截止12月16日,奇安信CERT已確認至少200家重要機構受害,美國佔比超過60%;奇安信CERT分析認為,執行該攻擊行動的是一個數百人的集團化組織,並將其命名為“金鍊熊”;華爾街日報稱,美國將該網絡間諜活動確定為最高等級。
美國國家安全事務助理羅伯特•奧布萊恩當地時間15日縮短了他的出訪行程,從巴黎緊急返回華盛頓,以協調處理“美國政府機構遭遇網絡攻擊”事件。
根據奇安信CERT對該事件的持續追蹤分析,截止12月16日,已確認受害的重要機構至少200家,波及北美、歐洲等全球重要科技發達地區的敏感機構,其中美國佔比超過60%。同時發現,執行該行動的可能是一個數百人的集團化組織。
受害機構中,美國佔比超過60%
針對此次攻擊事件,微軟宣佈,從北京時間12月17日0點開始,Microsoft Defender 軟件將開始阻止已知的惡意SolarWinds安裝文件。同時,據外媒 ZDNet 報道,微軟已查封在本次事件中扮演核心角色域名所在的服務器。
奇安信CERT分析發現,核心域名被指向一個微軟公司擁有的IP地址,根據攻擊樣本的預製指令,所有受害者的相關攻擊活動都被即刻終止。
這顯然是美國對本次APT事件的緊急反應,據《華爾街日報》等多家美媒報道,如果將網絡間諜活動按可能的嚴重性和對國家安全的影響劃分1-10個等級,此次行動的等級能達到10級。美國國土安全部的網絡安全和基礎設施安全局甚至發出命令説,目前受到的黑客攻擊有可能會危及政府系統。
奇安信CERT發現,至少有200家以上的機構被該APT組織採取了行動,受害者遍及北美、歐洲、亞洲和中東地區的政府、科技公司和電信公司,覆蓋軍工、能源等多個涉及國家安全的行業。截至12月16日,美國已有124家機構遭受到攻擊,佔比62%。
奇安信CERT安全專家rem4x@A-TEAM認為,這是一場足以影響全世界大型機構的軟件供應鏈攻擊。該組織APT攻擊具有極大的戰略意圖,可能是為了長期控制某些重要目標,或者獲取足以長期活動的憑據。
執行該行動的是數百人的集團組織
奇安信CERT分析發現,這是一個數百人的集團化APT組織。該組織系統龐大、分工明確、紀律性強、攻擊隱蔽,在執行該次任務中,至少包括三個不同職能的行動組織。
奇安信CERT根據他們的攻擊手法、樣本分析,勾畫出該APT組織的作戰路線圖:“這次攻擊有三個作戰任務,分別由三個獨立的行動組織來完成。”奇安信CERT安全專家rem4x@A-TEAM表示。
作戰任務一:入侵供應商,大範圍撒網
rem4x@A-TEAM判斷,該APT組織攻陷了世界知名網管軟件廠商SolarWinds作為入侵目標。該軟件在全球有超過200,000個組織中使用,客户包括美國軍方的所有五個分支機構、五角大樓、國務院、司法部、美國國家航空航天局、總統執行辦公室和國家安全局。
奇安信CERT此前分析,這次APT攻擊首先是對SolarWinds旗下的Orion網絡監控軟件更新服務器進行黑客入侵,並植入惡意代碼。目前被污染的SolarWinds軟件帶有該公司簽名,這表明SolarWinds公司內部很可能已經被黑客完全控制。
SolarWinds在聲明中也表示:“根據監測,今年3月和6月發佈的Orion產品可能已經被秘密地安裝在大量高度複雜的、有針對性的目標中。”同時,SolarWinds在向美國證券交易委員會提交的文件中還表示:“大約有18,000個客户下載了木馬化的SolarWinds Orion版本”。
作戰任務二:實施供應鏈攻擊,精準篩選重點目標
奇安信CERT發現,該組織具有極強的紀律性,對於攻擊時機、攻擊目標的選擇,極富耐心,極其謹慎。
奇安信CERT認為,完成該目標的團隊至少需要數十人。這些人員具有高超的代碼仿冒能力,植入的惡意代碼與SolarWinds產品的代碼風格完全一致,完全不同於黑客所寫的代碼風格,從而成功繞過SolarWinds公司複雜的測試、交叉審核、校驗等多個環節將惡意代碼植入發佈的軟件版本之中。
惡意樣本植入後,至少要通過8個步驟進行復雜的校驗、檢查工作才會正式開啓供應鏈攻擊,截取部分攻擊流程圖如下:
接下來,該組織會根據回傳的受害者信息,判斷是否進行下一步行動,分為終止、等待、行動三個類別,再按照不同對象,分配不同的行動團隊。執行該作戰階段的團隊至少需要數十人,他們需要完成基礎設施維護、攻擊框架設計開發、目標甄別篩選等工作。根據奇安信CERT截止到12月16日分析的數據顯示,攻擊者至少將100家目標排除出了行動類別。
作戰任務三:針對特定目標的滲透,完成收網
目前,根據奇安信CERT的統計,已經完成作戰任務二的目標機構,至少有200家。一旦發起第三階段作戰,就意味着他們擁有這200個組織的“上帝之手”……
這200家受害的重點機構,覆蓋了美國、加拿大、日本、比利時、荷蘭、澳大利亞等,多為發達國家。在行業分佈上,包括國防科技、政府、醫療服務、教育、金融、食品等關鍵基礎商業。
奇安信CERT測算,針對200家重點機構進行定點滲透,就代表着有200個攻擊小組。保守估計,第三階段的作戰人數可能為數百人。
一個細思極恐的細節和一個終極懸念
細節:新冠疫情大幅提升了攻擊成功率
奇安信CERT發現,此次網絡攻擊的行為與新冠疫情的爆發存在重合的時間窗口。SolarWinds官網顯示,在新冠疫情期間,其開啓了遠程辦公,並宣稱支撐全球客户進行線上辦公。
今年2月、3月後新冠疫情在全球蔓延,加速了全球數字化進程,很多公司和機構將業務從線下轉移到線上。
奇安信CERT整理相關時間軸,攻擊者在2020年2月26日更新了核心控制域名的NS記錄,該記錄被認為是本次行動的樞紐,圖示如下:
終極懸念:還有多少個“SolarWinds”?
SolarWinds表示,早在今年3月,該公司客户就在不知情的情況下安裝了惡意軟件,該惡意軟件是植入到一款名為Orion的軟件產品發佈的看似無害的例行更新中。而就是這款Orion的軟件產品,成了此次APT攻擊的傳送帶。
“還有多少未被發現的‘SolarWinds’,誰會是下一個被發現的‘SolarWinds’?隱藏在冰山下的APT攻擊,規模究竟有多大,輻射範圍有多廣?”這一切問題,尚無法知曉。“唯一確定的是,APT攻擊安全威脅,比我們想象要嚴重的多。我們看到的遠遠少於所有的可能性。”rem4x@A-TEAM表示。
