根據(jù)多方媒體報道匯總，目前新確認感染SolarWinds木馬化版本的美國聯(lián)邦政府機構包括美國國務院、國防部、國土安全部、能源部國家核安全局、美國國立衛(wèi)生研究院等。路透社報道稱微軟內部也被感染，旗下產品被用于攻擊客戶，但微軟否認了產品遭到濫用。

　　美國國土安全部網絡安全與基礎設施安全局（CISA）表示，本次針對美國政府機構發(fā)起大規(guī)模攻勢的APT組織曾使用多種初始訪問媒介。

　　“CISA目前掌握的證據(jù)顯示，除SolarWinds Orion平臺之外，還存在其它初始訪問媒介。我們仍在對這些媒介進行調查，后續(xù)將持續(xù)更新通報?！?/p>

　　“并非所有使用SolarWinds Orion平臺提供后門的組織都成為了攻擊者下一步計劃的目標?！?/p>

　　難以從受感染網絡中徹底清除

　　根據(jù)CISA方面介紹，該APT組織長期對受感染組織網絡實施入侵，發(fā)起此次黑客攻擊的幕后團伙，很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術、技術與程序（TTPs），這也是他們當前調查工作中的關注重點。

　　CISA目前正在調查一些與SolarWinds攻擊同期出現(xiàn)的其它事件，“包括一部分并未使用SolarWinds Orion，或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關入侵活動的受害者?！?/p>

　　CISA發(fā)布的AA20-352A警報補充道，“CISA已經確認此次威脅已經給從聯(lián)邦到地區(qū)自上而下的政府機構，乃至一系列關鍵基礎設施實體與私營部門組織構成了嚴重風險?！?/p>

　　“該APT團伙在本次攻擊行動中展現(xiàn)出極大的耐心、行動保障能力以及和極為復雜的技術手段。CISA認為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除，對各組織而言將是一項極為復雜且極具挑戰(zhàn)的任務?！?/p>

　　警報還提到了其它技術細節(jié)，包括本輪攻擊中使用的初始感染媒介，戰(zhàn)術、技術與程序（TTPs），緩解措施以及危害指標等信息。

　　美國政府正式確認此次入侵事件

　　美國聯(lián)邦調查局（FBI）、國家情報局局長辦公室（ODNI）與CISA在12月16日聯(lián)合發(fā)布聲明，首次正式確認SolarWinds違規(guī)事件造成多個美國聯(lián)邦政府機構的網絡遭受入侵。

　　它們表示，“事態(tài)仍在不斷發(fā)酵，我們將繼續(xù)努力調查此次事件的全部影響范圍。而且目前可以肯定，聯(lián)邦政府的內部網絡已遭到入侵?！?/p>

　　微軟、FireEye和GoDaddy已經合作為SolarWinds后門的控制域名創(chuàng)建了一個“終止開關”，旨在迫使該惡意軟件從受感染網絡當中進行自我刪除。

　　此后門被微軟方面命名為Solarigate，F(xiàn)ireEye則將其稱為Sunburst（日爆攻擊）。目前該后門已經通過SolarWinds的自動更新機制被分發(fā)至大約18000家客戶的系統(tǒng)當中。

　　國內安全公司奇安信分析稱，截止12月16日，已確認受害的重要機構至少200家，波及北美、歐洲等全球重要科技發(fā)達地區(qū)的敏感機構，其中美國占比超過60%。研究人員認為，執(zhí)行該攻擊行動的是一個數(shù)百人的集團化組織，并將其命名為“金鏈熊”。

　　截至目前，綜合多家媒體報道顯示，受此事件影響的美國政府機構包括美國國務院、國防部、財政部、國土安全部、能源部國家核安全局、商務部國家電信與信息管理局、美國國立衛(wèi)生研究院等。