美国核安全管理局和微软均遭 SolarWinds 黑客攻击

路透社报道称，微软也遭攻陷，并提到或者是通过 Orion 或其它手段实现。报告指出，国土安全部告警称疑似APT29找到多种方式入侵多种组织机构。

虽然微软的公关负责人 Frank Shaw 证实称自身为 SolarWinds 得用户且已安装受污染的 Orion 更新版本，但表示目前未发现生产系统和客户数据遭访问的证据。他同时否认了关于微软被诱骗攻击自身客户的新闻报道，“和其它 SolarWinds 客户一样，我们正在主动寻找攻击者的指标，而且可以证实在环境中检测到了恶意的 SolarWinds 二进制，已将其隔离并删除。我们未发现生产服务或客户数据遭访问的证据。目前调查正在进行中，目前并未找到关于我们系统被滥用于攻击他人的指标。“

希望这一声明意味着微软的非生产系统如内部开发和测试网络、后勤部门等并未遭恶意人员访问，以及希望这种证据缺乏的情况并不代表黑客不仅删除了攻击痕迹，而且在攻击过程中并未留下任何痕迹。换句话说，这份官方声明仅说明安装了带有后门的 Orion 更新，以及并未造成任何后果，而并未说明这次入侵的影响范围和造成的影响。

路透社的一名消息来源人士指出，黑客“利用微软的云服务，同时避开了微软的企业基础设施。“

微软总裁 Brad Smith 指出，员工“已经找到并在本周着手通知40多名客户称除了受污染的 Orion 更新外，攻击者还更精准地攻击目标并通过其它更复杂的措施攻陷目标。”

同时，Politico 报道称，美国政府能源部国家核安全管理局遭 Orion 后门感染。据称，可疑的网络活动出现在联邦能源监管委员会、新墨西哥州和华盛顿州的桑迪亚和洛斯阿拉莫斯国家实验室、核管理部门的安全运输办公室以及能源部的里奇兰驻地办事处。

美国能源部的一名发言人指出，“目前调查发现，该恶意软件仅隔离在业务网络，并未影响该部门至关重要的国家安全功能，如国家核安全管理局。”

The Intercept 报道称周四，德克萨斯州奥斯汀市遭到疑似俄罗斯黑客的攻击。这一消息耐人寻味，因为最近多家技术公司如甲骨文和惠普企业 (HPE) 均表示正在将公司总部迁至该州。

SolarWinds 的 Orion 软件客户至少为30万名，包括美国和英国政府机构、财富500强等等。据称约1.8万名客户已下载并安装了遭恶意篡改的更新。该事件可能对所有人造成影响并将很多情报、邮件和其它数据疑似传至俄罗斯。

火眼公司指出，正在和 GoDaddy 和微软激活混入 Orion 更新的后门中的远程 killswitch。微软消息来源人士已证实此事。

火眼公司指出， 当 Orion 的后门版本运行时，会查找硬编码域名 avsvmcloud[.]com 的 IP 地址。后门 SUNBURST 会根据结果禁止激活。因此，微软控制该域名后以及在 DNS 巨头 GoDaddy 的帮助下，这三家公司通过确保该域名解析到禁止激活代码 IP 地址而杀死该恶意软件。该 killswitch 类似于 WannaCry 的 killswitch。

火眼公司的一名发言人指出，“火眼分析 SUNBURST 时发现可疑阻止 SUNBURST 继续运营的 killswitch。根据恶意软件解析 avsvmcloud[.]com 返回的 IP 地址，在某些条件下，恶意软件将终止自身并阻止进一步的执行。火眼和 GoDaddy 以及微软合力阻断了 SUNBURST 感染，”该 killswitch 将通过禁用仍然解析到 avsvmcloud[.]com 的 SUNBURST 部署影响新的和之前的 SUNBURST 感染。然而，从火眼所看到的入侵活动中，恶意人员快速建立其它持久机制，访问除了SUNBURST 后门以外的受害者网络。该 killswitch 将不会在设立其它后门的受害者网络中删除该恶意人员。然而，它将使恶意人员利用此前分发的 SUNBURST 版本。“

因此，如果安装了木马化的 Orion 版本，则在更新至非恶意的干净版本且知道 Killswitch 开启后不能认为万事大吉。我们必须在网络中检查是否存在后续感染或被植入后门。

周四，美国网络安全和基础设施安全局 (CISA) 发布警告称 SolarWinds 并非美国服务器被疑似 APT29 组织攻陷的唯一方式。该机构已检测到多起入侵事件，其中某些的持久性很强，至少始于今年3月份，且并非都涉及 SolarWinds。CISA 指出，“对手展示出利用软件供应链的能力以及具备的深厚的 Windows 网络知识。攻击者可能拥有其它我们并未发现的初始访问向量和 TTPs。CISA 将继续更新告警以及妥协指标。“

至于如何应对 SolarWinds 灾难，CISA 建议管理员注意恶意的 SAML 令牌。最高为24小时的长期令牌（而非通常的1小时）尤其值得怀疑，因为它们被创建后不久就会被使用。如存疑，则推荐替换整个身份系统，“仅缓解单个问题、系统、服务器或具体的用户账户可能无法将攻击者从网络中删除。在这种情况下，组织机构应当认为整个身份信任存储被攻陷。即使整个身份系统遭攻陷，完全重建身份和信任服务就能成功缓解该问题。在重构中，值得再次强调的是，威胁组织是最具能力的之一，而且在很多请看下，完全重构环境是最安全的动作。“

NSA 也发布了关于 SAML 令牌和基于微软 Azure 认证系统的类似建议。