伊莉討論區

標題: SolarWinds供應鏈攻擊中發現的第三種惡意軟件菌株 [打印本頁]

作者: 飛行人3 時間: 2021-1-13 12:43 AM 標題: SolarWinds供應鏈攻擊中發現的第三種惡意軟件菌株

正式調查黑客行為的兩家安全公司之一CrowdStrike揭示了黑客如何破壞SolarWinds Orion應用程序構建過程。

網絡安全公司CrowdStrike是直接調查SolarWinds供應鏈攻擊的公司之一，今天表示，它發現了直接參與最近黑客攻擊的第三種惡意軟件。

這項發現名為Sunspot，為先前發現的Sunburst（Solorigate）和Teardrop惡意軟件菌株增色不少。

但是，儘管Sunspot是SolarWinds黑客的最新發現，但Crowdstrike表示，該惡意軟件實際上是第一個使用的惡意軟件。

Sunspot惡意軟件在SolarWinds的構建服務器上運行在今天發布的一份報告中，Crowdstrike說Sunspot於2019年9月部署，當時黑客首次破壞了SolarWinds的內部網絡。Sunspot惡意軟件安裝在SolarWinds構建服務器上，這是開發人員用來將較小的組件組裝到較大的軟件應用程序中的一種軟件。CrowdStrike說，Sunspot有一個獨特的目的-即監視構建服務器的構建命令，該命令將Orion（SolarWinds的頂級產品）組裝在一起，該Orion是一個IT資源監視平台，被全球33,000多個客戶使用。一旦檢測到構建命令，該惡意軟件就會用加載了Sunburst惡意軟件的文件以無提示的方式替換Orion應用程序內的源代碼文件，從而導致Orion應用程序版本也安裝了Sunburst惡意軟件。

SolarWinds供應鏈攻擊的時間表這些木馬化的Orion客戶最終成為了SolarWinds的官方更新服務器，並安裝在該公司許多客戶的網絡上。一旦發生這種情況，Sunburst惡意軟件將在公司和政府機構的內部網絡內部激活，在那裡它將收集受害者的數據，然後將信息發送回SolarWinds黑客（請參閱此賽門鐵克報告，了解如何通過DNS請求將數據發送回）。然後，威脅行為者將決定受害者是否足夠重要，可以妥協，並在這些系統上部署功能更強大的Teardrop後門木馬，同時，指示Sunburst將自己從被認為微不足道或過高風險的網絡中刪除。但是，有證據表明，在SolarWinds攻擊中發現了第三種惡意軟件菌株，這是今天曝光的有關此事件的三個主要更新之一。在其博客上發布的另一則公告中，SolarWinds還發布了黑客入侵的時間表。這家位於德克薩斯州的軟件提供商表示，在2020年3月至2020年6月之間向用戶部署Sunburst惡意軟件之前，黑客還執行了2019年9月至2019年11月之間的測試運行。

SolarWinds首席執行官Sudhakar Ramakrishna今天在評估中表示：“隨後的Orion Platform版本2019年10月版似乎包含修改，目的是測試犯罪者將代碼插入我們的建築中的能力。”

代碼與Turla惡意軟件重疊最重要的是，安全公司卡巴斯基也在當天另一份報告中發表了自己的發現。卡巴斯基（Kaspersky）並非對SolarWinds攻擊進行正式調查的一部分，但仍在分析該惡意軟件。該公司表示，它調查了Sunburst惡意軟件的源代碼，並發現Sunburst和Kazuar之間的代碼重疊，Kazuar是與俄羅斯Turla集團相關的一種惡意軟件最先進的國家贊助的網絡間諜組織。卡巴斯基在今天的措詞上非常謹慎，指出它只發現“代碼重疊”，但不一定認為它相信Turla組織策劃了SolarWinds攻擊。該安全公司聲稱，此代碼重疊可能是由於SolarWinds黑客使用相同的編碼思想，從相同的編碼器購買惡意軟件，編碼器在不同威脅參與者之間移動而造成的，或者僅僅是虛假的標記操作，旨在導致安全公司在錯誤的路徑。

但是，儘管安全公司避開了攻擊，但上週，美國政府官員正式將SolarWinds黑客歸咎於俄羅斯，稱這些黑客“可能起源於俄羅斯”。美國政府的聲明並未將黑客行為歸咎於特定群體。一些新聞媒體將這次攻擊固定在一個名為APT29（或“舒適熊”）的組織上，但所有參與該黑客攻擊的安全公司和安全研究人員都表示謹慎，並非常膽怯地將這種黑客歸因於如此早期。在調查中。目前，以不同的名稱跟蹤SolarWinds黑客，例如UNC2452（FireEye，Microsoft），DarkHalo（Volexity）和StellarParticle（CrowdStrike），但是一旦公司了解更多，這種名稱將有望改變。目前，還有一個謎團，那就是SolarWinds黑客如何首先設法破壞公司的網絡並安裝Sunspot惡意軟件。它是未打補丁的VPN，電子郵件魚叉式網絡釣魚攻擊，還是在服務器上暴露了可猜密碼的服務器？

歡迎光臨伊莉討論區 (http://3214.eyny.com/)