress/112294/hacking/solarwinds-sec-filing。网页格式
