击穿美政府网络、影响核安全，金链熊攻击令多少美国机构沦陷？

根据多方媒体报道汇总，目前新确认感染SolarWinds木马化版本的美国联邦政府机构包括美国国务院、国防部、国土安全部、能源部国家核安全局、美国国立卫生研究院等。路透社报道称微软内部也被感染，旗下产品被用于攻击客户，但微软否认了产品遭到滥用。

美国国土安全部网络安全与基础设施安全局（CISA）表示，本次针对美国政府机构发起大规模攻势的APT组织曾使用多种初始访问媒介。

“CISA目前掌握的证据显示，除SolarWinds Orion平台之外，还存在其它初始访问媒介。我们仍在对这些媒介进行调查，后续将持续更新通报。”

“并非所有使用SolarWinds Orion平台提供后门的组织都成为了攻击者下一步计划的目标。”

难以从受感染网络中彻底清除

根据CISA方面介绍，该APT组织长期对受感染组织网络实施入侵，发起此次黑客攻击的幕后团伙，很有可能还使用到其它未被发现的战术、技术与程序（TTPs），这也是他们当前调查工作中的关注重点。

CISA目前正在调查一些与SolarWinds攻击同期出现的其它事件，“包括一部分并未使用SolarWinds Orion，或者使用了SolarWinds Orion但并未发现相关入侵活动的受害者。”

CISA发布的AA20-352A警报补充道，“CISA已经确认此次威胁已经给从联邦到地区自上而下的政府机构，乃至一系列关键基础设施实体与私营部门组织构成了严重风险。”

“该APT团伙在本次攻击行动中展现出极大的耐心、行动保障能力以及和极为复杂的技术手段。CISA认为若想将该恶意攻击者从受威胁环境中彻底清除，对各组织而言将是一项极为复杂且极具挑战的任务。”

警报还提到了其它技术细节，包括本轮攻击中使用的初始感染媒介，战术、技术与程序（TTPs），缓解措施以及危害指标等信息。

美国政府正式确认此次入侵事件

美国联邦调查局（FBI）、国家情报局局长办公室（ODNI）与CISA在12月16日联合发布声明，首次正式确认SolarWinds违规事件造成多个美国联邦政府机构的网络遭受入侵。

它们表示，“事态仍在不断发酵，我们将继续努力调查此次事件的全部影响范围。而且目前可以肯定，联邦政府的内部网络已遭到入侵。”

微软、FireEye和GoDaddy已经合作为SolarWinds后门的控制域名创建了一个“终止开关”，旨在迫使该恶意软件从受感染网络当中进行自我删除。

此后门被微软方面命名为Solarigate，FireEye则将其称为Sunburst（日爆攻击）。目前该后门已经通过SolarWinds的自动更新机制被分发至大约18000家客户的系统当中。

国内安全公司奇安信分析称，截止12月16日，已确认受害的重要机构至少200家，波及北美、欧洲等全球重要科技发达地区的敏感机构，其中美国占比超过60%。研究人员认为，执行该攻击行动的是一个数百人的集团化组织，并将其命名为“金链熊”。

截至目前，综合多家媒体报道显示，受此事件影响的美国政府机构包括美国国务院、国防部、财政部、国土安全部、能源部国家核安全局、商务部国家电信与信息管理局、美国国立卫生研究院等。

原文链接：

https://www.bleepingcomputer.com/news/security/cisa-apt-group-behind-us-govt-hacks-used-multiple-access-vectors/

https://www.theregister.com/2020/12/18/solarwinds_nnsa_microsoft_cisa/

https://www.reuters.com/article/global-cyber-microsoft-int/exclusive-microsoft-breached-in-suspected-russian-hack-using-solarwinds-sources-familiar-idUSKBN28R3BW

https://nypost.com/2020/12/15/russian-hackers-hit-dhs-dod-nih-state-department/

声明：本文来自互联网安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。