駭完 FireEye 換駭美國政府！SolarWinds Orion 軟體更新慘淪破口

美國政府包括財政部、商務部傳出網路遭駭，而兇手正是上周稍早駭入 FireEye 存取紅隊測試工具的同一幫人。

路透社、華盛頓郵報及華爾街日報周末報導，美國政府已經證實此事，現在正在評估受害程度及善後。聯邦調查局 (FBI) 及國土安全部網路安全部門已經展開調查。

上周傳出被駭的單位包括財政部及商務部下的國家電信與資訊管理局。華盛頓郵報引述消息人士報導還有其他政府單位也被駭入。路透社報導，由於事態太嚴重，致使白宮於周六罕見召開美國國安會議。

此外，消息人士指出，這起攻擊可能和與俄羅斯外國情報單位 (SVR) 有關的駭客組織 APT 29 有關。

FireEye 及微軟周一做出初步分析，駭客極可能是來自外國政府資助的團體，他們駭入軟體供應商 SolarWindws 後，將惡意軟體注入在其 Orion 軟體的更新中，以感染多個美國政府單位及企業客戶網路，包括 FireEye。但 FireEye 僅將犯案者命名為 UNC2452，並未指明是哪一個國的駭客組織。

SolarWinds 的 Orion 用於監控管理大型網路上所有 IT 資源，包括伺服器、工作站、行動裝置和物聯網裝置。SolarWinds 周日也坦承 Orion 遭到供應鏈攻擊，今年 3 月到 6 月間釋出的 2019.4 版到 2020.2.1 版遭植入惡意程式。

FireEye 上周被駭，攻擊者取得了該公司模仿駭客活動以測試客戶網路有無漏洞的測試工具，也存取了部份政府客戶資訊。

FireEye 將該惡意程式命名為 Sunburst，也公開了偵測規則於 GitHub 上。微軟則將之命名為 Solorigate，並為其 Microsoft Defender 防毒軟體加入它的偵測特徵。美國網路安全暨基礎架構安全署 (CISA) 也發出緊急指令，指引政府單位偵測及分析系統是否被植入 Sunburst 的方法。

來源：ZDNet