上周震惊全球网络安全界的FireEye被黑事件只是冰山一角，在攻击FireEye后不到一周时间，俄罗斯黑客组织APT29又入侵了包括美国财政部和商务部在内的多个政府机构。

FireEye在周日晚上透露说，攻击者正在使用Orion（SolarWinds出品的一款广泛使用的网络监控管理软件）更新来感染目标。在控制了Orion的更新机制之后，攻击者就可以用木马化的Orion更新来渗透目标网络，横向移动并窃取数据，FireEye研究人员将这个后门称为Sunburst（日爆）：

SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件，此SolarWinds Orion插件的木马版本包含一个后门（Sunburst），可通过HTTP与第三方服务器进行通信。

经过长达两个星期的初始休眠期后，木马组件会检索并执行称为“作业”的命令，这些命令包括传输文件、执行文件、对系统进行配置文件、重新引导计算机以及禁用系统服务的功能。该恶意软件伪装成Orion改进程序（OIP）协议的网络流量，并将侦察结果存储在合法的插件配置文件中，从而使其能够与合法的SolarWinds活动融合。该后门使用多个混淆的阻止列表来识别作为进程、服务和驱动程序运行的取证和防病毒工具。

Sunburst这个后门有多可怕？微软在博客中指出，利用Orion更新机制在目标网络上立足之后，攻击者正在窃取签名证书，这些证书允许他们冒充目标网络中的任何现有用户和账户，包括高特权账户。

奇安信CERT安全专家rem4x@A-TEAM通过分析发现，被污染的SolarWinds软件带有该公司签名，这表明SolarWinds公司内部很可能已经被黑客完全控制。

1.8万客户中招！影响全球的重大APT软件供应链攻击

据《华盛顿邮报》报道：知情人士透露，作为全球间谍活动的一部分，俄罗斯政府的黑客已经入侵了美国财政部和商务部以及其他美国政府机构。

知情人士说，官员们在刚刚过去这个周末忙于评估入侵的性质和严重程度，并采取有效对策，但初步迹象表明，这一黑客活动是长期的（FireEye认为攻击最早始于今年春季），而且影响重大。

据包括《华盛顿邮报》在内的多家美国媒体报道，此次黑客攻击的领导者是俄罗斯黑客组织APT29（舒适熊），该组织隶属俄罗斯联邦安全局（FSB）和外国情报服务（SVR），奥巴马执政期间，该俄罗斯组织入侵了国务院和白宫电子邮件服务器。

据悉，联邦调查局已经开始着手调查该事件，但周日没有发表评论。

FireEye在周日的博客中说，所有受害公司遭遇的APT29攻击都有一个共同的攻击路径：通过目标公司的SolarWinds网络管理系统的更新服务器。

美国联网网络安全与基础设施安全局（CISA）周日也发出警报，敦促企业阅读SolarWinds和FireEye的安全咨文以及Github页面（文末），以了解最新的检测对策。

SolarWinds则在周日的一份声明中表示：

“根据监测，今年3月和6月发布的Orion产品可能已经被秘密地安装在大量高度复杂的、有针对性的目标中。”

几位知情人士透露，俄罗斯此次间谍活动的规模非常大。一位人士说：“这看起来非常非常糟糕。”专家们的担心并非没有来由，APT29这一波攻击的影响绝不仅限于美国重要政府部门，据网络公司FireEye称，最近这一波攻击的受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信以及石油和天然气公司。

事实上，SolarWinds的客户圈子不是一般的大：

SolarWinds产品在全球超过300,000个组织中使用。根据该公司的网站，SolarWinds的客户包括美国军方的所有五个分支机构、五角大楼、国务院、司法部、美国国家航空航天局、总统执行办公室和国家安全局。

此外，SolarWinds的客户还包括美国十大电信公司。

在向美国证券交易委员会提交的文件中，SolarWinds还表示：

“大约有18,000个客户下载了木马化的SolarWinds Orion版本”

路透社周日首次报道了针对财政部和商务部的黑客攻击，指出：此事是如此严重，以至于国家安全委员会在周六召开紧急会议。

国家安全委员会发言人约翰·尤利奥特（John Ullyot）表示：“美国政府已意识到这些报告，我们正在采取一切必要步骤，以识别和纠正与这种情况有关的任何可能问题。”他没有对负责的国家或集团发表评论。

根据路透社的报道，除了商务部，俄罗斯人还瞄准了处理互联网和电信政策的美国国家电信和信息管理局，此外该黑客组织也与最近发生的窃取冠状病毒疫苗研究的攻击有关。

总结：软件供应链已入雷区

虽然就目前报道来看，本次攻击貌似与国内并无多大干系，但实际上已经拉响警笛！

根据ESG和Crowstrike的2019年供应链安全报告：

16％的公司购买了被做过手脚的IT设备；

90％的公司“没有做好准备”应对供应链网络攻击。

在安全牛“供应链安全五大数字风险”一文中，“企业或者供应商软件漏洞”和“被植入恶意软件的软硬件”占据了两席，软件（包括固件）供应链正在成为黑客实施供应链攻击的重要突破口，而且此类攻击往往能够“突破一点，打击一片”，危害性极大，甚至很多网络安全软件自身都存在供应链风险（例如FireEye刚刚泄露的红队工具）。

根据埃森哲2019年的一项调查，受访的4600家企业中40%曾因供应商遭受网络攻击而发生数据泄露，大量企业报告直接攻击减少的同时，通过供应链发起的“间接攻击”却呈上升趋势。19年2月，赛门铁克发布报告显示，过去一年全球供应链攻击爆增78%，并特别强调2019年全球范围内供应链攻击活动仍在继续扩大。以下，安全牛将过去近二十年的重大软件供应链攻击事件列举如下，以期帮助安全人员更好地理解供应链入侵的模式，开发出最佳实践与工具。

参考资料

SolarWinds Orion软件后门缓解建议（本周二将更新修补版本2020.2.1 HF 2）：

https://www.solarwinds.com/securityadvisory

SUNWINRST后门利用SolarWinds供应链入侵全球受害者：

https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

FireEye SUNBURST检测缓解工具页面：

https://github.com/fireeye/sunburst_countermeasures

美国证券交易委员会提交文件：

http://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm