科技公司SolarWinds是黑客使用的關鍵“踏腳石”,該公司表示,其多達1.8萬名客戶下載瞭一個被入侵的軟件更新,使黑客能夠在近9個月的時間裡不被察覺地監視企業和機構。

美國周日發出緊急警告,命令政府用戶斷開SolarWinds軟件的連接,稱該軟件已被“惡意行為者”入侵。

這一警告是在路透社報道疑似俄羅斯黑客利用劫持的SolarWinds軟件更新侵入包括財政部和商務部在內的多個美國政府機構之後發出的。莫斯科否認與攻擊有任何關系。其中一位熟悉黑客活動的人士表示,國土安全部網絡安全部門用來保護基礎設施的關鍵網絡,包括最近的選舉,都沒有被攻破。

國土安全部表示知道這些報道,但沒有直接證實這些報道,也沒有說受影響有多嚴重。國土安全部是一個龐大的官僚機構,其中負責保障COVID-19疫苗的分發。在國土安全部(DHS)下屬網絡安全和基礎設施安全局(CISA)局長克裡斯托弗·克雷佈斯(Christopher Krebs)稱2020年總統選舉是美國歷史上最安全的選舉後,美國總統特朗普解雇瞭負責人克雷佈斯。他的副手和選舉負責人也已經離開。

SolarWinds在一份監管披露中表示,它認為這次攻擊是 "外部民族國傢 "所為,他們在今年3月至6月間發佈的Orion網絡管理軟件更新中插入瞭惡意代碼。

`5AO{G{{VH13EN1)Q%%7U_J.png

"SolarWinds目前認為,可能安裝瞭包含此漏洞的Orion產品的客戶實際數量不到1.8萬,"它說。

該公司沒有回應有關受影響客戶的確切數量或這些組織的任何違規程度的評論請求。該公司表示,它並不知道其其他產品存在漏洞,目前正在美國執法部門和外部網絡安全專傢的幫助下進行調查。

SolarWinds在全球擁有30萬客戶,其中包括美國財富500強企業的大部分,以及美國和英國政府的一些最敏感的部分–如白宮、國防部門和兩國的信號情報機構。目前,世界各地的調查人員都在爭分奪秒地尋找黑客。英國政府發言人表示,英國目前還不知道這次黑客攻擊有什麼影響,但仍在調查。

三位熟悉黑客調查的人士告訴路透社,任何運行Orion軟件受損版本的機構都會被攻擊者在其電腦系統中安裝瞭“後門”。“在那之後,隻是攻擊者是否決定進一步利用這一權限的問題,”其中一位消息人士說。

據兩位熟悉周一上午啟動的企業網絡安全調查浪潮的人士稱,早期跡象表明,黑客在選擇入侵對象時是有區別的。"我們看到的是遠遠少於所有的可能性,"一位人士說。"他們正在像使用手術刀一樣使用這個。"

與此次事件有關的知名網絡安全公司FireEye在此間的一篇博客中表示,其他目標包括 "北美、歐洲、亞洲和中東的政府、咨詢、技術、電信和采掘實體"。

"如果是網絡間諜活動,那麼這是我們在相當長一段時間內看到的最有效的網絡間諜活動之一。"FireEye的情報分析總監John Hultquist說。

專傢表示,由於攻擊者可以利用SolarWinds進入網絡內部,然後創建一個新的後門,因此僅僅斷開網絡管理程序還不足以將黑客引導出去。為此,成千上萬的客戶都在尋找黑客存在的跡象,並試圖獵取並禁用這些額外的工具。

Source: m.cnbeta.com