SolarWinds已釋出可防範Supernova及Sunburst攻擊的Orion Platform 2019.4 HF6與Orion Platform 2020.2.1 HF2。

安全廠商卡巴斯基昨(27)日指出,SolarWinds供應鏈攻擊波及甚廣,除了美國政府外,也有近2千家企業遭到當中後門程式感染,其中工業類廠商占了600家以上,也包括臺灣企業。

近2個月前爆發疑似俄羅斯駭客利用SolarWinds的Orion更新機制,在用戶網路上植入後門程式Sunburst。技術研究顯示,攻擊者在植入Sunburst後展開第二階段攻擊。至於受害單位,雖然SolarWinds在事發之初曾估計約有1.8萬家企業及政府客戶內部網路可能有此惡意程式,關於災難範圍以及第二階段工具部署的情況資訊卻很少。

為了了解有多少企業使用了有被植入後門的SolarWinds,卡巴斯基分析了公開取得及來自第三方名單裏,由Sunburst網域名產生演算法(DomainName Generation Algorithm)產生的內部網域名稱。最終得到可解碼、可歸戶的網域名有近2000家,研究人員相信這些可能就是遭到Sunburst入侵的企業組。

分析這些企業產業別,顯示製造、工程及能源等工業類公司占了32.4%,約600多家。進一步細分,又以製造業最大宗,占了總數(近2千家)的18.11%,意謂著有超過300家企業受害,遠遠超過其他產業如航太業、工程、資訊、能源及礦業的比例。

研究人員也根據遙測資料分析使用者資訊,顯示20多家企業內安裝了有被植入後門程式的SolarWinds應用系統。分別位於製造業、運輸、公用、營建、礦業及能源業。

卡巴斯基指出,這近2000家工業公司遍及美洲、非洲及亞太地區,包括美國、臺灣、荷蘭、俄羅斯、墨西哥、智利、印尼、沙烏地阿拉伯等。

卡巴斯基指出,全球各種產業許多系統都有整合SolarWinds軟體,雖然目前資料還沒有證據顯示攻擊者有利用這些系統發動攻擊,但由於有資料顯示一些產業可能已淪為第二階段攻擊受害者,因此不能排除有可能SolarWinds駭客會在某些產業內擴大活動。

研究人員也呼籲企業檢查網路環境下是否有被感染的SolarWinds軟體版本,包括2019.4 HF 5、沒有hotfix 的2020.2及 2020.2 HF1及檢查有無可能的入侵指標(indicator of compromise)。

熱門新聞

Advertisement