《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 擊穿美政府網(wǎng)絡(luò),、影響核安全,,金鏈熊攻擊令多少美國機(jī)構(gòu)淪陷?

擊穿美政府網(wǎng)絡(luò),、影響核安全,,金鏈熊攻擊令多少美國機(jī)構(gòu)淪陷,?

2020-12-18
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  根據(jù)多方媒體報(bào)道匯總,目前新確認(rèn)感染SolarWinds木馬化版本的美國聯(lián)邦政府機(jī)構(gòu)包括美國國務(wù)院,、國防部,、國土安全部、能源部國家核安全局,、美國國立衛(wèi)生研究院等,。路透社報(bào)道稱微軟內(nèi)部也被感染,,旗下產(chǎn)品被用于攻擊客戶,,但微軟否認(rèn)了產(chǎn)品遭到濫用。

  美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)表示,,本次針對(duì)美國政府機(jī)構(gòu)發(fā)起大規(guī)模攻勢(shì)的APT組織曾使用多種初始訪問媒介,。

  “CISA目前掌握的證據(jù)顯示,除SolarWinds Orion平臺(tái)之外,,還存在其它初始訪問媒介,。我們?nèi)栽趯?duì)這些媒介進(jìn)行調(diào)查,后續(xù)將持續(xù)更新通報(bào)?!?/p>

  “并非所有使用SolarWinds Orion平臺(tái)提供后門的組織都成為了攻擊者下一步計(jì)劃的目標(biāo),。”

  難以從受感染網(wǎng)絡(luò)中徹底清除

  根據(jù)CISA方面介紹,,該APT組織長期對(duì)受感染組織網(wǎng)絡(luò)實(shí)施入侵,,發(fā)起此次黑客攻擊的幕后團(tuán)伙,很有可能還使用到其它未被發(fā)現(xiàn)的戰(zhàn)術(shù),、技術(shù)與程序(TTPs),,這也是他們當(dāng)前調(diào)查工作中的關(guān)注重點(diǎn)。

  CISA目前正在調(diào)查一些與SolarWinds攻擊同期出現(xiàn)的其它事件,,“包括一部分并未使用SolarWinds Orion,,或者使用了SolarWinds Orion但并未發(fā)現(xiàn)相關(guān)入侵活動(dòng)的受害者?!?/p>

  CISA發(fā)布的AA20-352A警報(bào)補(bǔ)充道,,“CISA已經(jīng)確認(rèn)此次威脅已經(jīng)給從聯(lián)邦到地區(qū)自上而下的政府機(jī)構(gòu),乃至一系列關(guān)鍵基礎(chǔ)設(shè)施實(shí)體與私營部門組織構(gòu)成了嚴(yán)重風(fēng)險(xiǎn),?!?/p>

  “該APT團(tuán)伙在本次攻擊行動(dòng)中展現(xiàn)出極大的耐心、行動(dòng)保障能力以及和極為復(fù)雜的技術(shù)手段,。CISA認(rèn)為若想將該惡意攻擊者從受威脅環(huán)境中徹底清除,,對(duì)各組織而言將是一項(xiàng)極為復(fù)雜且極具挑戰(zhàn)的任務(wù)?!?/p>

  警報(bào)還提到了其它技術(shù)細(xì)節(jié),,包括本輪攻擊中使用的初始感染媒介,戰(zhàn)術(shù),、技術(shù)與程序(TTPs),,緩解措施以及危害指標(biāo)等信息。

  美國政府正式確認(rèn)此次入侵事件

  美國聯(lián)邦調(diào)查局(FBI),、國家情報(bào)局局長辦公室(ODNI)與CISA在12月16日聯(lián)合發(fā)布聲明,,首次正式確認(rèn)SolarWinds違規(guī)事件造成多個(gè)美國聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)遭受入侵。

  它們表示,,“事態(tài)仍在不斷發(fā)酵,,我們將繼續(xù)努力調(diào)查此次事件的全部影響范圍。而且目前可以肯定,,聯(lián)邦政府的內(nèi)部網(wǎng)絡(luò)已遭到入侵,。”

  微軟,、FireEye和GoDaddy已經(jīng)合作為SolarWinds后門的控制域名創(chuàng)建了一個(gè)“終止開關(guān)”,,旨在迫使該惡意軟件從受感染網(wǎng)絡(luò)當(dāng)中進(jìn)行自我刪除。

  此后門被微軟方面命名為Solarigate,F(xiàn)ireEye則將其稱為Sunburst(日爆攻擊),。目前該后門已經(jīng)通過SolarWinds的自動(dòng)更新機(jī)制被分發(fā)至大約18000家客戶的系統(tǒng)當(dāng)中,。

  國內(nèi)安全公司奇安信分析稱,截止12月16日,,已確認(rèn)受害的重要機(jī)構(gòu)至少200家,,波及北美、歐洲等全球重要科技發(fā)達(dá)地區(qū)的敏感機(jī)構(gòu),,其中美國占比超過60%,。研究人員認(rèn)為,執(zhí)行該攻擊行動(dòng)的是一個(gè)數(shù)百人的集團(tuán)化組織,,并將其命名為“金鏈熊”,。

  截至目前,綜合多家媒體報(bào)道顯示,,受此事件影響的美國政府機(jī)構(gòu)包括美國國務(wù)院,、國防部、財(cái)政部,、國土安全部,、能源部國家核安全局、商務(wù)部國家電信與信息管理局,、美國國立衛(wèi)生研究院等,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。