SolarWinds攻擊行動可能從去年就開始!受害組織可能多達40餘家

駭客利用SolarWinds 軟體駭入美國政府機關是本月最重大的資安消息之一,但消息來源指出,駭客可能去年就開始進行測試。

駭客利用SolarWinds 軟體駭入美國政府機關是本月最重大的資安消息之一,但消息來源指出,駭客可能去年就開始進行測試。

駭客可能從2019年10月就在SolarWinds網路上散佈惡意檔案,5個月後才正式發動攻擊。消息人士指出,新一波證據顯示,駭客是去年10月10日從SolarWinds散佈檔案到客戶端,但這批檔案還不包含後門程式,而今年春天散佈的檔案則有後門,而且直到12月才為人發現。

針對去年的行動,研究人員判斷是駭客測試攻擊行動效果,以及會不會被偵測到。駭客很有耐心,之後決定先不要加入後門程式,顯示他們比一般駭客更小心及而有紀律。

研究人員在多家受害系統上發現去年10月的檔案,但是卻未發現之後有惡意活動的跡象。但5個月後,駭客就在SolarWinds的軟體更新伺服器內加入新的惡意檔案,後來下載到聯邦政府或其他產業客戶。這些檔案在受害公司網路上安裝了一隻後門程式,允許駭客直接存取系統。而一旦進入受害網路內,駭客就可以利用SolarWinds的軟體探知其網路架構,或變更網路系統組態,也可以藉此入侵其他系統,或下載其他惡意檔案到別系統內。

FireEye、微軟於12月初首先公佈相關調查報告。他們判斷攻擊者是國家支持的駭客組織,駭入SolarWinds網路後,利用該公司的Orion更新機制,下載Sunburst(微軟稱為Solargate)程式到客戶端。安全公司沒有指明是哪個國家的駭客,但美國網路及基礎架構安全署(CISA)則公告,嫌犯是俄羅斯政府資助的駭客組織,名為Cozy Bear或APT 29。

有多少家客戶在這波攻擊中受害仍不得而知。SolarWinds判斷可能有1.8萬家客戶下載了這隻程式。微軟則判斷有40多家被特別鎖定,已經公佈的受害政府機構包括商務部、財政部、能源局下的國家實驗室及美國核安管理委員會等,FireEye微軟也都是受害者。

來源:Yahoo News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416