俄罗斯被指为 SolarWinds 供应链事件元凶,技术公司受制裁,常用5大漏洞遭曝光
编译:奇安信代码安全卫士
今天,美国政府宣布对俄罗斯政府实施一系列制裁措施,正式将 SolarWinds Orion 供应链攻击归咎于俄罗斯联邦对外情报局 (SVR)。
白宫指出,归属于 SVR 的黑客组织 APT 29(或被称为 “Cozy Bear” 或 “The Dukes”)“利用 SolarWinds Orion 平台和其它信息技术基础设施”,“大规模发动网络间谍活动”。
SVR 被指首先访问了位于德克萨斯的 SolarWinds 公司并在 Orion IT 监控应用程序版本中插入恶意软件。SolarWinds 公司客户下载并安装了该更新,以及,SVR 插入的恶意软件,从而获得对高价值目标的访问权限,部署了额外恶意软件以攻陷内部和基于云的系统且窃取敏感信息。
白宫指出,SoalrWinds 软件供应链事件可能导致全球超过1.6万个计算机系统遭破坏。数十个美国政府机构也是受害者,如美国国务院、司法部、能源部、网络安全和基础设施局以及财政部。
1月,俄罗斯政府官员否认了这种归因。但今天,美国情报局官员表示,“有很足的信心”评估认为 SVR 就是幕后黑手,并且 SVR 当时还攻击了美国的政府实体。
有人统计称,白宫发布这一消息后,欧盟和北约成员纷纷转发相关推特消息,显示出该阵容的强大造势能力。
白宫发布声明的同时,美国财政部还对六家俄罗斯技术公司实施制裁,美国认为这些技术公司为SVR实施攻击提供了技术专业知识和服务。它们是:
ERA Technologies:由俄罗斯国防部资助并运行的研究中心和技术园区,它拥有并支持俄罗斯总参谋部情报部 (格鲁乌,GRU) 发动攻击、实施信息行动并利用俄罗斯技术部门的人员和专业知识发展军用和民军两用技术。
Pasit:位于俄罗斯的一家 IT 公司,从事研发工作,支持 SVR 实施恶意攻击活动。
SVA:俄罗斯国有研究机构,专注于位于俄罗斯的高阶信息安全系统。SVR 开展研发工作以支持 SVR 的恶意网络活动。
Neobit:位于俄罗斯圣彼得堡的IT 公司,其客户包括俄罗斯司法部、SVR 和俄罗斯联邦安全局 (FSB) 。Neobit 开展研发工作支持 FSB、GRU和 SVR 的网络行动。今天,白宫指责 Neobit 公司被指根据网络相关的 EO-13694(EO13757修订)、WMD 相关的 E.O. 13382 以及《通过制裁对付美国对手法案》 (CAATSA) 为格鲁乌提供重大支持。
AST:俄罗斯 IT 安全公司,其客户包括俄罗斯国防部、SVR 和 FSB,并为它们提供技术支持。AST 被指根据EO-13694、EO 13382 以及 CAATSA 为FSB提供支持。
Positive Technologies:俄罗斯 IT 安全公司,支持俄罗斯政府客户,包括 FSB 在内。该公司向俄罗斯企业、外国政府和国际公司提供计算机网络安全解决方案,并举办大型会议,为 FSB 和 GRU 招募人员。该公司也被指根据EO-13694、EO 13382 以及 CAATSA 为FSB提供支持。
美国财政部表示,这六家公司还帮助其它两个俄罗斯情报机构(FSB 和 GRU)开展网络行动。值得注意的是,这份制裁清单中还包括俄罗斯安全巨头 Positive Technologies, 该公司以网络安全漏洞研究工作为人所知。
这是美国财政部第二次以支持俄罗斯政府的黑客活动而制裁相关安全公司。2018年6月,EMbedi 和 ERPScan 被指支持 FSB 且受到制裁。NotPetya 勒索攻击事件后,对这两家公司的制裁才被解除。
一旦被列入制裁名单,美国实体在未得到美国政府允许的情况下,被支持和这些实体接触或开展业务往来。
北约组织也发布声明,支持白宫做出的制裁声明,同时还增加了除了 SolarWinds 事件外俄罗斯开展的其它“破坏性行动“如悬赏捉拿美国士兵、侵略乌克兰并干涉大选。俄罗斯此前警告称今天发布的制裁可能会导致现实生活中的冲突。
NSA、网络安全和基础设施安全局 (CISA) 以及 FBI 发布联合声明警告称,SVR 正在利用五个漏洞攻击美国组织机构,破坏其利益。声明指出,俄罗斯利用这五个漏洞获得认证凭据并进一步攻陷美国企业网络和政府网络。NSA 建议所有组织机构立即修复易受攻击设备,以免遭攻击,导致数据被盗、银行欺诈和勒索攻击后果。
美国政府强烈建议所有管理员“紧急执行相关缓解措施”,阻止进一步攻击。声明指出,除了攻陷 SolarWinds Orion 软件供应链外,SVR 近期还通过 WellMess 恶意软件攻击新冠肺炎的研发设施,并通过 NSA 披露的 VMware 漏洞攻击网络。
被指用于近期攻击活动中的这五个漏洞是:
CVE-2018-13379:攻击 Fortinet FortiOS 6.0.0 至6.0.4 版本、5.6.3至 5.6.7版本以及 5.4.6至5.4.12版本。在 Fortinet SSL VPN web 门户,受限目录的路径名称的不当限制(“路径遍历”)导致未认证攻击者通过特殊构造的 HTTP 资源请求下载系统文件。
CVE-2019-9670:攻击 Synacor Zimbra Collaboration Suite 早于 8.7.11p10 的8.7.x版本。在这个套件中,mailboxd 组件中存在一个XML 外部实体注入 (XXE) 漏洞。
CVE-2019-11510:攻击 Pulse Connect Secure (PCS) 8.2R12.1 之前的 8.2 版本,8.3R7.1 之前的8.3版本以及9.0R3.4 之前的9.0版本。
CVE-2019-19781:攻击早于 13.0.47.24、12.1.55.18、12.0.63.13、11.1.63.15 和10.5.70.12以及早于 10.2.6b 和11.0.3b的SD-WAN WANOP 4000-WO、4100-WO、5000-WO 和 5100-WO 版本。
CVE-2020-4006:攻击VMware One Access 20.01 和20.10(Linux)、VMware Identity Manager 3.3.1-3.3.3(Linux)、VMware Identity Manager Connector 3.3.1-3.3.3 和19.03、VMware Cloud Foundation 4.0-4.1 以及 VMware Vrealize Suite Lifecycle Manager 8.x 版本。
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
邮件安全上市公司 Mimecast 的部分源代码被 SolarWinds 黑客盗走
微软和火眼又分别发现SolarWinds 供应链攻击的新后门
微软结束 SolarWinds 事件调查:部分源代码被盗,1000人参与
https://therecord.media/white-house-formally-blames-russian-intelligence-service-svr-for-solarwinds-hack/
https://www.bleepingcomputer.com/news/security/nsa-top-5-vulnerabilities-actively-abused-by-russian-govt-hackers/
https://www.technologyreview.com/2021/04/15/1022895/us-sanctions-russia-positive-hacking/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。