過去一周，業界對SolarWinds黑客攻擊的關注主要集中在美國聯邦政府部門，但是根據工控系統安全公司Dragos的最新報告，SolarWinds惡意軟件還感染了電氣、石油和制造行業的十多個關鍵基礎設施公司，這些公司也都在運行SolarWinds公司的軟件。

Dragos公司首席執行官羅伯·李說，除了關鍵的基礎設施公司之外，SolarWinds軟件還感染了為這些公司提供服務的三家設備制造商。

威力巨大的“雙供應鏈攻擊”

黑客在SolarWinds Orion植入木馬化后門的做法本身屬于軟件供應鏈攻擊，這種攻擊威力巨大，可以“以點帶面”，輻射數以萬計的政府部門和企業。而針對美國關鍵基礎設施OEM制造商的攻擊，則屬于產業供應鏈攻擊，能夠針對性地輻射到OEM供應商的所有客戶（關鍵基礎設施）。這種軟件供應鏈與產業供應鏈疊加的“雙供應鏈攻擊”，使得SolarWinds惡意軟件成為美國關鍵基礎設施迄今面臨的最嚴峻的網絡安全危機。

關鍵基礎設施的服務公司在業內被稱為原始設備制造商（OEM）。他們往往可以遠程訪問客戶網絡的關鍵部分，擁有能夠更改網絡配置、安裝新軟件甚至控制關鍵操作的特權。這意味著入侵OEM設備供應商的黑客可能會利用獲取帶賬戶憑據來控制關鍵的客戶流程。

“設備制造商對客戶網絡帶（雙向）訪問，通常用于控制渦輪機之類的敏感設備，可（被黑客）用于破壞行動，”羅伯·李說道。“但是，黑客僅僅獲取訪問權限并不意味著他知道該做什么或如何做。這并不意味著他們可以關掉電閘。（獲取訪問權）之后，黑客如果想實施破壞還需要做更多的事情。”

但是，入侵OEM設備制造商確實會放大基礎架構的潛在風險。

國家安全局前關鍵基礎設施威脅情報分析師Lee說：“尤其令人擔憂的是…入侵一個OEM設備制造商，可能會為黑客打開進入數千個組織的大門。”“例如，受到攻擊的兩家OEM設備制造商可以訪問全球數百個工控系統網絡。”

Lee指出，在某些情況下，OEM設備制造商不僅有訪問客戶網絡的權限，實際上還直接通過SolarWinds軟件感染了客戶。因為這些設備制造商不僅在自己的網絡上使用SolarWinds，還將其安裝在客戶網絡上以管理和監視工控系統網絡，很多客戶甚至對此毫不知情。

SolarWinds在3月遭到入侵，軟件更新被木馬化，攻擊者能夠訪問任何下載這些更新的用戶的網絡。美國政府官員（例如國務卿蓬佩奧）已將這次入侵與俄羅斯聯系起來。

網絡安全公司FireEye的安全研究人員將這個木馬后門命名為SUNBURST（日爆）。

FireEye首席執行官凱文·曼迪亞（Kevin Mandia）表示，攻擊者只進入了被后門感染的數千個實體中的約50個。

Lee說，關鍵基礎設施領域的感染不僅發生在公司的IT網絡上，而且有時還發生在管理關鍵功能的工業控制系統網絡上。

但是，目前沒有證據表明黑客利用SolarWinds軟件中的后門來訪問被感染了的15個電力、石油、天然氣和制造企業。但是Lee指出，如果攻擊者確實訪問并滲透進入了工業控制系統網絡，人們也很難發現，因為關鍵基礎架構實體通常不會對其控制系統網絡進行大量的日志記錄和監視。

“在這些ICS網絡中，大多數組織都沒有（足夠的）數據和可見性來真正尋找漏洞，”Lee說。“因此，他們可能會確定自己是否受到威脅，但是幾乎沒有受害企業有網絡日志可用來確定（他們的網絡中）是否存在后續攻擊活動。”

Lee進一步說，所有受感染的企業“都已假設受到威脅，并在進行必要的威脅搜尋工作”。但是，如果沒有日志記錄，很難跟蹤黑客在網絡中的活動，企業只能通過一些所謂的惡意行為來判斷是否受到威脅。“這是一個深入地下，難以根除的危險對手。”

如果黑客使用受感染的OEM設備制造商的憑據和特權訪問進入，則客戶想要發現黑客的活動可能更加困難，因為很多流量和活動看起來是合法的。

據悉，Dragos公司已經通知三個被感染的OEM設備制造商，以及有關政府官員和當選總統喬·拜登的新政府。美國國土安全部網絡安全和基礎設施安全局（CISA）上周發布的警報指出，美國的關鍵基礎設施實體受到SolarWinds木馬化軟件的威脅，但沒有具體指出受影響的行業，也沒有指出包括關鍵基礎設施的OEM設備供應商。

參考鏈接：https://new.qq.com/omn/20201228/20201228A089AY00.html

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:安全牛

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明