《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 擊穿美政府網(wǎng)絡(luò)、影響核安全,金鏈熊攻擊令多少美國機(jī)構(gòu)淪陷?

擊穿美政府網(wǎng)絡(luò)、影響核安全,金鏈熊攻擊令多少美國機(jī)構(gòu)淪陷?

2020-12-18
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  根據(jù)多方媒體報(bào)道匯總,目前新確認(rèn)感染SolarWinds木馬化版本的美國聯(lián)邦政府機(jī)構(gòu)包括美國國務(wù)院、國防部、國土安全部、能源部國家核安全局、美國國立衛(wèi)生研究院等。路透社報(bào)道稱微軟內(nèi)部也被感染,旗下產(chǎn)品被用于攻擊客戶,但微軟否認(rèn)了產(chǎn)品遭到濫用。

  美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示,本次針對美國政府機(jī)構(gòu)發(fā)起大規(guī)模攻勢的APT組織曾使用多種初始訪問媒介。

  “CISA目前掌握的證據(jù)顯示,除SolarWinds Orion平臺之外,還存在其它初始訪問媒介。我們?nèi)栽趯@些媒介進(jìn)行調(diào)查,后續(xù)將持續(xù)更新通報(bào)?!?/p>

  “并非所有使用SolarWinds Orion平臺提供后門的組織都成為了攻擊者下一步計(jì)劃的目標(biāo)?!?/p>

  難以從受感染網(wǎng)絡(luò)中徹底清除

  根據(jù)CISA方面介紹,該APT組織長期對受感染組織網(wǎng)絡(luò)實(shí)施入侵,發(fā)起此次黑客攻擊的幕后團(tuán)伙,很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術(shù)、技術(shù)與程序(TTPs),這也是他們當(dāng)前調(diào)查工作中的關(guān)注重點(diǎn)。

  CISA目前正在調(diào)查一些與SolarWinds攻擊同期出現(xiàn)的其它事件,“包括一部分并未使用SolarWinds Orion,或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關(guān)入侵活動的受害者。”

  CISA發(fā)布的AA20-352A警報(bào)補(bǔ)充道,“CISA已經(jīng)確認(rèn)此次威脅已經(jīng)給從聯(lián)邦到地區(qū)自上而下的政府機(jī)構(gòu),乃至一系列關(guān)鍵基礎(chǔ)設(shè)施實(shí)體與私營部門組織構(gòu)成了嚴(yán)重風(fēng)險(xiǎn)?!?/p>

  “該APT團(tuán)伙在本次攻擊行動中展現(xiàn)出極大的耐心、行動保障能力以及和極為復(fù)雜的技術(shù)手段。CISA認(rèn)為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除,對各組織而言將是一項(xiàng)極為復(fù)雜且極具挑戰(zhàn)的任務(wù)?!?/p>

  警報(bào)還提到了其它技術(shù)細(xì)節(jié),包括本輪攻擊中使用的初始感染媒介,戰(zhàn)術(shù)、技術(shù)與程序(TTPs),緩解措施以及危害指標(biāo)等信息。

  美國政府正式確認(rèn)此次入侵事件

  美國聯(lián)邦調(diào)查局(FBI)、國家情報(bào)局局長辦公室(ODNI)與CISA在12月16日聯(lián)合發(fā)布聲明,首次正式確認(rèn)SolarWinds違規(guī)事件造成多個美國聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)遭受入侵。

  它們表示,“事態(tài)仍在不斷發(fā)酵,我們將繼續(xù)努力調(diào)查此次事件的全部影響范圍。而且目前可以肯定,聯(lián)邦政府的內(nèi)部網(wǎng)絡(luò)已遭到入侵?!?/p>

  微軟、FireEye和GoDaddy已經(jīng)合作為SolarWinds后門的控制域名創(chuàng)建了一個“終止開關(guān)”,旨在迫使該惡意軟件從受感染網(wǎng)絡(luò)當(dāng)中進(jìn)行自我刪除。

  此后門被微軟方面命名為Solarigate,F(xiàn)ireEye則將其稱為Sunburst(日爆攻擊)。目前該后門已經(jīng)通過SolarWinds的自動更新機(jī)制被分發(fā)至大約18000家客戶的系統(tǒng)當(dāng)中。

  國內(nèi)安全公司奇安信分析稱,截止12月16日,已確認(rèn)受害的重要機(jī)構(gòu)至少200家,波及北美、歐洲等全球重要科技發(fā)達(dá)地區(qū)的敏感機(jī)構(gòu),其中美國占比超過60%。研究人員認(rèn)為,執(zhí)行該攻擊行動的是一個數(shù)百人的集團(tuán)化組織,并將其命名為“金鏈熊”。

  截至目前,綜合多家媒體報(bào)道顯示,受此事件影響的美國政府機(jī)構(gòu)包括美國國務(wù)院、國防部、財(cái)政部、國土安全部、能源部國家核安全局、商務(wù)部國家電信與信息管理局、美國國立衛(wèi)生研究院等。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。