12 月 13 日，美国财政部和商务部等机构遭到攻击，可能会影响到 18,000 个用户。FireEye 和 Microsoft 的分析指出，这是涉及 SolarWinds Orion 软件的供应链攻击，美国网络安全和基础架构安全局(CISA)发布了紧急指令，指示非军事政府系统停止运行该软件。

之后，包括英国媒体路透社、美国媒体华盛顿邮报等在内的多家媒体报道，这可能是来自俄罗斯情报部门 SVR 的攻击，属于间谍活动。俄罗斯驻华盛顿大使馆澄清：有关俄罗斯黑客入侵的报道毫无根据，在信息领域进行攻击的行为与俄罗斯的外交政策和国家利益相矛盾。

什么是 SolarWinds Orion

SolarWinds Orion 是 SolarWinds 网络和计算机管理工具套件的一部分。其功能包括监视、告知用户关键计算机何时停机，还有自动重启服务的功能。该软件可能会被安装在企业最关键的系统上，会在系统故障时阻止工作进程。

SolarWinds Orion 漏洞

分析发现，最早在今年 3 月，有人设法在构建过程中修改了 SolarWinds Orion 软件，包括植入一个特洛伊木马程序，可远程控制安装了 SolarWinds Orion 的计算机。当用户安装最新版软件时，该木马开始在受害者的计算机上运行，这被称为是软件“供应链攻击”，受害者直接或间接地从 SolarWinds 接受了 Orion 软件的污染副本。

该木马进行后门攻击。SolarWinds.Orion.Core.BusinessLayer.dll 是 Orion 软件框架的 SolarWinds 数字签名组件，包含一个后门，该后门通过 HTTP 与第三方服务器进行通信。

植入木马之后，会有长达两个星期的初始休眠期，然后它会检索并执行称为“Jobs”的命令，这些命令包括传输文件，执行文件，对系统进行文件配置，重新引导计算机以及禁用系统服务的功能。恶意软件伪装成 Orion 改进程序(OIP)协议的网络流量，并将侦察结果存储在合规的插件配置文件中，使其能够与常规 SolarWinds 活动混淆，不易识别，进而使攻击者可以远程操控计算机。

微软对攻击者行为的分析表明，即使删除了 SolarWinds 后门，攻击者也可能会继续拥有整个目标网络的访问权限。现在，受到攻击的机构正在重构网络。

本文转自OSCHINA

本文标题：黑客利用 SolarWinds Orion 漏洞攻击美多个机构

本文地址：https://www.oschina.net/news/123794/solarwinds-breach-attack-the-u-s-treasury-department

相关文章

• 

  Cortex 未来网络安全守护者

• 

  11月头号恶意软件：Phorpiex僵尸网络再

• 

  见证行业蓬勃原力，网络安全创新能力10

• 

  CVE-2020-7200：HPE 0day漏洞