LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > SolarWinds如何遭到攻击:美国最大的网络攻击和俄罗斯黑客的身影

SolarWinds如何遭到攻击:美国最大的网络攻击和俄罗斯黑客的身影

2021-02-11 wanbizu AI 来源:区块链网络

近年来,最复杂,规模最大的违反美国政府制度的事件之一。 媒体就是这样称呼美国多个部委的黑客攻击,后来发现其规模比最初预期的要大得多。 她与SolarWinds的软件(当然还有俄罗斯黑客)相关联。 有关袭击事件的第一份报告出现在12月13日。 最初,它与财政部的系统以及美国商务部的一个部门有关—攻击者监视部门内部邮件数月。 但是,即使那样,媒体也开始谈论这仅仅是冰山一角。 几乎每天都有新的受害者被添加到受攻击影响的政府机构和私人公司的列表中。 其中包括Microsoft,FireEye,Cisco,以及国务院,国土安全部,美国能源部等。 这次攻击归咎于“外国赞助”的黑客。 很快就认罪了。 他们几乎立即指出了据称事件背后的一个特定国家-俄罗斯。 ForkLog弄清楚了导致这一切的软件供应商SolarWinds受到的攻击的详细信息。 键

黑客利用恶意软件感染了SolarWinds的平台。 它被许多部门和公司使用-大约18,000个SolarWinds客户安装了受感染的版本。 参与调查的美国媒体和情报机构将这种黑客行为归咎于“俄罗斯黑客”。 损害的真正程度仍是未知的-事实证明,SolarWinds的攻击者还危害了未使用SolarWinds产品的公司。

SolarWinds Hack-多方面的难题12月8日,最著名的网络安全公司之一FireEye宣布自身遭受了黑客攻击。 攻击者可以使用FireEye用来测试其客户端网络安全性的工具。

《纽约时报》写道:“这种盗窃行为与抢劫银行抢劫案回来并偷走了联邦调查局调查抢劫案的工具相当。”

SEO by Kevin Mandia [Kevin Mandia] 黑客说,这种黑客是“老练的攻击者,他们的纪律和方法使其看起来像是政府资助的攻击。” 后来事实证明,FireEye并不是黑客的唯一目标-它是后来对软件提供商SolarWinds遭受攻击的众多受害者之一。 FireEye本身也加入了对该事件的调查。 SolarWinds是一家总部位于美国的大型IT公司,为许多国有和私营公司开发软件以管理其网络,系统和基础结构。 在媒体上首次出现有关黑客渗透到政府系统中的报道之后,该公司要求用户紧急更新Orion平台。

SolarWinds要求所有客户立即升级到Orion Platform版本2020.2.1 HF 1,以解决安全漏洞。 有关更多信息,请访问https://t.co/scsUhZJCk8

— SolarWinds(@solarwinds)2020年12月14日

事实证明,猎户座是许多公司后续问题的主要来源之一。 攻击者使用2020年3月至六月之间发布的恶意软件感染了Orion版本。 通过下载更新,黑客可以访问SolarWinds的客户端网络。 FireEye专家将这种恶意软件称为SUNBURST,该恶意软件与Microsoft的调查Solorigate有关。 微软的初步调查显示,攻击的大多数受害者都集中在美国,主要的受害者是IT公司和政府机构。

资料来源:微软。

后来发现,这次攻击也影响了微软本身。

pic.twitter.com/2GBfCTRSQx

-弗兰克·X·肖(@fxshaw)2020年12月18日

尽管该公司表示已隔离并删除了恶意文件,但熟悉情况的消息人士称,黑客利用Microsoft产品进行了进一步的攻击。 逐渐添加的详细信息使这种黑客行为越来越引起人们的共鸣。 研究员Vinot Kumar说,他以前曾通过基本密码“ solarwinds123”访问SolarWinds更新服务器。

SolarWinds的软件被借壳以允许黑客破坏美国政府机构,去年被警告任何人都可以使用密码“ solarwinds123”访问每个更新服务器,分别为@bing_chris和@razhael。 https://t.co/2mRGTKHu87

-扎克·惠特克(@zackwhittaker)2020年12月15日

前SolarWinds安全顾问Ian Thornton-Trump [Ian Thornton-Trump] 他说,早在2017年就曾向公司警告过网络安全风险,但从未听说过。

他说:“从安全角度来看,我认为SolarWinds是一个非常容易被黑客攻击的目标。”

IB集团的专家透露,著名的讲俄语的黑客Fxmsp正在2017年10月的一个论坛上出售对solarwinds.com和dameware.com(Solarwinds远程控制软件)的访问权限。 熟悉调查的消息人士还表示,黑客于2019年10月进行了一次测试攻击-他们从Solarwinds网络分发了第三方文件。 当时,文件不包含后门程序,但这表明攻击者早在知道攻击之前就已经可以访问Solarwinds。 还值得注意的是,SolarWinds的主要投资者在首次遭到黑客入侵之前几天就出售了价值数亿美元的股票。 俄罗斯痕迹自从首次报道SolarWinds攻击以来,它就被归因于“俄罗斯黑客”。 包括联邦调查局,网络安全和基础设施局(CISA),美国国家安全局(NSA)和国家情报局局长办公室(ODNI)在内的美国主要国家安全机构发表联合声明,称俄罗斯最有可能对这次黑客行为负责。

刚刚发布:与我们@ FBI,@ ODNIgov和@NSAGov的合作伙伴就涉及联邦政府网络的近期重大网络事件的联合声明:https://t.co/nxHaN5UJRp

—网络安全和基础设施安全局(@CISAgov),2021年1月5日

他们称袭击的目的是收集情报。 据《纽约时报》报道,由俄罗斯联邦移民创立的JetBrains受到联邦调查局的调查,这一事实也可以说是“俄罗斯的踪迹”。 正如该出版物所写,FBI检查了该公司的工具是否可用于入侵SolarWinds。 JetBrains表示,“尚未与任何政府机构或安全机构联系”。 他们随后在声明中补充说:“ JetBrains并未以任何方式参与此事件。” 俄罗斯方面从一开始就否认其介入,并称这些指控毫无根据。

Emb大使馆评论????我们提请注意美国媒体对俄罗斯的下一次毫无根据的尝试…俄罗斯驻美国大使馆/俄罗斯驻美国大使馆发布2020年12月13日,星期日

多数情况下,媒体(指熟悉调查的人)将“舒适熊”(也称为APT29)称为罪魁祸首。 她与俄罗斯特种部队有联系。 舒适熊已经出现在另一起爆窃丑闻中,研究人员称她参与了对民主党全国委员会的袭击。 卡巴斯基实验室专家指出,SolarWinds黑客使用的工具与Turla(或Uroboros)黑客组织使用的工具相似。 她还被认为与俄罗斯政府有联系。 美国前国务卿迈克庞培说,俄罗斯是对SolarWinds袭击的幕后黑手。 同意在2020年12月担任美国总检察长的威廉·巴尔(William Barr)表示同意。 唐纳德·特朗普(Donald Trump)坚持使用其他版本。

“俄罗斯,俄罗斯,俄罗斯-他们全都”在发生事情时齐声讲话,因为 [американские СМИ],主要是出于财务原因,他不敢讨论中国背后的可能性(也许是这样!),”-他在Twitter上写道。

尽管特朗普经常将所有麻烦归咎于中国,但这次他可能离真相并不遥远。 2021年2月上旬,路透社援引接近调查的消息来源报道,据称中国黑客利用SolarWinds软件中的漏洞来访问美国农业部下属的国家金融中心。 该报指出,中国黑客利用的漏洞与俄罗斯网络犯罪分子据称利用的漏洞无关。

Palo Alto Networks 42威胁情报副主管Jen Miller-Osborne表示:“ SolarWinds似乎已成为多个集团的重要目标。”

鉴于攻击的受害者名单,这不足为奇。 从政府部门到微软:被害受害者SolarWinds使用Orion平台的客户包括许多美国政府部门。 这些是五角大楼,财政部,国务院,国家核安全局,美国国土安全部和许多其他政府机构。 这次攻击还影响了许多私营公司-Cisco,Mimecast,Palo Alto Networks,Fidelis Cyber??security等。 据彭博社报道,作为攻击的一部分,黑客获得了至少200个全球公司和部门网络的访问权限。 根据SolarWinds向美国证券交易委员会(SEC)提交的声明,该黑客攻击可能并未影响到公司的所有客户。 在300,000个客户中,有33,000个使用Orion平台,其中只有18,000个安装了受感染的更新。 然而,事实证明,不仅SolarWinds的直接客户都受到了攻击的影响。 一月份,网络安全公司Malw??arebytes报告说,它遭到了攻击SolarWinds的相同黑客的攻击。 有趣的是,该公司声称没有使用SolarWinds产品。 攻击者使用Office 365电子邮件客户端中处于休眠状态的安全产品进行攻击,Malwarebytes听到了来自Microsoft的事件,该事件在SolarWinds遭到黑客攻击后在检查其自身的基础结构时发现了可疑活动。 在12月下旬,Microsoft确认黑客能够查看该公司某些产品的部分源代码。 根据《华尔街日报》的报道,研究人员正在研究通过Microsoft产品入侵SolarWinds网络的可能性。 随着调查的进行,攻击SolarWinds的黑客的受害者列表几乎每天都在增加。 专家认为,事件的全部规模将永远不会得到评估。 还不确定的是,黑客正在寻找什么样的数据,谁是他们的真正目标,以及他们设法窃取了什么信息。 黑客入侵后,一个名为SolarLeaks的网站开始交易数据,据称是由于黑客入侵而从许多公司中盗取的。 但是,在暗网上出售被盗数据几乎不是这种复杂而全面的攻击的唯一目标。 在Telegram上订阅ForkLog新闻:ForkLog Feed-整个新闻Feed,ForkLog-最重要的新闻和民意调查。

—-

原文链接:https://forklog.com/kak-atakovali-solarwinds-krupnejshaya-kiberataka-na-ssha-i-siluet-rossijskih-hakerov/

原文作者:Каролина Сэлинджер

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...