近日,美國財政部和商務部等機構遭到攻擊,可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出,這是涉及 SolarWinds Orion 軟體的供應鏈攻擊,美國網絡安全和基礎架構安全局(CISA)發布了緊急指令,指示非軍事政府系統停止運行該軟體。
12 月 13 日,美國財政部和商務部等機構遭到攻擊,可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出,這是涉及 SolarWinds Orion 軟體的供應鏈攻擊,美國網絡安全和基礎架構安全局(CISA)發布了緊急指令,指示非軍事政府系統停止運行該軟體。
之後,包括英國媒體路透社、美國媒體華盛頓郵報等在內的多家媒體報導,這可能是來自俄羅斯情報部門 SVR 的攻擊,屬於間諜活動。俄羅斯駐華盛頓大使館澄清:有關俄羅斯黑客入侵的報導毫無根據,在信息領域進行攻擊的行為與俄羅斯的外交政策和國家利益相矛盾。
什麼是 SolarWinds Orion
SolarWinds Orion 是 SolarWinds 網絡和計算機管理工具套件的一部分。其功能包括監視、告知用戶關鍵計算機何時停機,還有自動重啟服務的功能。該軟體可能會被安裝在企業最關鍵的系統上,會在系統故障時阻止工作進程。
SolarWinds Orion 漏洞
分析發現,最早在今年 3 月,有人設法在構建過程中修改了 SolarWinds Orion 軟體,包括植入一個特洛伊木馬程序,可遠程控制安裝了 SolarWinds Orion 的計算機。當用戶安裝最新版軟體時,該木馬開始在受害者的計算機上運行,這被稱為是軟體「供應鏈攻擊」,受害者直接或間接地從 SolarWinds 接受了 Orion 軟體的汙染副本。
該木馬進行後門攻擊。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟體框架的 SolarWinds 數字籤名組件,包含一個後門,該後門通過 HTTP 與第三方伺服器進行通信。
植入木馬之後,會有長達兩個星期的初始休眠期,然後它會檢索並執行稱為「Jobs」的命令,這些命令包括傳輸文件,執行文件,對系統進行文件配置,重新引導計算機以及禁用系統服務的功能。惡意軟體偽裝成 Orion 改進程序(OIP)協議的網絡流量,並將偵察結果存儲在合規的插件配置文件中,使其能夠與常規 SolarWinds 活動混淆,不易識別,進而使攻擊者可以遠程操控計算機。
微軟對攻擊者行為的分析表明,即使刪除了 SolarWinds 後門,攻擊者也可能會繼續擁有整個目標網絡的訪問權限。現在,受到攻擊的機構正在重構網絡。
本文轉自OSCHINA
本文標題:黑客利用 SolarWinds Orion 漏洞攻擊美多個機構
本文地址:https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department
【責任編輯:
未麗燕TEL:(010)68476606】