《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 擊穿美政府網(wǎng)絡(luò),、影響核安全,,金鏈熊攻擊令多少美國(guó)機(jī)構(gòu)淪陷,?

擊穿美政府網(wǎng)絡(luò),、影響核安全,金鏈熊攻擊令多少美國(guó)機(jī)構(gòu)淪陷,?

2020-12-18
來(lái)源: 互聯(lián)網(wǎng)安全內(nèi)參

  根據(jù)多方媒體報(bào)道匯總,,目前新確認(rèn)感染SolarWinds木馬化版本的美國(guó)聯(lián)邦政府機(jī)構(gòu)包括美國(guó)國(guó)務(wù)院,、國(guó)防部,、國(guó)土安全部,、能源部國(guó)家核安全局、美國(guó)國(guó)立衛(wèi)生研究院等,。路透社報(bào)道稱(chēng)微軟內(nèi)部也被感染,,旗下產(chǎn)品被用于攻擊客戶(hù),,但微軟否認(rèn)了產(chǎn)品遭到濫用。

  美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示,,本次針對(duì)美國(guó)政府機(jī)構(gòu)發(fā)起大規(guī)模攻勢(shì)的APT組織曾使用多種初始訪(fǎng)問(wèn)媒介,。

  “CISA目前掌握的證據(jù)顯示,除SolarWinds Orion平臺(tái)之外,,還存在其它初始訪(fǎng)問(wèn)媒介,。我們?nèi)栽趯?duì)這些媒介進(jìn)行調(diào)查,后續(xù)將持續(xù)更新通報(bào),。”

  “并非所有使用SolarWinds Orion平臺(tái)提供后門(mén)的組織都成為了攻擊者下一步計(jì)劃的目標(biāo),?!?/p>

  難以從受感染網(wǎng)絡(luò)中徹底清除

  根據(jù)CISA方面介紹,該APT組織長(zhǎng)期對(duì)受感染組織網(wǎng)絡(luò)實(shí)施入侵,,發(fā)起此次黑客攻擊的幕后團(tuán)伙,,很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術(shù)、技術(shù)與程序(TTPs),,這也是他們當(dāng)前調(diào)查工作中的關(guān)注重點(diǎn),。

  CISA目前正在調(diào)查一些與SolarWinds攻擊同期出現(xiàn)的其它事件,“包括一部分并未使用SolarWinds Orion,,或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關(guān)入侵活動(dòng)的受害者,。”

  CISA發(fā)布的AA20-352A警報(bào)補(bǔ)充道,,“CISA已經(jīng)確認(rèn)此次威脅已經(jīng)給從聯(lián)邦到地區(qū)自上而下的政府機(jī)構(gòu),,乃至一系列關(guān)鍵基礎(chǔ)設(shè)施實(shí)體與私營(yíng)部門(mén)組織構(gòu)成了嚴(yán)重風(fēng)險(xiǎn)?!?/p>

  “該APT團(tuán)伙在本次攻擊行動(dòng)中展現(xiàn)出極大的耐心,、行動(dòng)保障能力以及和極為復(fù)雜的技術(shù)手段。CISA認(rèn)為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除,,對(duì)各組織而言將是一項(xiàng)極為復(fù)雜且極具挑戰(zhàn)的任務(wù),。”

  警報(bào)還提到了其它技術(shù)細(xì)節(jié),,包括本輪攻擊中使用的初始感染媒介,,戰(zhàn)術(shù)、技術(shù)與程序(TTPs),,緩解措施以及危害指標(biāo)等信息,。

  美國(guó)政府正式確認(rèn)此次入侵事件

  美國(guó)聯(lián)邦調(diào)查局(FBI)、國(guó)家情報(bào)局局長(zhǎng)辦公室(ODNI)與CISA在12月16日聯(lián)合發(fā)布聲明,,首次正式確認(rèn)SolarWinds違規(guī)事件造成多個(gè)美國(guó)聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)遭受入侵,。

  它們表示,,“事態(tài)仍在不斷發(fā)酵,我們將繼續(xù)努力調(diào)查此次事件的全部影響范圍,。而且目前可以肯定,,聯(lián)邦政府的內(nèi)部網(wǎng)絡(luò)已遭到入侵?!?/p>

  微軟,、FireEye和GoDaddy已經(jīng)合作為SolarWinds后門(mén)的控制域名創(chuàng)建了一個(gè)“終止開(kāi)關(guān)”,旨在迫使該惡意軟件從受感染網(wǎng)絡(luò)當(dāng)中進(jìn)行自我刪除,。

  此后門(mén)被微軟方面命名為Solarigate,,F(xiàn)ireEye則將其稱(chēng)為Sunburst(日爆攻擊)。目前該后門(mén)已經(jīng)通過(guò)SolarWinds的自動(dòng)更新機(jī)制被分發(fā)至大約18000家客戶(hù)的系統(tǒng)當(dāng)中,。

  國(guó)內(nèi)安全公司奇安信分析稱(chēng),,截止12月16日,已確認(rèn)受害的重要機(jī)構(gòu)至少200家,,波及北美,、歐洲等全球重要科技發(fā)達(dá)地區(qū)的敏感機(jī)構(gòu),其中美國(guó)占比超過(guò)60%,。研究人員認(rèn)為,,執(zhí)行該攻擊行動(dòng)的是一個(gè)數(shù)百人的集團(tuán)化組織,并將其命名為“金鏈熊”,。

  截至目前,,綜合多家媒體報(bào)道顯示,受此事件影響的美國(guó)政府機(jī)構(gòu)包括美國(guó)國(guó)務(wù)院,、國(guó)防部,、財(cái)政部、國(guó)土安全部,、能源部國(guó)家核安全局,、商務(wù)部國(guó)家電信與信息管理局、美國(guó)國(guó)立衛(wèi)生研究院等,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。