SolarWinds 被攻击是怎么回事？

迄今为止，已知的受害者包括美国财政部、美国NTIA和FireEye本身。

美国安全公司FireEye表示，据信代表外国政府从事攻击活动的黑客已攻陷了软件提供商SolarWinds，然后部署了其Orion软件的植入有恶意软件的更新版本，以感染涉及多家美国公司的网络和政府网络。

路透社、《华盛顿邮报》和《华尔街日报》周日报道美国财政部和美国商务部国家电信与信息管理局(NTIA)遭到入侵，此后FireEye发布了报告。

黑客还通过SolarWinds供应链攻击闯入了FireEye自己的网络，该公司本周早些时候披露了攻击事件。

《华盛顿邮报》援引消息人士的话称，另外多个政府机构也受到了影响。

路透社报道称，这起事件被认为非常严重，以至于前一天即周六美国国家安全委员会在白宫召开了罕见的会议。

接受《华盛顿邮报》采访的消息人士认为入侵与APT29有关联，APT29是网络安全行业采用的代码，用来描述与俄罗斯外国情报局(SVR)有关的黑客。

FireEye未证实此事归咎于APT29，为该团伙取了一个中性的代号UNC2452，不过网络安全界的几位消息人士告诉IT外媒ZDNet，从目前的证据来看，美国政府将此攻击归咎于APT29很可能是属实的。

微软在周日私下发给客户的安全警报中也证实了SolarWinds受攻击事件，并向可能受影响的客户提供了对策。

黑客通过Orion更新版本部署了SUNBURST恶意软件

SolarWinds在周日晚些时候发布了一份新闻稿，承认Orion遭到了攻击。这款软件平台用于集中式监测和管理，通常部署在大型网络中，以密切跟踪服务器、工作站、移动设备和物联网设备等等所有IT资源。

该软件公司表示，2020年3月至2020年6月之间发布的Orion更新版本2019.4至2020.2.1已被恶意软件感染。

FireEye将这种恶意软件命名为SUNBURST，并于今天早些时候发布了技术报告，并在GitHub上发布了检测规则。

微软将该恶意软件命名为Solorigate，并为其Defender防病毒软件添加了检测规则。

受害者数量并没有透露。

尽管周日传出了初步报道，但黑客攻击活动似乎并不是专门针对美国。

FireEye声称：“这次攻击活动范围很广，影响了全球各地的公共和私营组织。”

FireEye补充道：“受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体。我们预计其他国家和垂直行业会有其他受害者。”

SolarWinds表示它计划在12月15日周二发布新的更新版本(2020.2.1 HF 2)，以“替换受感染的组件，并提供另外几处安全改进。”

关键词： SolarWinds 攻击