根據(jù)多方媒體報道匯總,，目前新確認感染SolarWinds木馬化版本的美國聯(lián)邦政府機構包括美國國務院,、國防部、國土安全部,、能源部國家核安全局,、美國國立衛(wèi)生研究院等。路透社報道稱微軟內(nèi)部也被感染,，旗下產(chǎn)品被用于攻擊客戶,，但微軟否認了產(chǎn)品遭到濫用。

　　美國國土安全部網(wǎng)絡安全與基礎設施安全局（CISA）表示,，本次針對美國政府機構發(fā)起大規(guī)模攻勢的APT組織曾使用多種初始訪問媒介。

　　“CISA目前掌握的證據(jù)顯示,，除SolarWinds Orion平臺之外,，還存在其它初始訪問媒介。我們?nèi)栽趯@些媒介進行調(diào)查,，后續(xù)將持續(xù)更新通報,。”

　　“并非所有使用SolarWinds Orion平臺提供后門的組織都成為了攻擊者下一步計劃的目標,?！?/p>

　　難以從受感染網(wǎng)絡中徹底清除

　　根據(jù)CISA方面介紹，該APT組織長期對受感染組織網(wǎng)絡實施入侵,，發(fā)起此次黑客攻擊的幕后團伙,，很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術、技術與程序（TTPs）,，這也是他們當前調(diào)查工作中的關注重點,。

　　CISA目前正在調(diào)查一些與SolarWinds攻擊同期出現(xiàn)的其它事件，“包括一部分并未使用SolarWinds Orion，或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關入侵活動的受害者,?！?/p>

　　CISA發(fā)布的AA20-352A警報補充道，“CISA已經(jīng)確認此次威脅已經(jīng)給從聯(lián)邦到地區(qū)自上而下的政府機構,，乃至一系列關鍵基礎設施實體與私營部門組織構成了嚴重風險,。”

　　“該APT團伙在本次攻擊行動中展現(xiàn)出極大的耐心,、行動保障能力以及和極為復雜的技術手段,。CISA認為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除，對各組織而言將是一項極為復雜且極具挑戰(zhàn)的任務,?！?/p>

　　警報還提到了其它技術細節(jié)，包括本輪攻擊中使用的初始感染媒介,，戰(zhàn)術,、技術與程序（TTPs），緩解措施以及危害指標等信息,。

　　美國政府正式確認此次入侵事件

　　美國聯(lián)邦調(diào)查局（FBI）,、國家情報局局長辦公室（ODNI）與CISA在12月16日聯(lián)合發(fā)布聲明，首次正式確認SolarWinds違規(guī)事件造成多個美國聯(lián)邦政府機構的網(wǎng)絡遭受入侵,。

　　它們表示,，“事態(tài)仍在不斷發(fā)酵，我們將繼續(xù)努力調(diào)查此次事件的全部影響范圍,。而且目前可以肯定,，聯(lián)邦政府的內(nèi)部網(wǎng)絡已遭到入侵?！?/p>

　　微軟,、FireEye和GoDaddy已經(jīng)合作為SolarWinds后門的控制域名創(chuàng)建了一個“終止開關”，旨在迫使該惡意軟件從受感染網(wǎng)絡當中進行自我刪除,。

　　此后門被微軟方面命名為Solarigate,，F(xiàn)ireEye則將其稱為Sunburst（日爆攻擊）。目前該后門已經(jīng)通過SolarWinds的自動更新機制被分發(fā)至大約18000家客戶的系統(tǒng)當中,。

　　國內(nèi)安全公司奇安信分析稱,，截止12月16日，已確認受害的重要機構至少200家,，波及北美,、歐洲等全球重要科技發(fā)達地區(qū)的敏感機構，其中美國占比超過60%,。研究人員認為,，執(zhí)行該攻擊行動的是一個數(shù)百人的集團化組織,，并將其命名為“金鏈熊”。

　　截至目前,，綜合多家媒體報道顯示,，受此事件影響的美國政府機構包括美國國務院、國防部,、財政部,、國土安全部、能源部國家核安全局,、商務部國家電信與信息管理局,、美國國立衛(wèi)生研究院等。