SolarWinds 黑客入侵了美国 27 个州检察官办公室
美国 司法部于 2021 年 1 月 6 日发布的一份声明中首次承认了此次入侵的消息, 当时美国司法部表示,根据《联邦信息安全现代化法案》(FISMA),此次活动构成重大事件。在得知安全漏洞后,首席信息官办公室修复了黑客利用的问题,并根据需要通知了相应的联邦机构、国会和公众。
受影响的州检察官办公室名单包括:
- 加州中区;
- 加州北区;
- 哥伦比亚特区;
- 佛罗里达州北部地区;
- 佛罗里达州中区;
- 佛罗里达州南区;
- 佐治亚州北部地区;
- 堪萨斯区;
- 马里兰州区;
- 蒙大拿州;
- 内华达区;
- 新泽西区;
- 纽约东区;
- 纽约北区;
- 纽约南区;
- 纽约西区;
- 北卡罗来纳州东区;
- 宾夕法尼亚东区;
- 宾夕法尼亚州中区;
- 宾夕法尼亚西区;
- 德克萨斯州北部地区;
- 德克萨斯州南部地区;
- 德克萨斯州西区;
- 佛蒙特州;
- 弗吉尼亚东区;
- 弗吉尼亚西区;和
- 华盛顿西区。
“该部门正在对此事件做出回应,就好像负责 SolarWinds 漏洞的高级持续威胁 (APT) 小组可以访问在受感染的 O365 帐户中发现的所有电子邮件通信和附件一样。据信,APT 可以在大约 2020 年 5 月 7 日至 12 月 27 日期间访问被盗账户。被盗数据包括在此期间在这些账户中发现的所有发送、接收和存储的电子邮件和附件。” 阅读美国司法部提供的更新。 “虽然其他地区受到的影响较小,但 APT 组织可以访问位于纽约东区、北区、南区和西区的美国检察官办公室至少 80% 的员工的 O365 电子邮件帐户。”
据美国司法部称,国家资助的黑客入侵了位于纽约东区、北区、南区和西区的美国检察官办公室至少 80% 员工的 Office 365 电子邮件帐户。
入侵发生在 2020 年 5 月 7 日至 12 月 27 日之间。
4 月,美国和英国正式将 SolarWinds 供应链攻击归咎于俄罗斯的外国情报局 (SVR)。
SVR 还窃取了“红队工具”,安全公司使用这些工具来模仿与已知威胁参与者相关的攻击技术并帮助其客户检测它们。
4 月,美国国家安全局 (NSA)、网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 发布联合公告,警告称与俄罗斯有关联的 APT 组织 SVR 正在利用五个漏洞进行攻击。反对美国的目标。
Cyberspies 利用这些缺陷获取登录凭据并使用它们闯入美国组织和政府机构的网络。
公告中列出的漏洞是:
- CVE-2018-13379 Fortinet
- CVE-2019-9670 Zimbra
- CVE-2019-11510 脉冲安全
- CVE-2019-19781 思杰
- CVE-2020-4006 VMware
