史上影响力最大的APT攻击,已致全球数百家重要核心组织机构陷落
2020-12-21 17:34:12 Author: www.freebuf.com(查看原文) 阅读量:85 收藏

【快 讯】利用SolarWinds产品漏洞,发起对美国大范围的APT攻击仍在进一步扩大。截止目前,根据360安全大脑的全网安全数据,分析发现了几百个组织机构的失陷信息,目前已经确认200+个组织机构的准确信息。这数百个组织机构共涉及31个国家,其中美国失陷的组织机构最多。此外,这数百个组织机构涉及18个行业,其中政府组织机构失陷情况最为严重,其次是金融和IT行业,同时有少量网络安全公司。可以说,这场史上影响力最大的APT攻击,已致全球数百家重要核心组织机构陷落。

美国能源部和核武器机构也被黑?全球多家重要核心组织机构陷落

今天Politico报道称,黑客组织袭击了美国能源部(DOE)和负责监督核武器库存的国家核安全局(NNSA),并表示能源部多个设施的网络都受到影响,包括安全运输办公室的网络,该办公室运送核材料、已组装武器和组件。

国家核安全局(NNSA):是一个半自治政府机构,其关键任务就是确保这些储存的核武器的安全,以及应对美国国内外的核和放射紧急情况。据美国科学家联合会称,美国估计有3800枚核武器库存。其中许多武器是在冷战初期生产的,均由NNSA监督。

核威慑力量,是美国国家安全的重要基石。国家核安全局的基础设施和计算机系统的安全至关重要,若其也被入侵,其后果不堪设想。

针对此事,今早美能源部发言人Shaylyn Hynes第一时间向外媒表示,黑客还无法获得关键的国家安全系统的访问权限。Hynes解释道:

当前,调查发现该恶意软件仅被隔离到业务网络中,并未影响该部门的任务必不可少的国家安全职能,包括国家核安全局。在美国能源部发现易受攻击的软件时,已立即采取了行动以减轻风险,并且所有被认为容易受到这种攻击的软件都已从美国能源部网络断开。

结合早前,美国联邦调查局(FBI)、国土安全部网络安全与基础设施安全局(CISA)和美国情报主任办公室(ODNI)发布联合声明承认,由于SolarWinds产品漏洞缺陷,包括美国国务院、财政部、商务部、国立卫生研究院和国土安全部等被黑客入侵,以及360高级威胁研究分析中心与360Quake团队、360网络安全研究院进一步数据分析,可以肯定:这场史上最大的APT攻击行动,令全球多家重要核心组织机构陷落。

截止目前,根据360安全大脑的全网安全数据,分析发现了几百个组织机构的失陷信息,目前已经确认200+个组织机构的准确信息。

这数百个组织机构共涉及31个国家,其中美国失陷的组织机构最多。

这数百个组织机构涉及18个行业,其中政府组织机构失陷情况最为严重,其次是金融和IT行业,同时有少量网络安全公司。

1608539447_5fe05d379e861f1f8b83c.png!small

不止于利用SolarWinds Orion软件漏洞,疑似存在尚未发现的战术、技术和程序

虽然目前,Microsoft、FireEye和GoDaddy已为SolarWinds Sunburst后门创建了一个kill switch,以终止受害者网络上的感染。

然而,事件的严重性远不止与此。今早,美国国土安全部网络安全与基础设施安全局(CISA)发布警报称,已确定本周早些时候披露的SolarWinds Orion软件漏洞不是黑客入侵各种在线网络的唯一方法,还存在尚未发现的战术、技术和程序。

早前,微软公司已披露攻击者有针对目标组织机构所使用的微软Azure云设施的一些攻击过程描述,可以进一步推断:该攻击组织会针对目标的不同网络环境制定攻击技战术。

更为恐怖的是,在360安全大脑分析的失陷组织机构数据中发现,其中不乏SolarWinds这样的基础供应链厂商巨头,专家推测:该组织完全有可能利用这些失陷组织机构的失误,再次发起和SolarWinds同等规模的供应链攻击。

1608539497_5fe05d698772fce746d71.png!small

360安全大脑还原攻击过程图

可见,在这场“酝酿已久”的APT攻击中(360安全大脑显示,攻击行动从2019年就开始筹备),攻击者展现出极大的耐心、行动保障能力以及极其复杂的技术手段。而若想将该恶意攻击者从受威胁环境中彻底清除,对各组织而言更将是一项极为复杂且极具挑战的任务。

1608539521_5fe05d8170ccf2516eceb.png!small

360安全大脑还原攻击时间图

超级网络大国间的网络厮杀,掀起席卷全球供应链攻击的风暴狂潮

从攻击手段的极其复杂到全球核心机构纷纷陷落,似乎这次一场针对美国“围剿厮杀”的定向活动。针对如此强势的攻击浪潮,新任美国总统拜登在今天首次针对攻击事件做出正面回应,他表示:

“我的政府将把网络安全作为各级政府的首要任务,我们将从上任之日起就把处理这一漏洞作为首要任务。我们将把网络安全提升为政府的当务之急,进一步加强与私营部门的伙伴关系,扩大对基础设施和人员的投资,以防范恶意网络攻击。

但是,一个好的防御是不够的;我们首先需要破坏和阻止我们的对手进行重大的网络攻击。为此,我们将通过对这些恶意攻击负责的人征收巨额费用,包括与我们的盟友和伙伴协调。我们应该让对手知道,作为总统,面对对我们国家的网络攻击,我不会袖手旁观。“

然而,这场“来势凶猛”堪称史上最大供应链攻击行动,由于SolarWinds公司为全球30万家客户提供了产品服务,其引动的震波早已辐射全球。

所以,在我们持续关注美国如何应对这场网络空间的“挑战”时,各大相关的组织机构更应当提高自身的警惕,以防自身受到侵害。

智 库 时 评  

此次攻击行动从2019年就开始筹备,攻击组织的后门程序具备完备的远程控制功能、隐蔽的网络通信和精细的攻防对抗。虽然今天攻击事件被曝光,然而攻防的不对等性,令全球重要核心机构早已陷入。尤其,在这跨越两年时间的攻击行动中,攻击者有充分的时间对相关组织机构进行入侵渗透、窃取情报和破坏行动。

今天,拥有着全世界顶尖的网络安全实力的美国,仍难以完全避免国家级APT攻击,全线“败落”。足以证明,现今网络安全环境仍面临着易攻难防的普遍状况,面对此类高级威胁仍只能被动防御的危险处境。

如何检测和防御此类APT攻击,如何守护好我们网络空间的祥和安宁,此路道阻且长,吾辈们仍任重道远。

最后,针对此次攻击的解决方案:

截止目前360安全大脑、360情报云、360沙箱云等360政企全线安全产品可以检测和防御此次的供应链攻击。另外,他们还提供了SolarWinds供应链后门专杀工具,如需要请联系[email protected]获取。

本文为国际安全智库作品 微信公众号:guoji-anquanzhiku如需转载,请后台留言欢迎分享朋友圈


文章来源: https://www.freebuf.com/news/258444.html
如有侵权请联系:admin#unsafe.sh