國家級 APT 組織利用 SolarWinds 軟件大范圍供應鏈攻擊預警

背景

美國時間2020年12月13日，據路透社報道，知情人士表示，有外國政府支持的黑客一直在監控美國財政部以及一個負責互聯網和電信政策機構的內部電子郵件往來。

據三位知情人士透露，美國情報界擔心，針對財政部和商務部下屬的國家電信和信息管理局的黑客還使用了類似的方法，侵入了美國其它一些政府機構。但該人士沒有透露其他機構具體指哪些。

《華盛頓郵報》報道說，此次黑客攻擊是由solarwinds產品的缺陷制造的，攻擊是由俄羅斯黑客組織APT29實施的。美國政府官員已經承認了這些事件，但沒有提供進一步的細節。

事件概述

12月13日相關新聞報道后不久，Fireeye在官網發布了《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》報告，報告中披露了國家級APT組織針對SolarWinds產品供應鏈攻擊的相關技術細節。

同時SolarWinds官方發布安全公告，SolarWinds Orion平臺軟件在2020年3月至6月之間發布的2019.4 - 2020.2.1版本，遭受了高度復雜的供應鏈攻擊。建議客戶建議盡快升級到Orion Platform版本2020.2.1 HF 1版本，以保證自己的安全。

受影響情況

根據SolarWinds公司官網顯示，SolarWinds的客戶包括了”財富美國500強“（Fortune 500）企業、美國所有前十大電信業者、美軍所有五大部隊、美國國務院、國家安全局，以及美國總統辦公室等。

基于360安全大腦的遙測分析，初步確認攻擊者在SolarWinds官網發布的多個版本的軟件安裝包和升級包中植入了后門程序。受影響用戶不限于美國地區，涉及全球多個區域和國家，包括美國、哥倫比亞、澳大利亞等多個國家都受到影響。使用SolarWinds軟件的各行各業及大中型企業都受到了不同程度的攻擊波及，請相關機構和組織提高警惕。

檢測防御方法

相關組織機構可以自查是否安裝2019.4 - 2020.2.1版本的SolarWinds Orion平臺軟件，及時清除后門程序。

目前360安全大腦、360情報云等360政企全線安全產品可以檢測和防御SolarWinds軟件供應鏈攻擊。

另外，我們提供了SolarWinds供應鏈后門專殺工具，請聯系ata@#獲取。

參考鏈接

https://www.fireeye.com/blog/threat-resear...

https://www.solarwinds.com/securityadvisor...

原創： 高級威脅研究院 360威脅情報中心
原文鏈接：https://mp.weixin.qq.com/s/KS9iw8EosGVI_1L...