駭完FireEye換駭美國政府！SolarWinds Orion軟體更新慘淪破口

美國政府包括財政部、商務部傳出網路遭駭，而兇手正是上周稍早駭入FireEye存取紅隊測試工具的同一幫人。

路透社、華盛頓郵報及華爾街日報周末報導，美國政府已經證實此事，現在正在評估受害程度及善後。聯邦調查局(FBI)及國土安全部網路安全部門已經展開調查。

上周傳出被駭的單位包括財政部及商務部下的國家電信與資訊管理局。華盛頓郵報引述消息人士報導還有其他政府單位也被駭入。路透社報導，由於事態太嚴重，致使白宮於周六罕見召開美國國安會議。

此外，消息人士指出，這起攻擊可能和與俄羅斯外國情報單位(SVR)有關的駭客組織APT 29有關。

FireEye及微軟周一做出初步分析，駭客極可能是來自外國政府資助的團體，他們駭入軟體供應商SolarWindws後，將惡意軟體注入在其Orion軟體的更新中，以感染多個美國政府單位及企業客戶網路，包括FireEye。但FireEye僅將犯案者命名為UNC2452，並未指明是哪一個國的駭客組織。

SolarWinds的Orion用於監控管理大型網路上所有IT資源，包括伺服器、工作站、行動裝置和物聯網裝置。SolarWinds周日也坦承Orion遭到供應鏈攻擊，今年3月到6月間釋出的2019.4 版到2020.2.1版遭植入惡意程式。

FireEye上周被駭，攻擊者取得了該公司模仿駭客活動以測試客戶網路有無漏洞的測試工具，也存取了部份政府客戶資訊。

FireEye將該惡意程式命名為Sunburst，也公開了偵測規則於GitHub上。微軟則將之命名為Solorigate，並為其Microsoft Defender防毒軟體加入它的偵測特徵。美國網路安全暨基礎架構安全署(CISA)也發出緊急指令，指引政府單位偵測及分析系統是否被植入Sunburst的方法。

來源：ZDNet