上周震驚全球網(wǎng)絡(luò)安全界的FireEye被黑事件只是冰山一角,在攻擊FireEye后不到一周時間,俄羅斯黑客組織APT29又入侵了包括美國財政部和商務(wù)部在內(nèi)的多個政府機(jī)構(gòu)。
FireEye在周日晚上透露說,攻擊者正在使用Orion(SolarWinds出品的一款廣泛使用的網(wǎng)絡(luò)監(jiān)控管理軟件)更新來感染目標(biāo)。在控制了Orion的更新機(jī)制之后,攻擊者就可以用木馬化的Orion更新來滲透目標(biāo)網(wǎng)絡(luò),橫向移動并竊取數(shù)據(jù),F(xiàn)ireEye研究人員將這個后門稱為Sunburst(日爆):
SolarWinds.Orion.Core.BusinessLayer.dll是Orion軟件框架的SolarWinds數(shù)字簽名組件,此SolarWinds Orion插件的木馬版本包含一個后門(Sunburst),可通過HTTP與第三方服務(wù)器進(jìn)行通信。
經(jīng)過長達(dá)兩個星期的初始休眠期后,木馬組件會檢索并執(zhí)行稱為“作業(yè)”的命令,這些命令包括傳輸文件、執(zhí)行文件、對系統(tǒng)進(jìn)行配置文件、重新引導(dǎo)計算機(jī)以及禁用系統(tǒng)服務(wù)的功能。該惡意軟件偽裝成Orion改進(jìn)程序(OIP)協(xié)議的網(wǎng)絡(luò)流量,并將偵察結(jié)果存儲在合法的插件配置文件中,從而使其能夠與合法的SolarWinds活動融合。該后門使用多個混淆的阻止列表來識別作為進(jìn)程、服務(wù)和驅(qū)動程序運(yùn)行的取證和防病毒工具。
Sunburst這個后門有多可怕?微軟在博客中指出,利用Orion更新機(jī)制在目標(biāo)網(wǎng)絡(luò)上立足之后,攻擊者正在竊取簽名證書,這些證書允許他們冒充目標(biāo)網(wǎng)絡(luò)中的任何現(xiàn)有用戶和賬戶,包括高特權(quán)賬戶。
帶有后門的SolarWinds軟件的數(shù)字簽名
奇安信CERT安全專家rem4x A-TEAM通過分析發(fā)現(xiàn),被污染的SolarWinds軟件帶有該公司簽名,這表明SolarWinds公司內(nèi)部很可能已經(jīng)被黑客完全控制。
1.8萬客戶中招!影響全球的重大APT軟件供應(yīng)鏈攻擊
據(jù)《華盛頓郵報》報道:知情人士透露,作為全球間諜活動的一部分,俄羅斯政府的黑客已經(jīng)入侵了美國財政部和商務(wù)部以及其他美國政府機(jī)構(gòu)。
知情人士說,官員們在剛剛過去這個周末忙于評估入侵的性質(zhì)和嚴(yán)重程度,并采取有效對策,但初步跡象表明,這一黑客活動是長期的(FireEye認(rèn)為攻擊最早始于今年春季),而且影響重大。
據(jù)包括《華盛頓郵報》在內(nèi)的多家美國媒體報道,此次黑客攻擊的領(lǐng)導(dǎo)者是俄羅斯黑客組織APT29(舒適熊),該組織隸屬俄羅斯聯(lián)邦安全局(FSB)和外國情報服務(wù)(SVR),奧巴馬執(zhí)政期間,該俄羅斯組織入侵了國務(wù)院和白宮電子郵件服務(wù)器。
據(jù)悉,聯(lián)邦調(diào)查局已經(jīng)開始著手調(diào)查該事件,但周日沒有發(fā)表評論。
FireEye在周日的博客中說,所有受害公司遭遇的APT29攻擊都有一個共同的攻擊路徑:通過目標(biāo)公司的SolarWinds網(wǎng)絡(luò)管理系統(tǒng)的更新服務(wù)器。
美國聯(lián)網(wǎng)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)周日也發(fā)出警報,敦促企業(yè)閱讀SolarWinds和FireEye的安全咨文以及Github頁面(文末),以了解最新的檢測對策。
SolarWinds則在周日的一份聲明中表示:
“根據(jù)監(jiān)測,今年3月和6月發(fā)布的Orion產(chǎn)品可能已經(jīng)被秘密地安裝在大量高度復(fù)雜的、有針對性的目標(biāo)中。”
幾位知情人士透露,俄羅斯此次間諜活動的規(guī)模非常大。一位人士說:“這看起來非常非常糟糕。”專家們的擔(dān)心并非沒有來由,APT29這一波攻擊的影響絕不僅限于美國重要政府部門,據(jù)網(wǎng)絡(luò)公司FireEye稱,最近這一波攻擊的受害者包括北美、歐洲、亞洲和中東的政府、咨詢、技術(shù)、電信以及石油和天然氣公司。
事實上,SolarWinds的客戶圈子不是一般的大:
SolarWinds產(chǎn)品在全球超過300,000個組織中使用。根據(jù)該公司的網(wǎng)站,SolarWinds的客戶包括美國軍方的所有五個分支機(jī)構(gòu)、五角大樓、國務(wù)院、司法部、美國國家航空航天局、總統(tǒng)執(zhí)行辦公室和國家安全局。
此外,SolarWinds的客戶還包括美國十大電信公司。
在向美國證券交易委員會提交的文件中,SolarWinds還表示:
“大約有18,000個客戶下載了木馬化的SolarWinds Orion版本”
路透社周日首次報道了針對財政部和商務(wù)部的黑客攻擊,指出:此事是如此嚴(yán)重,以至于國家安全委員會在周六召開緊急會議。
國家安全委員會發(fā)言人約翰·尤利奧特(John Ullyot)表示:“美國政府已意識到這些報告,我們正在采取一切必要步驟,以識別和糾正與這種情況有關(guān)的任何可能問題。”他沒有對負(fù)責(zé)的國家或集團(tuán)發(fā)表評論。
根據(jù)路透社的報道,除了商務(wù)部,俄羅斯人還瞄準(zhǔn)了處理互聯(lián)網(wǎng)和電信政策的美國國家電信和信息管理局,此外該黑客組織也與最近發(fā)生的竊取冠狀病毒疫苗研究的攻擊有關(guān)。
總結(jié):軟件供應(yīng)鏈已入雷區(qū)
雖然就目前報道來看,本次攻擊貌似與國內(nèi)并無多大干系,但實際上已經(jīng)拉響警笛!
根據(jù)ESG和Crowstrike的2019年供應(yīng)鏈安全報告:
16%的公司購買了被做過手腳的IT設(shè)備;
90%的公司“沒有做好準(zhǔn)備”應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)攻擊。
在安全牛“供應(yīng)鏈安全五大數(shù)字風(fēng)險”一文中,“企業(yè)或者供應(yīng)商軟件漏洞”和“被植入惡意軟件的軟硬件”占據(jù)了兩席,軟件(包括固件)供應(yīng)鏈正在成為黑客實施供應(yīng)鏈攻擊的重要突破口,而且此類攻擊往往能夠“突破一點,打擊一片”,危害性極大,甚至很多網(wǎng)絡(luò)安全軟件自身都存在供應(yīng)鏈風(fēng)險(例如FireEye剛剛泄露的紅隊工具)。
根據(jù)埃森哲2019年的一項調(diào)查,受訪的4600家企業(yè)中40%曾因供應(yīng)商遭受網(wǎng)絡(luò)攻擊而發(fā)生數(shù)據(jù)泄露,大量企業(yè)報告直接攻擊減少的同時,通過供應(yīng)鏈發(fā)起的“間接攻擊”卻呈上升趨勢。19年2月,賽門鐵克發(fā)布報告顯示,過去一年全球供應(yīng)鏈攻擊爆增78%,并特別強(qiáng)調(diào)2019年全球范圍內(nèi)供應(yīng)鏈攻擊活動仍在繼續(xù)擴(kuò)大。以下,安全牛將過去近二十年的重大軟件供應(yīng)鏈攻擊事件列舉如下,以期幫助安全人員更好地理解供應(yīng)鏈入侵的模式,開發(fā)出最佳實踐與工具。