概述
当地时间2020年12月13日,FireEye发布了关于SolarWinds供应链攻击的通告,基础网络管理软件供应商SolarWinds Orion 软件更新包中被黑客植入后门,并将其命名为SUNBURST,与其相关的攻击事件被称为 UNC2452。
SolarWinds的客户主要分布在美国本土,不乏世界500强企业。随着时间的推移,事件逐渐发酵,越来越多的事实正在被逐步发掘。本次供应链攻击事件,波及范围极大,包括政府部门,关键基础设施以及多家全球500强企业,造成的影响目前无法估计。
事件发展
当地时间12月13日,FireEye发布安全通告称其在跟踪一起被命名为UNC2452的攻击活动中,发现了SolarWinds Orion软件在2020年3-6月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证,与攻击者的通信会伪装成Orion Improvement Program(OIP)协议并将结果隐藏在众多合法的插件配置文件中,从而达成隐藏自身的目的。与此同时,SolarWinds官方也发布通告,承认其Orion平台部分软件更新中被黑客植入恶意软件,提醒用户尽快更新到不受影响的版本。
12月14日,SolarWinds在提交给美国证券交易委员会(SEC)的文件中表示,在其30w+客户中,大约有33,000名是Orion客户,这其中大约又有18,000名客户安装了带有后门的 Orion 软件。同时SolarWinds称入侵也损害了其Microsoft Office 365帐户。
当日早些时候,曾经发现SolarWinds产品漏洞而获得了现金奖励的研究人员Vinoth Kumar在Twitter上发布消息称,他曾于2019年11月通知 SolarWinds公司,告知其软件下载网站密码在Github上公开,并表示当时利用被泄密码可以上传文件到SolarWinds软件的下载网站中,那么攻击者是否也注意到过这一漏洞,并作为突破口之一?虽然未得到证实,不过单就官方密码被泄露,且为弱密码这一问题,值得引发广大企业警觉。
当地时间12月15日,根据多家媒体的采访,此次入侵影响的范围还在人们预想之上。路透社报道,SolarWinds入侵也被用于渗透到美国国土安全部(DHS)的计算机网络。
同一天在一外媒对FireEye进一步的采访中,FireEye拒绝回答有关它何时确切地通过Orion入侵获悉自己被入侵,或者攻击者大约何时开始从FireEye网络上下载敏感工具等问题,但是这些问题的答案将会很有趣,因为它可能会说明黑客的动机和攻击优先级。由于在本月8日发生的FireEye红队工具遭到泄露事件与本次事件在时间上的巧合,以及均被外界怀疑和国外APT组织有关,更多的人认为FireEye的工具泄露可能就源于其内部SolarWinds组件已经被攻击者利用,然而FireEye并没有对此猜测发表评论。
16日,据美国“政客”新闻网报道,美国政府一名官员表示,美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,返回华盛顿,协调处理“美国政府机构遭遇网络攻击”事件。该官员还表示,行程计划的改变反映出他们对(遭受网络攻击)形势的重视程度。因此部分人怀疑白宫也受到了本次攻击的影响。
有趣的是微软在18日发布的一篇关于SolarWinds攻击事件的技术分析文档中指出,在研究人员分析时,还发现了另一个存在于SolarWinds Orion产品的后门,新的后门位于App_Web_logoimagehandler.ashx.b6031896.dll 文件中,但由于没有正版的SolarWinds签名,因此被认为与本次事件无关。
当地时间12月21日,FireEye的首席执行官Kevin Mandia表示,尽管大约有18,000个组织的网络中存在恶意代码,但遭到严重破坏的是50个组织。Kevin还说早在去年10月份,FireEye已经察觉到SolarWinds的版本更新中就已经被攻击者进行了无害化的篡改,现在猜测攻击者当时可能是为了进行测试是否会被检测发现。5个月之后,也就是2020年春季,攻击者才首次尝试在补丁中添加了恶意后门。
各方响应
自13日该SolarWinds供应链攻击事件发生以后,国外安全厂商以及政府部门都进行了紧急响应。
当地时间12月13日,该事件公开后,美国国土安全部下属的网络安全和基础设施安全局CISA(其本身也是此次攻击的受害者)发布了一项紧急指令 21-01,命令联邦机构从其网络中断开或关闭受影响的SolarWinds设备。不过要做到完全清理并不容易,2017年联邦政府被勒令从其网络中删除俄罗斯公司卡巴斯基的软件(因为被认为风险太大)。结果花了一年多的时间才将其从网络上删除。即使本次清理并未要求完全删除,这种潜在威胁情况也或将留存一段时间。
与此同时,微软在14日晚些时候称其控制了一个关键域名avsvmcloud.com,该域是后门的命令和控制(C&C)服务器。 控制了该域名后,Microsoft 应该就能够确定哪些组织的IT系统仍在尝试联系恶意域名。但是,由于许多受影响的公司已经设定了防火墙策略阻止访问该恶意域名或已从网络上断开了易受攻击的设备,因此Microsoft 对受影响范围的可见性会受到一定程度的限制。
当地时间12月16日,SolarWinds官方更新通告,表示已经扫描了所有软件产品代码,未找到与受攻击代码类似的标记,证实 Orion Platform产品的其他版本 和非Orion Platform 产品不受影响。当天,某开源项目表示他们的解码器工具已经识别出将近100名疑似SolarWinds供应链攻击受害者,包括大学、政府和高科技公司。
美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和国家情报局局长办公室(ODNI)也在16日晚些时候发布联合声明,FBI正在调查和收集情报,以归因、追捕威胁参与者; CISA发布了紧急指令(https://cyber.dhs.gov/ed/21-01/),指示联邦机构立即从其网络中断开或关闭受影响的SolarWinds Orion产品;ODNI正在帮助调集情报界的所有相关资源,以支持这项工作并在美国政府之间共享信息。从声明的发布者来看,美国本土对于本次事件高度重视,有可能影响极大,远超预期。
当地时间12月17日,微软发布通告表示在其环境中发现了恶意的SolarWinds文件,并且已经进行了隔离和删除。目前没有发现有任何证据表示其生产服务或者用户信息遭到攻击,并且通过持续的调查,微软确认他们的系统也没有被用于发起其他攻击。
微软还表示,其杀毒软件已经检测到了多起利用SolarWinds软件进行的网络攻击事件,大部分都在美国境内。
美国网络安全和基础设施安全局(CISA)再次发布预警称有APT攻击利用SolarWinds Orion供应链作为初始感染向量之一,从2020年3月开始,针对政府机构、关键基础设施以及一些私有企业部门进行了攻击。
当地时间12月18日,美国能源部门(DOE)确认其内部发现了恶意的SolarWinds文件,但已经及时进行了隔离等安全处理,没有影响到关键系统的功能。
虽然本次事件主要影响美国本土用户,但是由于本次事件当属近年来最大的供应链攻击事件之一,绿盟科技也进行了跟踪处理,第一时间发布了安全通告,警示客户对本次事件进行高度重视,随后伏影实验室发布了供应链攻击事件分析报告。同时,国内各安全厂商也积极关注,多方均从不同角度发布了针对本事件的分析。
事件推测
截止到12月21日,距离SolarWinds事件公开已经过去近一周时间,在这一周里,多家企业已经宣布受到影响。由于本次供应链攻击事件涉及行业广,造成影响大,因此美国当地的研究人员和政府官员均有意无意将矛头指向了外国的APT组织。
当地时间 12月14日, 华尔街日报发表文章表示,美国财政部和商务部等数个联邦机构网络系统遭到入侵,政府部门的通信可能已经遭到攻击势力监控。文中提到据知情人士称,俄罗斯的情报部门被怀疑是幕后黑手。
托马斯·博塞特(曾是特朗普总统的国土安全顾问,也曾是乔治·布什总统的国土安全副顾问)就在17日发布文章中表示关于SolarWinds袭击的“种种迹象”表明,俄罗斯的SVR情报机构就是本次攻击的幕后黑手之一。
美国政府也对本次事件高度重视,猜测拜登政府将对具有深厚背景的大规模网络攻击采取强硬态度。
到目前为止,关于攻击者的身份和其目的均尚未明确,各方媒体和人员的猜测也都有待验证。绿盟科技将持续跟进该事件的后续发展,请用户保持关注。
事件反思
供应链攻击已经不是稀有事件了,例如2014年思科及Juniper公司网络设备安全漏洞事件;2015年,苹果产品的XcodeGhost事件,可导致信息泄露、弹窗攻击和被远程控制;2017年NetSarang公司的软件产品存在恶意代码,可导致用户远程登录的信息泄露。本次SolarWinds事件作为最严重的供应链攻击事件之一,涉及面广,影响大,更应该敲响人们对于供应链安全的警钟。
对于供应链安全,上游的产品供应方应该在产品运维和数据保护等方面加强安全管理,提高员工安全意识,避免被攻击者钓鱼攻击或者利用社工突破。保证产品的完整性,确保在给下游分发的软硬件/工具/组件等不被植入、篡改、伪造或者替换,并且确保在分发传递中的信息不被泄露给未授权者。同时在产品的设计、研发、生产、运维等生命周期中提早加入对于安全方面的考量。
下游产品厂商,尤其是涉及政府部门以及关乎国家安全和国民经济命脉的关键领域,例如军工、电网电力、石油石化、电信、煤炭、航空运输、航运等行业,需加强对上游供应商发布的产品/补丁的审查,扩大审查范围,强化审查流程,以保障国民经济生活安全。
参考链接:
https://www.energy.gov/articles/doe-update-cyber-incident-related-solar-winds-compromise
https://us-cert.cisa.gov/ncas/alerts/aa20-352a
https://blogs.microsoft.com/on-the-isss/2020/12/17/cyberattacks-cybersecurity-solarwinds-firye/
https://github.com/RedDrip7/SunBurst_DGA_Decode/releases
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-aect-18k-customers/
https://cyber.dhs.gov/ed/21-01/
https://www.bbc.com/news/world-us-canada-386947
https://world.huanqiu.com/article/417bqrWZ1pw
https://www.nytimes.com/2020/12/16/opinion/firye-solarwinds-russia-hack.html
https://d18rn0p25nwr6d.cloudfront.net/CIK-0001739942/57108215-4458-4dd8-a5bf-55bd5e34d451.pdf
https://www.reuters.com/article/us-global-cyber-usa-dhs-idUSKBN28O2LY
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/