圖片來源: 

SolarWinds

美國證券交易委員會(SEC)周一(10/30)控告了在2020年被駭的SolarWinds,指控SolarWinds與該公司的資訊安全長Timothy Brown詐欺與內控失靈,違反《證券交易法》。

SolarWinds為一專門開發網路、系統與IT管理軟體的美國業者,旗下的IT監控平臺Orion在2020年12月傳出遭到駭客滲透,駭客入侵了Orion的更新機制,於特定的Orion版本中植入了Sunburst木馬程式,藉以危害採用Orion的組織,根據SolarWinds當時的估計,在3.3萬家Orion客戶中,有1.8萬家安裝了含有Sunburst的Orion,涵蓋最早揭露此事的資安業者FireEye,以及眾多的美國聯邦組織,再加上微軟、思科、英特爾及Nvidia等。

此外,資安社群還發現,應有其它駭客組織也駭進了SolarWinds,因為它們在Orion中找到了第二個木馬程式Supernova。一般認為,Sunburst木馬程式來自於俄羅斯駭客組織Cozy Bear,而Supernova則來自中國駭客組織Spiral。

微軟總裁Brad Smith隔年接受《60 Minutes》節目專訪時,將此一攻擊事件稱為全球史上規模最大也最高明的攻擊行動,還說參與攻擊SolarWinds行動的工程師鐵定超過1,000名。

這起攻擊事件令SolarWinds股價在意外發生的3天內下滑了25%,在該月下滑了35%,並遭到股東的集體訴訟,SolarWinds在去年11月以2,600萬美元與股東們和解,繼之即迎來了SEC的訴訟。

SEC指出,SolarWinds至少從2018年10月公開發行,到2020年12月遭到Sunburst攻擊期間,SolarWinds與Brown對外都誇大了該公司的資安措施,同時低估或者是未揭露已知的安全風險。

SEC之所以會這樣認為,是因為調查發現,SolarWinds內部工程師在2018年就曾警告,該公司的遠端存取設定不是很安全,成功利用該漏洞的人很可能在未被察覺的情況下為所欲為,進而造成SolarWinds在財務與聲譽上的損失。而Brown自己也曾多次於內部簡報中提醒,內部安全機制使得該公司的關鍵資產處於非常脆弱的狀態,對於關鍵系統與資料的存取權限是不合理的。

而在Sunburst攻擊行動被揭露的前幾個月,SolarWinds更是知道內部的資安問題重重。例如SolarWinds在2020年6月就曾調查一項針對該公司客戶所發動的網路攻擊,當時Brown即說,駭客可能一直企圖利用Orion軟體來發動更大規模的攻擊行動,因為該公司的後端並不那麼有彈性;同年9月,Brown並曾於內部表示,上一個月所發現的安全問題數量,已經超過了工程團隊可以解決的能力。

SEC認為,多年來SolarWinds與Brown不斷地忽視該公司網路風險的危險訊號,而且他們不但不解決這些安全漏洞,還選擇對外描繪於安全管控上的美好虛假景像,誤導了投資人。

熱門新聞

Advertisement