川普:SolarWinds攻擊被媒體誇大了

川普並未說明駭客對SolarWinds產品發動供應鏈攻擊,以滲透其他採用組織的細節,但彭博社報導至少有200家全球公私部門遭到這波APT攻擊

日前傳出國家級駭客藉由入侵SolarWinds Orion Platform的軟體構建系統,滲透到美國各大政府機構與全球組織,而美國總統川普(Donald Trump)週日(12/20)首度對此事發表看法,卻是批評那些「假新聞媒體」(Fake News Media)誇大了該攻擊的嚴重程度,指出一切都在美國的掌控下。

川普並未說明何謂「被誇大」,但根據彭博社引述1家資安業者及3名熟悉此一駭客事件的消息來源報導,至少有200家全球的政府機構與企業遭到攻擊,而當中應該包含了微軟於日前揭露的逾40家客戶。

此外,就在資安業者與全球媒體把攻擊指向俄羅斯時,川普也說,大家遇到任何意外時率先就會懷疑俄羅斯,但其實也可能是中國。

不過,微軟在說明此一安全意外時,不只多次暗示俄羅斯工程師具備這​​類的攻擊能力,也曾發動類似的攻擊,還說將在未來幾週提供更多有關攻擊來源的確切證據。

微軟持續公佈SolarWinds攻擊行動的細節,指出有證據顯示駭客從去年10月就在測試如何在Orion Platform上嵌入程式碼,而且駭客力求低調,不只是所植入的木馬程式非常的輕巧,在成功進駐受害系統之後,還會進行一系列的檢查,以確定它的確是在攻擊目標的系統上運作,而非分析師的機器。

從微軟揭露的駭客入侵流程圖上可看出,駭客是先在合法軟體(Orion Platform)上的DLL元件注入惡意程式碼,確定攻擊目標後開始蒐集系統資訊,再與C&C伺服器聯繫以取得攻擊指令,包括竊取憑證、擴張權限,或是橫向移動等。

儘管該攻擊行動從今年3月就已展開,但一直到12月才被發現,躲過了美國斥資數百億美元建造的網路攻擊防禦系統Einstein。華爾街日報則報導,此一攻擊行動被識破,有賴於FireEye的一名員工與安全團隊在前幾週,同時收到了一個自動傳遞的安全警報,原因是有人在一臺陌生的裝置上,以員工的憑證登入了FireEye的VPN網路,這類的警報訊息通常會定期被移除,卻碰巧被注意到了,此外,若非資安業者FireEye先發現自己遭駭,被駭的美國聯邦機構可能還不知不覺。

文章來源:iThome

Scroll Up