上周,有媒体报道黑客利用 SolarWinds Orion 漏洞攻击美多个机构,或影响 18,000 个用户。此后,SolarWinds 遭黑客入侵事件持续发酵。《华尔街日报》现在报道,一些大型科技公司也受到了感染。
《华尔街日报》的最新消息指出,分析发现,至少有 24 个组织安装了带有恶意代码的 SolarWinds Orion 软件。其中就包括了英特尔(Intel)、英伟达(Nvidia)、思科(Cisco)、贝尔金(Belkin Corporation)以及 VMware 等在内的私企网络。
SolarWinds Orion 是 SolarWinds 网络和计算机管理工具套件的一部分。其功能包括监视、告知用户关键计算机何时停机,还有自动重启服务的功能。该软件可能会被安装在企业最关键的系统上,会在系统故障时阻止工作进程。
对此,思科方面回应称,确实在一些员工和实验室系统中发现了恶意软件。该公司正在调查此事,但尚未发现此事对其产品造成影响。另一方面,英特尔公司也确实下载并运行了这款软件。但该公司发言人表示,公司正在调查这一事件,目前尚未发现黑客利用这条路径进入其网络的证据。
VMware 发言人则表示,有在系统中发现了“有限的软件实例”,但“内部调查没有发现任何利用的迹象”。英伟达发言人也表明,目前没有证据表明英伟达受到了不利影响,但调查仍在进行中。
事实上,对于众多受害企业来说,最大的担忧在于黑客可能会将其用作获取客户信息的渠道。微软之前发布的研究报告中就指出,其在攻击中受到冲击的 40 多家客户中,有近一半是信息技术服务公司,而这些公司往往能广泛地访问客户的网络。
微软本身也是 SolarWinds 的客户,该公司曾表示,他们也在自己的网络上检测到了相关的恶意软件,但"没有迹象表明我们的系统被用来攻击他人",目前,微软方面的调查仍在继续。
针对此次入侵事件,SolarWinds 透露,他们追踪到的黑客活动至少可以追溯到 2019 年 10 月。目前,该公司正在与安全公司、执法和情报机构合作调查这次攻击。
SolarWinds Orion 漏洞
分析发现,最早在今年 3 月,有人设法在构建过程中修改了 SolarWinds Orion 软件,包括植入一个特洛伊木马程序,可远程控制安装了 SolarWinds Orion 的计算机。当用户安装最新版软件时,该木马开始在受害者的计算机上运行,这被称为是软件“供应链攻击”,受害者直接或间接地从 SolarWinds 接受了 Orion 软件的污染副本。
该木马进行后门攻击。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 软件框架的 SolarWinds 数字签名组件,包含一个后门,该后门通过 HTTP 与第三方服务器进行通信。
植入木马之后,会有长达两个星期的初始休眠期,然后它会检索并执行称为“Jobs”的命令,这些命令包括传输文件,执行文件,对系统进行文件配置,重新引导计算机以及禁用系统服务的功能。恶意软件伪装成 Orion 改进程序(OIP)协议的网络流量,并将侦察结果存储在合规的插件配置文件中,使其能够与常规 SolarWinds 活动混淆,不易识别,进而使攻击者可以远程操控计算机。
原文链接:https://new.qq.com/omn/20201222/20201222A08JI600.html
扫一扫
512
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
