安全厂商卡巴斯基昨(27)日指出,SolarWinds供应链攻击波及甚广,除了美国政府外,也有近2千家企业遭到其中后门程序感染,其中工业类厂商占了600家以上,也包括台湾企业。
近2个月前爆发疑似俄罗斯黑客利用SolarWinds的Orion更新机制,在用户网络上植入后门程序Sunburst。技术研究显示,攻击者在植入Sunburst后展开第二阶段攻击。至于受害单位,虽然SolarWinds在事发之初曾估计约有1.8万家企业及政府客户内部网络可能有此恶意程序,关于灾难范围以及第二阶段工具部署的情况信息却很少。
为了了解有多少企业使用了有被植入后门的SolarWinds,卡巴斯基分析了公开取得及来自第三方名单里,由Sunburst域名名产生算法(DomainName Generation Algorithm)产生的内部域名名称。最终得到可解码、可归户的域名名有近2000家,研究人员相信这些可能就是遭到Sunburst入侵的企业组。
分析这些企业产业别,显示制造、工程及能源等工业类公司占了32.4%,约600多家。进一步细分,又以制造业最大宗,占了总数(近2千家)的18.11%,意味着有超过300家企业受害,远远超过其他产业如航天业、工程、信息、能源及矿业的比例。
研究人员也根据遥测资料分析用户信息,显示20多家企业内安装了有被植入后门程序的SolarWinds应用系统。分别位于制造业、运输、公用、建筑、矿业及能源业。
卡巴斯基指出,这近2000家工业公司遍及美洲、非洲及亚太地区,包括美国、台湾、荷兰、俄罗斯、墨西哥、智利、印尼、沙特阿拉伯等。
卡巴斯基指出,全球各种产业许多系统都有集成SolarWinds软件,虽然目前资料还没有证据显示攻击者有利用这些系统发动攻击,但由于有资料显示一些产业可能已沦为第二阶段攻击受害者,因此不能排除有可能SolarWinds黑客会在某些产业内扩大活动。
研究人员也呼吁企业检查网络环境下是否有被感染的SolarWinds软件版本,包括2019.4 HF 5、没有hotfix的2020.2及2020.2 HF1及检查有无可能的入侵指标(indicator of compromise)。