日前传出国家级黑客借由入侵SolarWinds Orion Platform的软件构建系统,渗透到美国各大政府机构与全球组织,而美国总统川普(Donald Trump)周日(12/20)首度对此事发布看法,却是批评那些“假新闻媒体”(Fake News Media)夸大了该攻击的严重程度,指出一切都在美国的掌控下。
川普并未说明何谓“被夸大”,但根据彭博社引述1家安全企业及3名熟悉该黑客事件的消息来源报道,至少有200家全球的政府机构与企业遭到攻击,而其中应该包含了微软于日前披露的超过40家客户。
此外,就在安全企业与全球媒体把攻击指向俄罗斯时,川普也说,大家遇到任何意外时率先就会怀疑俄罗斯,但其实也可能是中国。
不过,微软在说明该安全意外时,不只多次暗示俄罗斯工程师具备这类的攻击能力,也曾发动类似的攻击,还说将在未来几周提供更多有关攻击来源的确切证据。
微软持续公布SolarWinds攻击行动的细节,指出有证据显示黑客从去年10月就在测试如何在Orion Platform上嵌入程序代码,而且黑客力求低调,不只是所植入的木马程序非常的轻巧,在成功进驻受害系统之后,还会进行一系列的检查,以确定它的确是在攻击目标的系统上运行,而非分析师的机器。
从微软披露的黑客入侵流程图上可看出,黑客是先在合法软件(Orion Platform)上的DLL组件注入恶意程序代码,确定攻击目标后开始搜集系统信息,再与C&C服务器联系以取得攻击指令,包括窃取凭证、扩张权限,或是横向移动等。
尽管该攻击行动从今年3月就已展开,但一直到12月才被发现,躲过了美国斥资数百亿美元建造的网络攻击防御系统Einstein。华尔街日报则报道,该攻击行动被识破,依赖FireEye的一名员工与安全团队在前几周,同时收到了一个自动传递的安全警报,原因是有人在一台陌生的设备上,以员工的凭证登录了FireEye的VPN网络,这类的警报消息通常会定期被移除,却碰巧被注意到了,此外,若非安全企业FireEye先发现自己遭黑,被黑的美国联邦机构可能还不知不觉。