SolarWinds在2020年被駭是因長期忽略內部安全風險，遭美國SEC提告

美國證券交易委員會（SEC）周一（10/30）控告了在2020年被駭的SolarWinds，指控SolarWinds與該公司的資訊安全長Timothy Brown詐欺與內控失靈，違反《證券交易法》。

SolarWinds為一專門開發網路、系統與IT管理軟體的美國業者，旗下的IT監控平臺Orion在2020年12月傳出遭到駭客滲透，駭客入侵了Orion的更新機制，於特定的Orion版本中植入了Sunburst木馬程式，藉以危害採用Orion的組織，根據SolarWinds當時的估計，在3.3萬家Orion客戶中，有1.8萬家安裝了含有Sunburst的Orion，涵蓋最早揭露此事的資安業者FireEye，以及眾多的美國聯邦組織，再加上微軟、思科、英特爾及Nvidia等。

此外，資安社群還發現，應有其它駭客組織也駭進了SolarWinds，因為它們在Orion中找到了第二個木馬程式Supernova。一般認為，Sunburst木馬程式來自於俄羅斯駭客組織Cozy Bear，而Supernova則來自中國駭客組織Spiral。

微軟總裁Brad Smith隔年接受《60 Minutes》節目專訪時，將此一攻擊事件稱為全球史上規模最大也最高明的攻擊行動，還說參與攻擊SolarWinds行動的工程師鐵定超過1,000名。

這起攻擊事件令SolarWinds股價在意外發生的3天內下滑了25%，在該月下滑了35%，並遭到股東的集體訴訟，SolarWinds在去年11月以2,600萬美元與股東們和解，繼之即迎來了SEC的訴訟。

SEC指出，SolarWinds至少從2018年10月公開發行，到2020年12月遭到Sunburst攻擊期間，SolarWinds與Brown對外都誇大了該公司的資安措施，同時低估或者是未揭露已知的安全風險。

SEC之所以會這樣認為，是因為調查發現，SolarWinds內部工程師在2018年就曾警告，該公司的遠端存取設定不是很安全，成功利用該漏洞的人很可能在未被察覺的情況下為所欲為，進而造成SolarWinds在財務與聲譽上的損失。而Brown自己也曾多次於內部簡報中提醒，內部安全機制使得該公司的關鍵資產處於非常脆弱的狀態，對於關鍵系統與資料的存取權限是不合理的。

而在Sunburst攻擊行動被揭露的前幾個月，SolarWinds更是知道內部的資安問題重重。例如SolarWinds在2020年6月就曾調查一項針對該公司客戶所發動的網路攻擊，當時Brown即說，駭客可能一直企圖利用Orion軟體來發動更大規模的攻擊行動，因為該公司的後端並不那麼有彈性；同年9月，Brown並曾於內部表示，上一個月所發現的安全問題數量，已經超過了工程團隊可以解決的能力。

SEC認為，多年來SolarWinds與Brown不斷地忽視該公司網路風險的危險訊號，而且他們不但不解決這些安全漏洞，還選擇對外描繪於安全管控上的美好虛假景像，誤導了投資人。