当局在世界范围内谨慎使用IT管理工具Orion
全球网络安全当局在对A的供应链攻击后发出了警告我们软件提供商被认为负责上周的FireEye Hack。
网络威胁检测公司上周揭示它遭受了攻击在其系统中导致盗窃其红色团队工具。
该公司将事件归咎于民族国家黑客,因为安全界被谣言所困扰俄罗斯网络犯罪团伙APT29- 或舒适的熊 - 负责。
APT29是一个与一个或多个俄罗斯情报机构,特别是外国情报服务(SVR)和联邦安全服务(FSB)的黑客群体。
恶风
上周成为全球头条新闻的火灾事件现已确定供应链攻击通过潜伏在Solarwinds的Orion软件中的特洛伊木马传播。
一个热五次已发布,预计明天(12月15日)将有进一步的补丁。
集中式监视和管理工具Orion通常用于在企业网络上跟踪服务器,工作站,手机和物联网设备。
除了美国政府的几个客户和美国军方的所有五个分支机构外,美国财富500强的425个也使用了Solarwinds的服务。
该公司的客户中也有数百所全球大学的大学和大学。
著名的Solarwinds客户包括五角大楼,NASA,司法部和美国总统办公室等几个美国联邦机构。
全球预警
尽管有人建议该事件有有针对性的美国联邦机构特别是,来自全球的多个政府网络安全中心也借此机会警告自己的公民。
新西兰计算机应急响应团队(CERT NZ)建议SolarWinds用户要应用HotFix并“考虑立即隔离这些服务器……确保不允许进行互联网流出,直到可以修补和保护服务器为止”。
该机构还表示,它一直在与国际合作伙伴进行讨论,还表示,Solarwinds客户还应将密码更改为Orion服务器可访问的任何基础架构,以作为额外的预防措施。
英国国家网络安全中心(NCSC)今天说(12月14日)它正在与Fireeye及其“国际合作伙伴”“紧密合作”。
一位发言人补充说:“调查正在进行中,我们正在与合作伙伴和利益相关者进行广泛合作,以评估英国的任何影响。
“ NCSC建议组织阅读FireEye的调查更新,并遵循该公司建议的安全缓解。”
此外,澳大利亚网络安全中心(ACSC)将警报标记为“高”状态,敦促Orion用户遵循缓解Solarwinds和火EEYE。
“不可接受的风险”
同时,美国网络安全和基础设施安全局(CISA)发布紧急指令指示所有美国联邦机构审查其网络是否有妥协的迹象,并立即断开所有Solarwinds产品的连接。
CISA代理总监布兰登·威尔士(Brandon Wales)表示:“ Solarwinds的Orion Network Management产品的妥协为联邦网络的安全带来了不可接受的风险。”
“今晚的指令旨在减轻联邦民用网络内的潜在妥协,我们敦促我们所有的合作伙伴(在公共和私营部门)评估他们对这一妥协的暴露,并确保其网络免受任何剥削。”
背景谁在APT29背后?我们对这个民族国家网络犯罪集团的了解
据信,仍在进行的供应链攻击运动早在2020年春季就可以开始。
网络安全记者金·泽特(Kim Zetter)推文:“黑客在三月做到这一点,直到最近才发现他们的活动 - 这意味着他们在这些月中一直在gov [政府]系统中窃取数据并监视政府工人,直到现在到目前为止。
“他们还感染了电信和其他公司网络。”
特洛伊木马访问
FireEye的专家表示,黑客通过注射的特洛伊木马访问了受害者的网络,该特洛伊人注入了Solarwinds Orion IT监控和管理软件的更新。
在妥协Solarwinds网络之后,黑客将恶意代码注入了软件的受信号。这打开了一个后门,警告肇事者他们可以访问。
此后,恶意演员能够访问Solarwinds的客户系统并窃取数据。
Fireeye将Trojanized恶意软件追踪为“朝阳”。关于如何找到恶意软件的更详细报告在FireEye的博客上。
