2020年12月13日,美国网络安全公司FireEye与美国国土安全部网络安全与基础设施安全局(CISA)联合披露了一起震惊全球的超级供应链攻击事件——国家级黑客组织在SolarWinds公司Orion IT管理平台的软件更新中植入了后门程序”Sunburst”,导致全球约1.8万家企业与政府机构在毫不知情的情况下将攻击者”请入”内部网络。
攻击链路:合法更新通道成为入侵走廊
SolarWinds Orion是全球广泛使用的IT基础设施监控与管理平台,其客户涵盖美国绝大多数联邦政府机构和《财富》500强企业。攻击者通过入侵SolarWinds的软件开发环境,在Orion平台的合法更新包中嵌入了经过数字签名的恶意动态链接库。这一手法极为隐蔽:用户接收到的更新文件拥有SolarWinds合法数字签名,所有杀毒软件和安全网关均将其视为可信内容放行。恶意模块在目标环境中静默潜伏长达两周后,才通过复杂的DNS隧道技术与攻击者的指挥控制服务器建立加密通信,将窃取的敏感数据逐段外传。CISA在紧急指令中将其定义为”自奥巴马时代以来美国面临的最严峻网络安全危机”。
波及范围:九大联邦部门、科技巨头无一幸免
事后调查显示,受害名单的广度和深度令人震惊。美国财政部、商务部、国防部、国土安全部、能源部、国务院、司法部以及白宫国家安全委员会均确认受到不同程度入侵。全球科技巨头微软、思科、英特尔、英伟达同样在受害行列。美国情报机构经长时间溯源后,公开将此次攻击归因于俄罗斯对外情报局(SVR)下属的APT29组织(亦名”Cozy Bear”)。虽然实际受到深度渗透并造成敏感数据外泄的客户数量远少于安装总量,但攻击者在关键目标网络中潜伏时间之长、窃取数据之敏,至今未能完全公开评估。
供应链安全的”范式革命”
SolarWinds事件以惨烈的方式向全球网络安全行业证明了一个曾被反复警告却始终未获足够重视的真理:在软件供应链的时代,任何一环的失守都可能引发灾难性的全局崩溃。事件后,美国政府紧急发布《改善国家网络安全》行政令,强制要求联邦供应商推行零信任架构、软件物料清单(SBOM)和持续安全审计。全球范围内的企业安全团队也被迫重新审视一个根本性问题——”你信任的软件,你究竟了解多少?”正如一位资深安全专家在行业会议上所感叹的:”SolarWinds不是一次攻击,而是数字时代安全范式的一次集体觉醒。从此以后,我们再也没有理由把’信任’放在’验证’之前。”这场供应链安全风暴留下的裂痕,将在未来数十年中持续重塑信息安全的底层逻辑。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- FireEye/Mandiant官方博客:UNC2452供应链攻击披露
- CISA紧急指令(ED 21-01):SolarWinds Orion供应链攻击
- Microsoft安全响应中心:Solorigate内部调查更新
- BleepingComputer:SolarWinds攻击事件全记录
暂无评论内容