12 月 13 日,美国财政部和商务部等机构遭到攻击,可能会影响到 18,000 个用户。FireEye 和 Microsoft 的分析指出,这是涉及 SolarWinds Orion 软件的供应链攻击,美国网络安全和基础架构安全局(CISA)发布了紧急指令,指示非军事政府系统停止运行该软件。
之后,包括英国媒体路透社、美国媒体华盛顿邮报等在内的多家媒体报道,这可能是来自俄罗斯情报部门 SVR 的攻击,属于间谍活动。俄罗斯驻华盛顿大使馆澄清:有关俄罗斯黑客入侵的报道毫无根据,在信息领域进行攻击的行为与俄罗斯的外交政策和国家利益相矛盾。
什么是 SolarWinds Orion
SolarWinds Orion 是 SolarWinds 网络和计算机管理工具套件的一部分。其功能包括监视、告知用户关键计算机何时停机,还有自动重启服务的功能。该软件可能会被安装在企业最关键的系统上,会在系统故障时阻止工作进程。
SolarWinds Orion 漏洞
分析发现,最早在今年 3 月,有人设法在构建过程中修改了 SolarWinds Orion 软件,包括植入一个特洛伊木马程序,可远程控制安装了 SolarWinds Orion 的计算机。当用户安装最新版软件时,该木马开始在受害者的计算机上运行,这被称为是软件“供应链攻击”,受害者直接或间接地从 SolarWinds 接受了 Orion 软件的污染副本。
该木马进行后门攻击。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 软件框架的 SolarWinds 数字签名组件,包含一个后门,该后门通过 HTTP 与第三方服务器进行通信。
植入木马之后,会有长达两个星期的初始休眠期,然后它会检索并执行称为“Jobs”的命令,这些命令包括传输文件,执行文件,对系统进行文件配置,重新引导计算机以及禁用系统服务的功能。恶意软件伪装成 Orion 改进程序(OIP)协议的网络流量,并将侦察结果存储在合规的插件配置文件中,使其能够与常规 SolarWinds 活动混淆,不易识别,进而使攻击者可以远程操控计算机。
微软对攻击者行为的分析表明,即使删除了 SolarWinds 后门,攻击者也可能会继续拥有整个目标网络的访问权限。现在,受到攻击的机构正在重构网络。
本文转自OSCHINA
本文标题:黑客利用 SolarWinds Orion 漏洞攻击美多个机构
本文地址:https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department
最近,一份广东省深圳市中级人民法院的(2018)粤03民特719号民事裁定书(下称裁定...
自2020年11月以来,由于全球COVID-19病例持续增加,针对医疗保健组织的网络攻击...
1.年輕時我們喜歡夢想,希望,未來,財富,快樂這些詞以為這就是生活;成熟後,...
区块链和大数据都是新一代信息技术,它们的概念不同,应用领域也有着一定的区别...
自2019年起,区块链被定义为核心技术自主创新重要突破口,2020年发改委将区块链...
1月21日,最高人民法院发布《关于人民法院在线办理案件若干问题的规定(征求意见...
2020年,平均每天监测到的最新恶意文件数量达到360,000,与去年相比,增长了5.2%...
区块链(blockchain)在虚拟货币(virtual coin)领域应用趋于平稳,现在日本IT相关...
在比特币白皮书中,对于交易过程的解释提及到了因不够信任而产生的双重支付问题...
风险和交易是齐头并进的,虽然风险可能是当今市场的一部分,但更相关的问题是值...