虽然SolarWinds恶意软件实施的规模空前的网络攻击范围尚待确定,但它使网络攻击者得以访问某些最敏感的系统和数据。
在全球广泛应用的网络监控工具SolarWinds Orion已经受到威胁和破坏。去年3月,在所谓的“供应链攻击”中,网络攻击者在更新代码中注入了恶意软件,其用户每次运行更新时都会安装木马程序。
美国网络安全联盟执行董事Kelvin Coleman说:“供应链攻击是一种低成本、高影响的威胁。这显然对攻击者来说很具吸引力,因为他们可以同时实现许多目标。通过SolarWinds Orion引入的带有恶意软件的更新,对于那些认为他们只是安装或更新已验证软件的公司来说已经成为了破坏点。”
SolarWinds公司在日前提交给美国网络安全联盟的一份调查文件中表示,多达18,000个机构和组织受到影响。该公司拥有30万家客户,其中包括美国十大电信公司、美国军方的所有五个分支机构、美国名列前五的会计师事务所、美国白宫、五角大楼、美国国务院、美国国家安全局、美国司法部等重要政府部门。
SolarWinds公司还表示,美国财富500强企业中有425家公司是该公司的用户,其中包括福特、柯达、思科、万事达、微软。
网络安全服务商RedSeal公司首席技术官Mike Lloyd说,SolarWinds Orion的IT监控服务广泛用于数据中心。他说:“基本上,在云平台或物理数据中心运行的任何东西都需要被监控,以跟踪正常运行时间、性能和服务可用性。这些监视工具往往是为了关注最关键的资产而设置的。这就是为什么SolarWinds Orion成为网络攻击者重要目标的原因。如果看到它所看到的内容,则可以有效地看到所有重要内容。”
在安装木马程序之后,网络攻击者使用它来入侵受害者的某些网络并泄露敏感数据和电子邮件。已经确认的案例包括对美国商务部、美国财政部以及著名的网络安全机构FireEye公司的攻击。
然而,网络攻击者对FireEye公司的攻击功亏一篑。FireEye公司发现了攻击行为,并有效阻止了其攻击行为。FireEye公司随后展开攻势,以确定网络攻击如何发生,以及哪些组织受到影响。
FireEye公司表示,它检测到网络攻击者对全球各地机构和组织的攻击,其中包括北美、欧洲、亚洲和中东的政府部门、咨询机构、技术部门、电信和矿业公司。
该公司表示:“我们预计其他国家和垂直行业还会有更多受害者。我们已经通知受到所有影响的实体。”
这并不是首次使用具有破坏性结果的供应链攻击。2017年,NotPetya恶意软件在全球范围内进行攻击,造成将近100亿美元的损失。
网络攻击是如何进行的
当用户下载更新时,对SolarWinds的漏洞进行网络攻击(微软公司称其为Solorigate,FireEye公司称为Sunburst)就会开始。
事实证明,SolarWinds公司建议其用户从反恶意软件检查中排除此更新过程。SolarWinds Orion工具帮助用户监控他们的网络。该系统的一个缺陷使攻击者能够访问整个网络基础设施。
该恶意软件通过使用网络攻击者购买的合法域建立的通信服务器与其制造商进行通信,这些合法域已经存在了一段时间。这样一来,它就可以逃避安全防护系统,以寻找已知恶意站点或全新域的可疑流量。
FireEye公司在其调查报告中指出:“经过最初长达两周的休眠期之后,它会检索并执行命令,其中包括传输文件和执行文件,对系统进行配置文件,重新启动计算机以及禁用系统服务的功能。”
该恶意软件将其活动伪装为合法的Orion改进程序流量,并将其侦察结果存储在合法的插件配置文件中。它还使用模糊的黑名单来识别反病毒和其他安全工具。
然后,网络攻击者伪造身份安全令牌,使他们能够冒充任何用户或帐户,包括特权帐户,这使他们能够绕过Office 365等服务的多因素身份验证,从供应商那里进入内部部署和云端的电子邮件帐户。
FireEye公司首席执行官Kevin Mandia在一份声明中说:“他们在运营安全方面接受过严格的培训,并具有纪律性和专注力。他们秘密地进行操作,使用了应对安全工具和法医检查的方法。他们采用了一种新颖的技术组合,我们过去从未见过这种组合。”
此外,网络攻击者使用其访问权限渗透现有用户帐户或创建新帐户,以访问更多系统。
潜在影响
截至公布之日,已知受害者包括美国智库FireEye、美国财政部、美国商务部、国家卫生研究院、美国网络安全和基础设施局、美国国土安全部和美国国务院。
RedSeal公司的Lloyd表示:“这是一个令人沮丧但重要的认识,用户可能无法分辨出自己是否真正受到了伤害,如果有可能的话,最好假设它确实发生了。”
到目前为止,网络攻击者的目标似乎在不进行破坏的情况下获得信息,而且没有受害者报告过对其系统的损害。然而,对于拥有敏感信息的政府机构、承包商和其他组织来说,敏感信息的丢失可能是灾难性的打击。
因此,美国国土安全部的网络安全和基础设施安全局日前发布了一项罕见的紧急指令,命令美国联邦机构立即关闭所有SolarWinds Orion工具,并检查网络是否存在危害迹象。
美国网络安全联盟代理总监Brandon Wales在一份声明中说:“ SolarWinds Orion网络管理产品的漏洞给美国联邦网络的安全带来了不可接受的风险。”
451 Research公司分析师Scott Crawford表示,但这并不意味着其他类型的组织应该感到安全。
他指出,美国卷入了一场类似的网络战争,持续不断受到网络攻击,这对任何组织都可能造成附带损害。
Crawford说:“有时,威胁参与者之间的界限有时是模糊的。如果他们有共同的目标,他们就有充分的理由合作。”
建议和回应
任何组织的安全部门负责人都应采取的第一步是确定其基础设施受到何种程度的影响。SolarWinds公司发布了有关确定数据中心可能运行的Orion产品版本的说明。
美国网络安全联盟建议,针对正在运行易受攻击的SolarWinds产品的每种情况保存操作系统和系统内存的映像,以分析新的用户或服务帐户,并检查存储的网络流量是否存在危害指标。
FireEye公司还发布了危害指标列表,并共享了免费对策的GitHub存储库。
下一步措施是移除、升级或隔离受影响的SolarWinds Orion系统。美国网络安全联盟建议完全删除,而SolarWinds公司建议升级和修补。
在无法立即进行升级或修补的情况下,SolarWinds建议尽可能隔离系统。并建议在防火墙后运行Orion,禁用其互联网访问,将端口和连接限制为绝对必要的端口和连接。接下来,用户需要删除所有受损的用户帐户和通信通道,包括关闭对已知受损域和IP地址的所有访问。
用户还应该重置SolarWinds系统可以访问的所有凭据,以及所有特权帐户,身份验证密钥和令牌。
Sophos公司为此推出了一份极其详细的事故应对行动手册,并在获得新信息后不断对其进行更新。在清理完成后,用户可以将系统还原到最后一个良好状态,也可以从受信任的来源重新安装。
微软公司还发布了详细的SolarWinds响应公告。
为未来做好准备
研究法规、风险和合规性问题的全球性咨询机构StoneTurn公司的合伙人Luke Tenery说,SolarWinds黑客事件是一个“分水岭事件”。
他说,“这个事件表明即使是最先进的组织,即使可能采取某种程度的安全预防措施,也无法在可信的第三方受到威胁时检测到高度先进的网络攻击。”
在这个事件中,行业领先的安全机构 以及美国政府中一些最关注安全的部门成为受害者。他表示,这是供应链攻击的最大危险。因为很多组织信任他们的IT供应商。
他说,“解决方案是加强供应商风险管理。但是,即使是美国最著名的技术提供商,也要监视系统的完整性和预期行为。”
