黑客利用 SolarWinds Orion 漏洞攻擊美多個機構

2020-12-25 51cto

黑客利用 SolarWinds Orion 漏洞攻擊美多個機構

近日,美國財政部和商務部等機構遭到攻擊,可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出,這是涉及 SolarWinds Orion 軟體的供應鏈攻擊,美國網絡安全和基礎架構安全局(CISA)發布了緊急指令,指示非軍事政府系統停止運行該軟體。

作者:一君_來源:開源中國|2020-12-18 11:24

12 月 13 日,美國財政部和商務部等機構遭到攻擊,可能會影響到 18,000 個用戶。FireEye 和 Microsoft 的分析指出,這是涉及 SolarWinds Orion 軟體的供應鏈攻擊,美國網絡安全和基礎架構安全局(CISA)發布了緊急指令,指示非軍事政府系統停止運行該軟體。

之後,包括英國媒體路透社、美國媒體華盛頓郵報等在內的多家媒體報導,這可能是來自俄羅斯情報部門 SVR 的攻擊,屬於間諜活動。俄羅斯駐華盛頓大使館澄清:有關俄羅斯黑客入侵的報導毫無根據,在信息領域進行攻擊的行為與俄羅斯的外交政策和國家利益相矛盾。

什麼是 SolarWinds Orion

SolarWinds Orion 是 SolarWinds 網絡和計算機管理工具套件的一部分。其功能包括監視、告知用戶關鍵計算機何時停機,還有自動重啟服務的功能。該軟體可能會被安裝在企業最關鍵的系統上,會在系統故障時阻止工作進程。

SolarWinds Orion 漏洞

分析發現,最早在今年 3 月,有人設法在構建過程中修改了 SolarWinds Orion 軟體,包括植入一個特洛伊木馬程序,可遠程控制安裝了 SolarWinds Orion 的計算機。當用戶安裝最新版軟體時,該木馬開始在受害者的計算機上運行,這被稱為是軟體「供應鏈攻擊」,受害者直接或間接地從 SolarWinds 接受了 Orion 軟體的汙染副本。

該木馬進行後門攻擊。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 軟體框架的 SolarWinds 數字籤名組件,包含一個後門,該後門通過 HTTP 與第三方伺服器進行通信。

植入木馬之後,會有長達兩個星期的初始休眠期,然後它會檢索並執行稱為「Jobs」的命令,這些命令包括傳輸文件,執行文件,對系統進行文件配置,重新引導計算機以及禁用系統服務的功能。惡意軟體偽裝成 Orion 改進程序(OIP)協議的網絡流量,並將偵察結果存儲在合規的插件配置文件中,使其能夠與常規 SolarWinds 活動混淆,不易識別,進而使攻擊者可以遠程操控計算機。

微軟對攻擊者行為的分析表明,即使刪除了 SolarWinds 後門,攻擊者也可能會繼續擁有整個目標網絡的訪問權限。現在,受到攻擊的機構正在重構網絡。

本文轉自OSCHINA

本文標題:黑客利用 SolarWinds Orion 漏洞攻擊美多個機構

本文地址:https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department

【責任編輯:

未麗燕

TEL:(010)68476606】

點讚 0

相關焦點

  • 微軟總裁示警SolarWinds黑客攻擊 確定40多個新受害目標
    微軟總裁布拉德·史密斯(Brad Smith)近日警告說,SolarWinds 的 IT 軟體 Orion 產生的大範圍黑客攻擊事件「仍在發酵」,表明這次攻擊的範圍、複雜程度和影響情況都是非常深遠的。該漏洞主要針對美國政府機構,因此不少人猜測是有俄羅斯政府支持黑客組織實施的。
  • SolarWinds發布SUPERNOVA惡意軟體的安全更新
    本月初,SolarWinds被曝光遭遇供應鏈APT攻擊,攻擊者在合法的SolarWinds網管軟體Orion的動態庫文件——SolarWinds.Orion.Core.BusinessLayer.dll中植入了惡意的SUNBURST後門木馬。然後,該後門木馬通過供應鏈攻擊中的自動更新功能分發給SolarWinds客戶(1.8萬個)。
  • SolarWinds公司的Orion軟體遭遇網絡攻擊:為什麼難以發現
    黑客組織最近對大型網絡安全機構FireEye公司的入侵是一次規模更大的網絡攻擊,該攻擊是通過對主流網絡監控產品進行惡意更新而實施的,並對一些政府機構和企業造成了影響。該事件凸顯了對軟體供應鏈網絡攻擊可能造成的嚴重影響,而大多數組織都沒有為預防和檢測此類威脅做好準備。今年3月,一個黑客組織在一次網絡攻擊中獲得了訪問多個美國政府部門(其中包括美國財政部和美國商務部)伺服器系統的權限。這一事件導致美國國家安全委員會當時立即召開緊急會議商議應對和解決。
  • 美遭遇全國性網絡攻擊,懷疑俄黑客所為
    近日,美國多個重點機構遭遇網絡攻擊。《華爾街日報》等多家美媒14日報導稱,美國國防部、國土安全部、財政部、商務部、國家衛生研究院等五大中樞部門無一例外,全部遭到黑客攻擊。美專家稱,俄羅斯是此次黑客攻擊的幕後黑手。
  • Solarwinds事件最新進展-SNMP惡意軟體可直接影響控制系統
    供應鏈攻擊:CISA警告新的初始入侵向量構成「嚴重風險」(12.17.2020)- CISA表示,除了Solarwinds Orion平臺外,它有其他初始入侵向量的證據,但該機構仍在調查,暫時沒有分享有關信息。
  • 黑客正在利用多個 WordPress 插件的 0day 漏洞對網站發起攻擊 |...
    上個月發現的所有新攻擊都集中在利用 WordPress 插件中的錯誤,而不是利用 WordPress 本身。許多攻擊都針對最近修補的插件漏洞,黑客希望在站點管理員安裝補丁之前劫持網站。一些攻擊利用了 0 day 漏洞,攻擊過程也更加複雜。以下是 2 月份發生的一些 WordPress 攻擊活動的摘要,這些活動針對 WordPress 插件漏洞。
  • 入侵美政府數月,俄黑客何以得手
    12月8日,頂尖網絡安全公司「火眼」(FireEye)表示受到了一次高度複雜的網攻,專門負責模擬黑客攻擊的工具「紅隊」(Red Team)被入侵。由於「火眼」替美國多個政府機構和大型公司守護網絡,《紐約時報》形容,這起事故宛如銀行劫犯偷走了聯邦調查局(FBI)的偵查工具。
  • 網絡安全巨頭SolarWinds:我被俄羅斯黑客攻擊!
    對於本次事件,SolarWinds認為這是「這是一個國家對其以複雜的方式,針對性的攻擊」。而SolarWinds在發布聲明之後,美國情報界正在緊急調查包括美國在內的多個政府機構的違規行為,其中包括財務部和商務部。路透社表示,有兩位知情人士認為這一事件,與之前網絡安全公司FireEye入侵事件有關,而其背後則是俄羅斯的指示。
  • 微軟發現另一黑客組織攻擊SolarWinds
    微軟發現另一黑客組織攻擊SolarWinds微軟公司近日發現另一個黑客組織參與攻擊SolarWinds的Orion軟體。Orion軟體用於很多美國政府部門和知名公司。微軟12月18日表示,調查發現「另一個攻擊SolarWinds公司Orion產品的惡意軟體」,但可能與此次網絡攻擊無關,該惡意軟體很可能來自不同的黑客組織。SolarWinds公司表示,「該惡意軟體代碼使攻擊者能夠向攻擊目標任意發送和執行C#程序。
  • 瑞星:黑客利用「新冠肺炎」為餌進行APT攻擊 供應鏈威脅升級
    「新冠肺炎」成網絡釣魚誘餌 2020年是「新冠肺炎」全球大面積爆發的一年,國內外不少黑客、APT組織利用「肺炎」「疫情」等相關題材作為誘餌,對一些政府、教育、衛生等機構發起釣魚攻擊。
  • 網站的哪些漏洞易被黑客攻擊?黑客攻擊的常見漏洞
    確保web應用程式的安全性並不容易,但不幸的是,很容易攻擊它們。一個人和黑客通常要花幾個小時熟悉web應用程式,像編寫程序的程式設計師那樣思考,然後找出編程留下的漏洞,然後通過瀏覽器惡意地與應用程式及其相關設施進行交互,造成大小損失。為了防止這些問題,公司必須找出網站的弱點,並縮小可能被利用的差距。
  • 黑客正積極利用多個WordPress插件零日漏洞
    黑客正積極利用多個WordPress插件零日漏洞 站長之家(ChinaZ.com) 3月2日 消息:到目前為止,WordPress是網際網路上使用最廣泛的網站建站技術。
  • 對SolarWinds 事件更深的思考:如何防禦供應鏈攻擊
    劫持正式更新下載地址的域名  黑客通過域名服務商的漏洞,控制域名解析系統,將軟體、OT設備用於下發更新通知的域名劫持到了黑客的伺服器,通過更新通道將惡意代碼植入目標計算器。  汙染網絡基礎設施的DNS解析記錄  利用企業級路由器的已知漏洞或弱口令批量入侵網絡設備,修改路由器上的NS解析伺服器為黑客所控制的伺服器,通過劫持軟體用於更新的域名解析記錄,從而利用更新通道將惡意代碼植入目標計算器。
  • 黑客發帖攻擊49000多個易受攻擊的Fortinet VPN
    一名黑客發布了一份單條線攻擊列表,從近5萬臺FortineVPN設備中竊取VPN憑據。在易受攻擊的目標名單上,是屬於世界各地商業銀行和政府組織的領域。通過利用此漏洞,未經驗證的遠程攻擊者可以通過費盡心思構建的HTTP請求訪問系統文件。黑客發布的利用漏洞可讓攻擊者從Fortinet VPN訪問sslvpn_websession文件以竊取登錄憑據。這些被盜的憑證可以用來危害網絡和部署勒索軟體。
  • VPN成黑客攻擊突破口 更多產品面臨漏洞攻擊風險
    點擊「藍字」關注我們近日,國內安全公司發布報告稱,國家級APT組織DarkHotel,利用深信服VPN軟體的零日安全漏洞,入侵多家中國政府相關單位及駐外機構。據透露,超過 200多臺VPN伺服器被攻擊組織入侵。4月7日中午,深信服(300454,SZ)發布公告確認了這一消息,稱經其分析發現,該事件的始作俑者為某黑客組織。
  • IE瀏覽器0-Day漏洞得到修復 多個韓國網站曾被利用漏洞攻擊
    其中有一個安全補丁針對修復了影響多個IE瀏覽器版本的0-Day安全漏洞,該漏洞的CVE識別碼為CVE-2016-0189,影響IE9/10/11瀏覽器及Windows 10原生Interne Explorer 11版本。
  • 美國微軟公司:SolarWinds公司或同時遭另一群黑客攻擊
    俄羅斯衛星通訊社莫斯科12月23日消息 美國微軟公司在調查黑客通過SolarWinds公司軟體入侵國家政府機構事件時發現,還有一群黑客可能也對該公司軟體實施了攻擊。 AP Photo / Mikko Stig微軟公司否認有關遭黑客入侵的報導微軟指出,「事件出現了重大拐點,對SolarWinds公司遭到入侵的調查整體上發現了新的有害軟體,也對該公司的Orion軟體產生影響。」微軟披露,這「很可能與本次入侵無關,而是被其他犯罪分子利用。」
  • 美國土安全部命令聯邦機構立即升級SolarWinds Orion
    美國國土安全部旗下的網絡安全暨基礎架構安全局(CISA),在12月13日時發布了緊急指令21-01(Emergency Directive 21-01),當時要求所有採用含木馬的SolarWinds Orion版本的聯邦機構立即修補其漏洞,之後於30日提出21-01的補充指令,要求但凡採用舊有
  • 路透社:微軟被黑客利用網絡管理軟體入侵 然後又被利用攻擊他人
    首頁 > 見聞 > 關鍵詞 > 微軟最新資訊 > 正文 路透社:微軟被黑客利用網絡管理軟體入侵 然後又被利用攻擊他人
  • 微軟:SolarWinds遭第2個黑客組織鎖定
    微軟:SolarWinds遭第2個黑客組織鎖定美國信息科技公司SolarWinds旗下網絡管理產品遭疑為俄羅斯的黑客利用入侵美國聯邦機構之後,微軟如今指出,還有第2組不相干的黑客組織鎖定SolarWinds。