12 月 13 日，美國財政部和商務(wù)部等機構(gòu)遭到攻擊，可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出，這是涉及 SolarWinds Orion 軟件的供應(yīng)鏈攻擊，美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)發(fā)布了緊急指令，指示非軍事政府系統(tǒng)停止運行該軟件。

之后，包括英國媒體路透社、美國媒體華盛頓郵報等在內(nèi)的多家媒體報道，這可能是來自俄羅斯情報部門 SVR 的攻擊，屬于間諜活動。俄羅斯駐華盛頓大使館澄清：有關(guān)俄羅斯黑客入侵的報道毫無根據(jù)，在信息領(lǐng)域進行攻擊的行為與俄羅斯的外交政策和國家利益相矛盾。

什么是 SolarWinds Orion

SolarWinds Orion 是 SolarWinds 網(wǎng)絡(luò)和計算機管理工具套件的一部分。其功能包括監(jiān)視、告知用戶關(guān)鍵計算機何時停機，還有自動重啟服務(wù)的功能。該軟件可能會被安裝在企業(yè)最關(guān)鍵的系統(tǒng)上，會在系統(tǒng)故障時阻止工作進程。

SolarWinds Orion 漏洞

分析發(fā)現(xiàn)，最早在今年 3 月，有人設(shè)法在構(gòu)建過程中修改了 SolarWinds Orion 軟件，包括植入一個特洛伊木馬程序，可遠(yuǎn)程控制安裝了 SolarWinds Orion 的計算機。當(dāng)用戶安裝最新版軟件時，該木馬開始在受害者的計算機上運行，這被稱為是軟件“供應(yīng)鏈攻擊”，受害者直接或間接地從 SolarWinds 接受了 Orion 軟件的污染副本。

該木馬進行后門攻擊。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟件框架的 SolarWinds 數(shù)字簽名組件，包含一個后門，該后門通過 HTTP 與第三方服務(wù)器進行通信。

植入木馬之后，會有長達(dá)兩個星期的初始休眠期，然后它會檢索并執(zhí)行稱為“Jobs”的命令，這些命令包括傳輸文件，執(zhí)行文件，對系統(tǒng)進行文件配置，重新引導(dǎo)計算機以及禁用系統(tǒng)服務(wù)的功能。惡意軟件偽裝成 Orion 改進程序(OIP)協(xié)議的網(wǎng)絡(luò)流量，并將偵察結(jié)果存儲在合規(guī)的插件配置文件中，使其能夠與常規(guī) SolarWinds 活動混淆，不易識別，進而使攻擊者可以遠(yuǎn)程操控計算機。

微軟對攻擊者行為的分析表明，即使刪除了 SolarWinds 后門，攻擊者也可能會繼續(xù)擁有整個目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限。現(xiàn)在，受到攻擊的機構(gòu)正在重構(gòu)網(wǎng)絡(luò)。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：黑客利用 SolarWinds Orion 漏洞攻擊美多個機構(gòu)

本文地址：https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department