12 月 13 日,美国财政部和国家商务部等组织遭受攻击,很有可能会直接影响到 18,000 个用户。FireEye 和 Microsoft 的剖析强调,这也是涉及到 SolarWinds Orion 软件的供应链管理攻击,英国网络信息安全和基础架构安全局(CISA)公布了应急命令,标示非军事政府部门系统软件停止运行该软件。
以后,包含英国媒体美联社、美国媒体洛杉矶时报等以内的好几家新闻媒体报道,这可能是来源于俄罗斯情报机构 SVR 的攻击,归属于情报活动。俄罗斯驻美国华盛顿使馆回应:相关俄罗斯黑客攻击的报导凭空捏造,在信息内容行业开展攻击的情形与俄罗斯的对华政策和国家主权相分歧。
什么叫 SolarWinds Orion
SolarWinds Orion 是 SolarWinds 互联网和计算机可视化工具模块的一部分。其作用包含监控、告之用户重要计算机什么时候关机,也有自动关机服务项目的作用。该软件很有可能会被组装在公司最重要的系統上,会在系统异常时阻拦工作中过程。
SolarWinds Orion 系统漏洞
剖析发觉,最开始在2022年 3 月,有些人想方设法在创建流程中改动了 SolarWinds Orion 软件,包含嵌入一个特洛伊木马程序流程,可远程操作安裝了 SolarWinds Orion 的计算机。当用户安装最新版本软件时,该木马病毒逐渐在受害人的计算机上运作,这被誉为是软件“供应链管理攻击”,受害人立即或间接的从 SolarWinds 接纳了 Orion 软件的环境污染团本。
该木马病毒开展侧门攻击。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 软件架构的 SolarWinds 数字签名部件,包括一个侧门,该后门根据 HTTP 与第三方服务器虚拟机通讯。
嵌入木马病毒以后,会出现长达2个礼拜的原始休眠状态,随后它会查找并实行称之为“Jobs”的指令,这种指令包含传输文件,实行文档,系统对开展文档配备,再次正确引导计算机及其禁止使用服务程序的作用。故意软件装扮成 Orion 改善程序流程(OIP)协议书的数据流量,并将侦查結果储存在合规管理的软件环境变量中,使其能与基本 SolarWinds 主题活动搞混,不容易鉴别,从而使攻击者可以远程操控计算机。
微软公司对攻击者个人行为的分析表明,即使删除了 SolarWinds 侧门,攻击者也很有可能会再次有着全部总体目标互联网的访问限制。如今,遭受攻击的组织已经构建互联网。
文中转自OSCHINA
本文文章标题:网络黑客运用 SolarWinds Orion 系统漏洞攻击美好几个组织
文中详细地址:https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department