根據(jù)多方媒體報道匯總,目前新確認(rèn)感染SolarWinds木馬化版本的美國聯(lián)邦政府機構(gòu)包括美國國務(wù)院、國防部、國土安全部、能源部國家核安全局、美國國立衛(wèi)生研究院等。路透社報道稱微軟內(nèi)部也被感染,旗下產(chǎn)品被用于攻擊客戶,但微軟否認(rèn)了產(chǎn)品遭到濫用。
美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示,本次針對美國政府機構(gòu)發(fā)起大規(guī)模攻勢的APT組織曾使用多種初始訪問媒介。
“CISA目前掌握的證據(jù)顯示,除SolarWinds Orion平臺之外,還存在其它初始訪問媒介。我們?nèi)栽趯@些媒介進行調(diào)查,后續(xù)將持續(xù)更新通報?!?/p>
“并非所有使用SolarWinds Orion平臺提供后門的組織都成為了攻擊者下一步計劃的目標(biāo)?!?/p>
難以從受感染網(wǎng)絡(luò)中徹底清除
根據(jù)CISA方面介紹,該APT組織長期對受感染組織網(wǎng)絡(luò)實施入侵,發(fā)起此次黑客攻擊的幕后團伙,很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術(shù)、技術(shù)與程序(TTPs),這也是他們當(dāng)前調(diào)查工作中的關(guān)注重點。
CISA目前正在調(diào)查一些與SolarWinds攻擊同期出現(xiàn)的其它事件,“包括一部分并未使用SolarWinds Orion,或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關(guān)入侵活動的受害者。”
CISA發(fā)布的AA20-352A警報補充道,“CISA已經(jīng)確認(rèn)此次威脅已經(jīng)給從聯(lián)邦到地區(qū)自上而下的政府機構(gòu),乃至一系列關(guān)鍵基礎(chǔ)設(shè)施實體與私營部門組織構(gòu)成了嚴(yán)重風(fēng)險?!?/p>
“該APT團伙在本次攻擊行動中展現(xiàn)出極大的耐心、行動保障能力以及和極為復(fù)雜的技術(shù)手段。CISA認(rèn)為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除,對各組織而言將是一項極為復(fù)雜且極具挑戰(zhàn)的任務(wù)。”
警報還提到了其它技術(shù)細節(jié),包括本輪攻擊中使用的初始感染媒介,戰(zhàn)術(shù)、技術(shù)與程序(TTPs),緩解措施以及危害指標(biāo)等信息。
美國政府正式確認(rèn)此次入侵事件
美國聯(lián)邦調(diào)查局(FBI)、國家情報局局長辦公室(ODNI)與CISA在12月16日聯(lián)合發(fā)布聲明,首次正式確認(rèn)SolarWinds違規(guī)事件造成多個美國聯(lián)邦政府機構(gòu)的網(wǎng)絡(luò)遭受入侵。
它們表示,“事態(tài)仍在不斷發(fā)酵,我們將繼續(xù)努力調(diào)查此次事件的全部影響范圍。而且目前可以肯定,聯(lián)邦政府的內(nèi)部網(wǎng)絡(luò)已遭到入侵。”
微軟、FireEye和GoDaddy已經(jīng)合作為SolarWinds后門的控制域名創(chuàng)建了一個“終止開關(guān)”,旨在迫使該惡意軟件從受感染網(wǎng)絡(luò)當(dāng)中進行自我刪除。
此后門被微軟方面命名為Solarigate,F(xiàn)ireEye則將其稱為Sunburst(日爆攻擊)。目前該后門已經(jīng)通過SolarWinds的自動更新機制被分發(fā)至大約18000家客戶的系統(tǒng)當(dāng)中。
國內(nèi)安全公司奇安信分析稱,截止12月16日,已確認(rèn)受害的重要機構(gòu)至少200家,波及北美、歐洲等全球重要科技發(fā)達地區(qū)的敏感機構(gòu),其中美國占比超過60%。研究人員認(rèn)為,執(zhí)行該攻擊行動的是一個數(shù)百人的集團化組織,并將其命名為“金鏈熊”。
截至目前,綜合多家媒體報道顯示,受此事件影響的美國政府機構(gòu)包括美國國務(wù)院、國防部、財政部、國土安全部、能源部國家核安全局、商務(wù)部國家電信與信息管理局、美國國立衛(wèi)生研究院等。