微软高层本周表示,根据分析,对SolarWinds发动攻击的黑客组织估计参与人数超过1000名开发人员,堪称是规模最大、最高明的攻击行动。
微软首席法务官Brad Smith本周参加新闻节目CBS《60分钟》谈及该公司针对SolarWinds攻击调查的发现。另一家安全厂商FireEye首席执行官Kevin Mandia也参与了这次访谈。
去年12月爆发的SolarWinds供应链攻击中,国家支持的攻击者黑入美国软件公司SolarWinds的Orion软件更新机制,借此使高达18,000家使用单位感染后门程序Sunburst。美国联邦调查局(FBI)和网络安全暨基础架构安全局(CISA)认为,这群攻击者可能是由俄罗斯政府支持的黑客组织。
由于Orion的用户群广大,美国政府单位包括商务部、财政部、能源部、国土安全部、CISA,甚至安全厂商微软、FireEye、MalwareBytes都遭到感染。
Smith指出,从软件厂商角度言之,SolarWinds攻击可能是规模最大、最高明的攻击。微软也动用了500多位工程师来调查。经过微软分析研判,这次攻击涉及的工程师人数应该超过1000人。
但黑客攻击手法相当细腻,在Orion数百万行程序代码,仅仅改写了4,032行程序,借此感染SolarWinds的客户。Smith并未说黑客从何而来,但他指出,虽然这是美国第一次遭遇供应链攻击,但暗示,过去俄罗斯也曾对乌克兰发动类似的攻击行动。
FireEye首席执行官Kevin Mandia则说明该公司如何发现被黑。11月间安全部门发现,FireEye一名员工账号被第三方以双重验证(2FA)登录,这也促使FireEye启动调查,因而发现自己遭到黑入。
Mandia指出,攻击者手法高明,没有留下任何痕迹,没有恶意程序,也没有钓鱼邮件,在巨细无遗的搜查下,最后才在SolarWinds内发现恶意程序。FireEye调查发现,公司的红队演练工具也被黑客窃取,最后于12月初首先宣布这起震惊业界的黑客行动。
随着调查不断进行,安全界也发现SolarWinds攻击手法之高明,行动之缜密。黑客攻击的渠道可能不只有SolarWinds Orion软件,黑客不但部署时间长达近一年,也不只放了一只后门程序,此外也发展出各种高明手法躲避侦测。此外,华尔街日报报道,大约有30%被黑的企业并未使用SolarWinds。