美国司法部披露,自身是SolarWinds事件的少数重大受害者之一。黑客已经启用SolarWinds后门实施了第二阶段行动,向司法部内部邮件系统渗透。
12月11日,美国司法部在纽约召开新闻发布会。
美国司法部今天证实,SolarWinds供应链攻击背后的黑客试图入侵其IT系统,包括启用SolarWinds Orion软件后门中的木马访问权限,借此遍历司法部内部网络、甚至窃取到部分员工的电子邮件账户。
司法部发言人Marc Raimondi在今天发布的简短声明中指出,“目前,受到非授权访问的Office 365邮箱占比约为3%左右,还没有迹象表明我们的机密系统因此受到影响。”
根据估计,美国司法部员工总数约在100000到115000人之间,因此邮件账户受到影响的人数约为3000至3450人。
司法部还提到,其目前已经成功阻断了攻击者的进入点。
除司法部之外,还有多家企业及政府机构公开承认已经受到SolarWinds供应链攻击的影响,其中包括:
美国财政部
美国商务部国家电信与信息管理局(NTIA)
美国卫生署国立卫生研究院(NIH)
美国网络安全与基础设施局(CISA)
美国国土安全部(DHS)
美国国务院
美国国家核安全局(NNSA)
美国能源部(DOE)
三个州一级政府
奥斯汀市
数百家企业,包括思科、英特尔、VMware等
SOLARWINDS入侵属于俄罗斯情报活动的一部分
SolarWinds供应链攻击曝光于2020年12月14日,微软与FireEye确认称黑客团伙得以访问IT软件厂商SolarWinds的内部网络,进而在Orion软件与IT监控平台的多个更新包中安插了恶意软件。
先后约18000家私营企业与政府机构下载了这些包含木马的Orion更新,并感染了Sunburst(Solorigate)后门木马。
但在之后的跟踪分析中,安全厂商与美国各网络安全机构发现,对方仅对少数受到感染的目标发起进一步入侵。
在进一步入侵的过程中,该黑客团伙使用名为Teardrop的第二阶段恶意软件控制本地网络,再以此为支点入侵受害目标的云与邮件基础设施,借此收集大量的第一手情报。
美国FBI、CISA、ODNI与NSA昨天发表联合声明表示,SolarWinds供应链攻击归因于高级持续威胁(APT)攻击者,且很有可能来自俄罗斯。
四大机构将整个SolarWinds事件定性为“情报收集工作”,强调对方的目标并不在于破坏或颠覆美国的IT基础设施。
原文链接:
https://www.zdnet.com/article/solarwinds-fallout-doj-says-hackers-accessed-its-microsoft-o365-email-server/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
