SolarWinds聘請CrowdStrike、DLA Piper與KPMG作為此次資安事件的顧問,調查發現,駭客從2019年9月就開始布局,當時SolarWinds曾在內部系統發現可疑行動;同年10月,Orion Platform版本就遭到竄改,似乎是駭客用來測試其嵌入惡意程式碼的能力;而2020年2月釋出的Orion Platform版本便被植入了Sunburst木馬程式。(圖片來源/CrowdStrike)

SolarWinds與資安業者CrowdStrike在本周揭露了SolarWinds Orion Platform供應鏈遭到駭客攻擊的路徑,CrowdStrike發現,該攻擊的源頭為Sunspot惡意程式,而且駭客自2019年9月便開始布局。

SolarWinds聘請了CrowdStrike、DLA Piper與KPMG作為此次資安事件的顧問,調查發現,駭客從2019年9月就開始布局,當時SolarWinds曾在內部系統發現可疑行動;同年10月,Orion Platform版本就遭到竄改,似乎是駭客用來測試其嵌入惡意程式碼的能力;而2020年2月釋出的Orion Platform版本便被植入了Sunburst木馬程式。

CrowdStrike在分析SolarWinds軟體建置伺服器之後,指出駭客精心打造了一個名為Sunspot的惡意程式,將它植入Orion Platform的更新套件中,Sunspot內建許多防護機制,以確保Orion Platform版本不會因此而故障,並讓Sunspot不被任何偵測系統察覺,同時避免SolarWinds開發者發現Sunspot的存在。

而Sunspot的主要功能為偵測Orion產品的編譯程序,再伺機把Orion Platform的其中一個檔案置換成含有Sunburst木馬程式的檔案。

SolarWinds指出,Sunburst攻擊行動可能是史上最複雜也最精密的網路攻擊,駭客同時繞過了由SolarWinds、私人企業與政府機構所建立的多種威脅偵測機制,在Sunburst進入了SolarWinds客戶的IT網路之後,還能躲過這些受害者環境中的防火牆與安全控制。

SolarWinds亦強調,該公司所使用的軟體開發與建置程序對整個軟體產業來說是很普遍的,相信分享該公司被駭的程序將能協助軟體產業於未來建置更安全的環境。此外,雖然資安專家的共識是相關攻擊來自外國政府支持的駭客行動,但迄今仍無法確認駭客的身分與來源。

熱門新聞

Advertisement