SolarWinds 攻擊行動可能從去年就開始！受害組織可能多達 40 餘家

駭客利用 SolarWinds 軟體駭入美國政府機關是本月最重大的資安消息之一，但消息來源指出，駭客可能去年就開始進行測試。

駭客可能從 2019 年 10 月就在 SolarWinds 網路上散佈惡意檔案，5 個月後才正式發動攻擊。消息人士指出，新一波證據顯示，駭客是去年 10 月 10 日從 SolarWinds 散佈檔案到客戶端，但這批檔案還不包含後門程式，而今年春天散佈的檔案則有後門，而且直到 12 月才為人發現。

針對去年的行動，研究人員判斷是駭客測試攻擊行動效果，以及會不會被偵測到。駭客很有耐心，之後決定先不要加入後門程式，顯示他們比一般駭客更小心及而有紀律。

研究人員在多家受害系統上發現去年 10 月的檔案，但是卻未發現之後有惡意活動的跡象。但 5 個月後，駭客就在 SolarWinds 的軟體更新伺服器內加入新的惡意檔案，後來下載到聯邦政府或其他產業客戶。這些檔案在受害公司網路上安裝了一隻後門程式，允許駭客直接存取系統。而一旦進入受害網路內，駭客就可以利用 SolarWinds 的軟體探知其網路架構，或變更網路系統組態，也可以藉此入侵其他系統，或下載其他惡意檔案到別系統內。

FireEye、微軟於 12 月初首先公佈相關調查報告。他們判斷攻擊者是國家支持的駭客組織，駭入 SolarWinds 網路後，利用該公司的 Orion 更新機制，下載 Sunburst（微軟稱為 Solargate）程式到客戶端。安全公司沒有指明是哪個國家的駭客，但美國網路及基礎架構安全署 (CISA) 則公告，嫌犯是俄羅斯政府資助的駭客組織，名為 Cozy Bear 或 APT 29。

有多少家客戶在這波攻擊中受害仍不得而知。SolarWinds 判斷可能有 1.8 萬家客戶下載了這隻程式。微軟則判斷有 40 多家被特別鎖定，已經公佈的受害政府機構包括商務部、財政部、能源局下的國家實驗室及美國核安管理委員會等，FireEye 及微軟也都是受害者。

來源：Yahoo News