CISA:很多受害者和 SolarWinds 之间并不直接相关
编译:奇安信代码卫士团队
美国网络安全和基础设施安全局 (CISA)表示,很多受IT管理公司 SolarWinds 攻击的受害者和 SolarWinds 公司之间并不直接关联。
CISA 的一名发言人表示,“虽然 SolarWinds 供应链攻击首先突出了这类网络事件的重要性,但我们已找到使用多种其它初始感染向量的证据。我们发现和这起事件相关联的大量私营企业和政府受害者和 SolarWinds 并不直接相关。这是目前的情况,我们仍然在和政府机构以及私营企业合作伙伴一起了解这起事件,发现并及时分享缓解攻击的信息。“
CISA 的代理局长 Brandon Wales 上周通过《华尔街日报》指出,大约30%的受害者和 SolarWinds 公司之间并不直接关联。他还指出,某些已受陷受害者早在 SolarWinds 开始向客户交付恶意产品更新之前就遭到攻击。
SolarWinds 攻击事件发生后,CISA 警告称供应链攻陷(美国等国认为和俄罗斯存在关联)并非攻击者利用的唯一初始攻击向量。
威胁情报和事件响应公司 Volexity 报道称,该黑客组织(被称为 Dark Halo)多次入侵美国的一家智库,不过仅有其中的一次攻击利用了受陷的 SolarWinds 供应链。
攻击者还通过微软服务攻击组织机构,而华尔街日报援引熟悉 SolarWinds 调查活动的一名消息来源人士的话指出,SolarWinds 公司一直在尝试判断自己的网络最初是否经由微软服务而受陷。虽然微软在2020年12月证实称在系统上找到了某些恶意的 SolarWinds 文件,但表示并未发现自己的系统被用于攻击其它机构。
Wales 指出,微软是唯一一家服务遭黑客滥用的云提供商,且除了针对 SolarWinds 之外并未发现其它供应链攻击。微软指出其云服务遭攻击,此外 Malwarebytes、Mimecast、CrowdStrike、Palo Alto Networks、火眼、Qualys、Fidelis Cybersecurity 公司也遭攻击或受影响。Malwarebytes 公司表示并未使用任何 SolarWinds 产品,而 Qualys 和 Fidelis 公司表示在分析该软件过程中收到了攻击者推出的恶意软件更新。CISA 并未进一步说明那些“和 SolarWinds 之间不存在直接关联“的受害者是否包括接收到恶意更新但实际上并未使用该软件的组织机构。
SolarWinds 公司指出,这些恶意更新针对的是其 Orion 监控产品,被发送给约1.8万名客户,但截至目前的调查结果显示,仅有数百家政府和私营组织机构是攻击者感兴趣的目标并再次收到 payload。
FireEye 红队失窃工具大揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
https://www.securityweek.com/cisa-says-many-victims-solarwinds-hackers-had-no-direct-link-solarwinds
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。