企业动态

12月14日，据路透社和《华盛顿邮报》报道，知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视，甚至可能与上周曝出的FireEye网络武器库被盗事件有关。美国国家安全委员会甚至因此在上周六召开紧急会议。

我国不是此次APT攻击的战略目标

根据奇安信CERT的初步分析，国内相关的DNS请求量很少，据此可以判断，此次APT攻击不是针对我国。
但奇安信CERT的专家rem4x@A-TEAM提醒，目前SolarWinds官网的更新软件仍未修复。该公司在3-6月期间发布的受影响具体版本包括Orion 2019.4-2020.2.1。

一场具有极大战略意图的攻击

奇安信CERT安全专家rem4x@A-TEAM认为，这是一场足以影响全世界大型机构的软件供应链攻击，具有极大的战略意图。

本次攻击者入侵的SolarWinds是全球流行的网络管理软件，客户群体覆盖了大量重要机构和超过9成的世界500强企业，在全球的机构用户超过30万家。根据该公司网站的介绍，其中包括美国军方的五大军种（海军、陆军、空军、美国海军陆战队、太空军）、五角大楼、美国国务院、美国司法部、美国国家航空航天局，总统办公室和国家安全局等军政司法机构。此外，美国十大电信公司也使用SolarWinds的产品。

奇安信CERT安全专家rem4x@A-TEAM通过分析发现，被污染的SolarWinds软件带有该公司签名，这表示该公司内部可能已经被黑客完全控制。

通过污染这个软件，APT组织直接攻击目标机构的网络管理员，获得网络设备账号及管理权限、IT基础设施及管理权限，以及业务系统与数据库的最高权限，从而实现畅通无阻的内部网络访问，具备长期的匿名网络接入能力，以及越过内部安全等级防护的权限，从而达到长期控制目标、窃取核心数据的目的。

因此，可以判断，该APT组织的此次供应链攻击，具有极大的战略意图，可能是为了长期控制某些重要目标，或者获取足以长期活动的凭据。

供应链攻击呈现显著上升趋势

12月1日，美国防部的供应链网络安全标准正式生效。

现在，软件供应链攻击已经成为黑客攻击的重要突破口。在政企机构报告的直接攻击减少的同时，通过供应链发起的“间接攻击”却呈上升趋势。

据知名智库“大西洋理事会”发布的报告，2010-2020年的10年间的公开报道中，具有较高影响力的软件供应链攻击和泄露事件呈现逐年递增趋势。

从实战经验看，供应链攻击成常见的安全短板

从奇安信的实战经验看，供应链攻击也开始成为国内常见的安全短板。

截至2020年11月，奇安信今年共组织、参与244场攻防演习，拿下了1900余个目标系统，这些系统中，攻击行为与供应链相关的近200个。

例如，某金融机构因为供应商的源代码泄露，导致数据中心管理平台、业务系统被控制。

▪通过信息采集，发现某科技公司是银行系统的提供商，通过常规攻击手段获取到源代码；

▪通过源代码分析0day漏洞，入侵到某金融机构；

▪以此为跳板，横向渗透拿下数据中心管理平台；

▪通过平台反向给办公终端挂马，控制办公终端，尝试进一步横向渗透。

通过漏洞，控制正在调试代码的开发人员办公终端。

通过浏览器历史记录直接登录目标系统。

目前，我国主要的信息化系统的软硬件核心技术对欧美的依赖程度还比较高，比如处理器、操作系统、数据库、中间件等。现阶段，供应链安全是我们面临的重要挑战。

鉴于事件的严重性，奇安信集团快速启动应急响应联合团队，由威胁情报中心、奇安信技术研究院、奇安信CERT组成的联合响应团队从多方面为国内用户提供支撑，包括事件进展监控、数据检测、样本分析、客户服务、专杀工具开发。

目前，奇安信已针对受污染版本推出了专杀工具，可在官网下载。

如有需要可联系 ti_support@qianxin.com