美国机构和火眼FireEye被太阳风SolarWinds软件后门攻击

美国机构和火眼被太阳风软件后门攻击

作为一场大规模网络间谍活动的一部分,被指为俄罗斯工作的国家支持的行为者已经将美国财政部、美国商务部下属的国家电信和信息管理局(NTIA)以及其他政府机构作为监控内部电子邮件流量的目标。

《华盛顿邮报》援引未透露姓名的消息来源称,最新的攻击是“舒适熊”(Cozy Bear)组织发起的。几天前,该黑客组织策划了对美国网络安全公司FireEye的攻击,导致其红队渗透测试工具被盗。

动机和完整的情报是什么妥协的范围仍不明确,但有迹象显示对手篡改软件更新发布的德克萨斯州的IT基础设施提供者SolarWinds今年早些时候渗透到政府机构的系统以及FireEye和挂载使用高科技供应链的攻击。

美国网络安全和基础设施安全局(CISA)代理局长布兰登·威尔士(Brandon Wales)表示:“太阳风公司的猎户座网络管理产品的泄露给联邦网络安全带来了不可接受的风险。”CISA已经发布了一项紧急指令,敦促联邦民用机构检查其网络是否有可疑活动,并立即切断或切断太阳风猎户座产品的电源。

太阳风的网络和安全产品被全球超过30万家客户使用,包括财富500强公司、政府机构和教育机构。

它还为美国几家主要的电信公司、美国军方的所有五个分支机构和其他著名的政府机构服务,如五角大楼、国务院、NASA、国家安全局(NSA)、邮政服务、NOAA、司法部和美国总统办公室。

一场散布SUNBURST后门的规避运动

火眼公司正在追踪代号为“UNC2452”的正在进行的入侵活动,该公司表示,此次供应链攻击利用了被木马化的太阳风猎户户(SolarWinds Orion)商业软件更新,以分发一个名为SUNBURST的后门。

“这项活动可能早在2020年春季就开始了,目前正在进行中,”FireEye在周日的一份分析报告中说。他说:“在这次供应链泄漏之后,泄漏后的活动包括横向移动和数据盗窃。这次行动是一名技能高超的演员的工作,行动的执行具有重要的安全保障。”

美国机构和火眼被太阳风软件后门攻击

这个流氓版本的太阳风猎户座插件,除了伪装其网络流量为猎户座改进计划(OIP)协议,据说通过HTTP与远程服务器通信,以检索和执行恶意命令(“工作”),覆盖间谍软件的范围,包括那些传输文件,执行文件,分析和重新启动目标系统,并禁用系统服务。

猎户座改进计划(OIP)主要用于收集SolarWinds用户的性能和使用统计数据,用于产品改进。

更重要的是,为了逃避检测,活动所用的IP地址被位于受害者同一国家的VPN服务器所混淆。

微软还在另一份分析报告中证实了这一发现,称这次攻击(它称之为“Solorigate”)利用了与SolarWinds软件相关的信任,插入恶意代码,作为更大规模活动的一部分。

微软表示:“恶意软件类别被包括在许多其他合法类别中,然后用合法证书签署。”由此产生的二进制包括一个后门,然后被谨慎地分发到目标组织。”

太阳风发布安全咨询

在SolarWinds发布的安全咨询中,该公司表示,攻击目标是2020年3月至6月发布的SolarWinds Orion平台软件的2019.4至2020.2.1版本,同时建议用户立即升级到Orion平台发布的2020.2.1 HF 1版本。

该公司目前正在与FireEye和美国联邦调查局合作调查此次攻击,预计将于12月15日发布额外的修复程序2020.2.1 HF 2,以取代受影响的组件,并提供一些额外的安全增强。

FireEye上周披露,该公司遭到了外国政府一次高度复杂的攻击,导致用于测试客户防御的软件工具受到了损害。

总共有60个Red Team被盗工具,其中包括公开可用工具(43%)、公开可用工具的修改版本(17%)和内部开发的工具(40%)。

此外,该盗窃还包括利用脉冲安全SSL VPN (CVE-2019-11510)、微软活动目录(CVE-2020-1472)、Zoho ManageEngine桌面中央(CVE-2020-10189)和Windows远程桌面服务(CVE-2019-0708)中的关键漏洞的攻击负载。

这次行动最终似乎是一次全球范围的供应链攻击,因为FireEye表示,它在全球多个实体中发现了这种活动,包括北美、欧洲、亚洲和中东的政府、咨询、科技、电信和采掘公司。

为了对抗SUNBURST而设计的妥协(IoCs)指示器和其他相关攻击签名可以在这里访问。

美国机构和火眼FireEye被太阳风SolarWinds软件后门攻击

极牛网精选文章《美国机构和火眼FireEye被太阳风SolarWinds软件后门攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://jikenb.com/14748.html

发表评论

登录后才能评论