SolarWinds公布供应链攻击事故流程,并披露新发现的恶意程序

针对在12月爆发的供应链攻击,SolarWinds找上安全企业CrowdStrike,联手调查事件发生的来龙去脉,并在1月11日公布黑客攻击的路径。SolarWinds指出该攻击的源头,黑客利用了名为Sunspot的恶意程序,而且,他们自2019年9月便开始布局。

在攻击事件被披露后,SolarWinds聘请CrowdStrike、DLA Piper,以及KPMG,作为调查此次安全事件的顾问。结果发现,黑客从2019年9月就开始布局,当时SolarWinds曾在内部系统发现可疑行动;同年10月的Orion版本就遭到篡改,似乎是黑客用来测试其嵌入恶意程序代码的能力;到了2020年2月的版本,便被植入了Sunburst木马程序。

在分析SolarWinds软件构建服务器之后,CrowdStrike指出黑客为发动此次攻击,精心打造恶意程序Sunspot,并将它植入Orion更新组件,而且,此恶意程序内置多项机制,以确保Orion必须能够正常运行,同时让该恶意程序本身,不被任何安全侦测系统发现,或是让SolarWinds开发者发现Sunspot的存在。

而Sunspot的主要功能为侦测Orion产品的编译程序,再伺机把其中的一个文件,置换成含有Sunburst木马程序的版本。

该公司认为,Sunburst攻击行动可能是史上最复杂、也最精密的网络攻击,黑客同时绕过了由SolarWinds、私人企业,以及政府机构所创建的多种威胁侦测机制,在Sunburst进入了SolarWinds用户的IT网络之后,还能躲过这些受害者环境中的防火墙与安全控制。

同时,该公司所使用的软件开发与构建程序,对整个软件产业来说很普遍,相信分享该公司被黑的程序,将能协助软件产业构建更安全的环境。此外,虽然安全专家普遍认为,相关攻击来自外国政府支持的黑客,但SolarWinds迄今仍无法确认攻击者的身份与来源。

值得留意的是,此次对于攻击事件的过程,SolarWinds整理出相当详细的时间表,他们表明黑客先是于2019年下旬进行测试,然后到了2020年2月才真正埋入Sunburst后门程序,并于6月初,就移除程序代码里的恶意软件。

这次的信息披露中,SolarWinds提供了完整的攻击时间表,大致上可将本次供应链攻击区分成3个阶段,分别是自2019年9月至11月黑客的准备阶段、2020年2月至6月黑客发动攻击,以及12月事件被发现之后SolarWinds的通报工作等。

该公司指出,攻击者大约在2019年9月4日入侵,一个星期后开始尝试篡改Orion,注入测试用的程序代码,而这样的工作进行到了同年11月4日停止。

沉寂了3个多月、到了2020年的2月20日,黑客开始编译Sunburst并开始部署到Orion,而这个被植入后门的Orion修补程序Hotfix 5,于3月26日陆续交付到用户端。间隔2个月之后,黑客于6月4日在编译Orion的环境,清除他们加到程序代码里的恶意程序。

到了12月12日,SolarWinds收到通报,得知自家的Orion软件遭到植入木马。该公司陆续通知经销商与用户,并提供修补程序。文⊙陈晓莉、周峻佑