迄今为止,已知的受害者包括美国财政部、美国NTIA和FireEye本身。
美国安全公司FireEye表示,据信代表外国政府从事攻击活动的黑客已攻陷了软件提供商SolarWinds,然后部署了其Orion软件的植入有恶意软件的更新版本,以感染涉及多家美国公司的网络和政府网络。
路透社、《华盛顿邮报》和《华尔街日报》周日报道美国财政部和美国商务部国家电信与信息管理局(NTIA)遭到入侵,此后FireEye发布了报告。
黑客还通过SolarWinds供应链攻击闯入了FireEye自己的网络,该公司本周早些时候披露了攻击事件。
《华盛顿邮报》援引消息人士的话称,另外多个政府机构也受到了影响。
路透社报道称,这起事件被认为非常严重,以至于前一天即周六美国国家安全委员会在白宫召开了罕见的会议。
接受《华盛顿邮报》采访的消息人士认为入侵与APT29有关联,APT29是网络安全行业采用的代码,用来描述与俄罗斯外国情报局(SVR)有关的黑客。
FireEye未证实此事归咎于APT29,为该团伙取了一个中性的代号UNC2452,不过网络安全界的几位消息人士告诉IT外媒ZDNet,从目前的证据来看,美国政府将此攻击归咎于APT29很可能是属实的。
微软在周日私下发给客户的安全警报中也证实了SolarWinds受攻击事件,并向可能受影响的客户提供了对策。
黑客通过Orion更新版本部署了SUNBURST恶意软件
SolarWinds在周日晚些时候发布了一份新闻稿,承认Orion遭到了攻击。这款软件平台用于集中式监测和管理,通常部署在大型网络中,以密切跟踪服务器、工作站、移动设备和物联网设备等等所有IT资源。
该软件公司表示,2020年3月至2020年6月之间发布的Orion更新版本2019.4至2020.2.1已被恶意软件感染。
FireEye将这种恶意软件命名为SUNBURST,并于今天早些时候发布了技术报告,并在GitHub上发布了检测规则。
微软将该恶意软件命名为Solorigate,并为其Defender防病毒软件添加了检测规则。
受害者数量并没有透露。
尽管周日传出了初步报道,但黑客攻击活动似乎并不是专门针对美国。
FireEye声称:“这次攻击活动范围很广,影响了全球各地的公共和私营组织。”
FireEye补充道:“受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体。我们预计其他国家和垂直行业会有其他受害者。”
SolarWinds表示它计划在12月15日周二发布新的更新版本(2020.2.1 HF 2),以“替换受感染的组件,并提供另外几处安全改进。”
关键词: SolarWinds 攻击