国家级 APT 组织利用 SolarWinds 软件大范围供应链攻击预警

背景

美国时间2020年12月13日，据路透社报道，知情人士表示，有外国政府支持的黑客一直在监控美国财政部以及一个负责互联网和电信政策机构的内部电子邮件往来。

据三位知情人士透露，美国情报界担心，针对财政部和商务部下属的国家电信和信息管理局的黑客还使用了类似的方法，侵入了美国其它一些政府机构。但该人士没有透露其他机构具体指哪些。

《华盛顿邮报》报道说，此次黑客攻击是由solarwinds产品的缺陷制造的，攻击是由俄罗斯黑客组织APT29实施的。美国政府官员已经承认了这些事件，但没有提供进一步的细节。

事件概述

12月13日相关新闻报道后不久，Fireeye在官网发布了《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》报告，报告中披露了国家级APT组织针对SolarWinds产品供应链攻击的相关技术细节。

同时SolarWinds官方发布安全公告，SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 - 2020.2.1版本，遭受了高度复杂的供应链攻击。建议客户建议尽快升级到Orion Platform版本2020.2.1 HF 1版本，以保证自己的安全。

受影响情况

根据SolarWinds公司官网显示，SolarWinds的客户包括了”财富美国500强“（Fortune 500）企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局，以及美国总统办公室等。

基于360安全大脑的遥测分析，初步确认攻击者在SolarWinds官网发布的多个版本的软件安装包和升级包中植入了后门程序。受影响用户不限于美国地区，涉及全球多个区域和国家，包括美国、哥伦比亚、澳大利亚等多个国家都受到影响。使用SolarWinds软件的各行各业及大中型企业都受到了不同程度的攻击波及，请相关机构和组织提高警惕。

检测防御方法

相关组织机构可以自查是否安装2019.4 - 2020.2.1版本的SolarWinds Orion平台软件，及时清除后门程序。

目前360安全大脑、360情报云等360政企全线安全产品可以检测和防御SolarWinds软件供应链攻击。

另外，我们提供了SolarWinds供应链后门专杀工具，请联系ata@360.cn获取。

参考链接

https://www.fireeye.com/blog/threat-resear...

https://www.solarwinds.com/securityadvisor...

原创： 高级威胁研究院 360威胁情报中心
原文链接：https://mp.weixin.qq.com/s/KS9iw8EosGVI_1L...