“金链熊”已致200多家机构受害,奇安信披露年度最严重APT攻击事件细节
【猎云网北京】12月17日报道
截止12月16日,奇安信CERT已确认至少200家重要机构受害,美国占比超过60%;
奇安信CERT分析认为,执行该攻击行动的是一个数百人的集团化组织,并将其命名为“金链熊”;
华尔街日报称,美国将该网络间谍活动确定为最高等级。
美国国家安全事务助理罗伯特•奥布莱恩当地时间15日缩短了他的出访行程,从巴黎紧急返回华盛顿,以协调处理“美国政府机构遭遇网络攻击”事件。
根据奇安信CERT对该事件的持续追踪分析,截止12月16日,已确认受害的重要机构至少200家,波及北美、欧洲等全球重要科技发达地区的敏感机构,其中美国占比超过60%。同时发现,执行该行动的可能是一个数百人的集团化组织。
受害机构中,美国占比超过60%
针对此次攻击事件,微软宣布,从北京时间12月17日0点开始,Microsoft Defender 软件将开始阻止已知的恶意SolarWinds安装文件。同时,据外媒 ZDNet 报道,微软已查封在本次事件中扮演核心角色域名所在的服务器。
奇安信CERT分析发现,核心域名被指向一个微软公司拥有的IP地址,根据攻击样本的预制指令,所有受害者的相关攻击活动都被即刻终止。
这显然是美国对本次APT事件的紧急反应,据《华尔街日报》等多家美媒报道,如果将网络间谍活动按可能的严重性和对国家安全的影响划分1-10个等级,此次行动的等级能达到10级。美国国土安全部的网络安全和基础设施安全局甚至发出命令说,目前受到的黑客攻击有可能会危及政府系统。
奇安信CERT发现,至少有200家以上的机构被该APT组织采取了行动,受害者遍及北美、欧洲、亚洲和中东地区的政府、科技公司和电信公司,覆盖军工、能源等多个涉及国家安全的行业。截至12月16日,美国已有124家机构遭受到攻击,占比62%。
奇安信CERT安全专家rem4x@A-TEAM认为,这是一场足以影响全世界大型机构的软件供应链攻击。该组织APT攻击具有极大的战略意图,可能是为了长期控制某些重要目标,或者获取足以长期活动的凭据。
执行该行动的是数百人的集团组织
奇安信CERT分析发现,这是一个数百人的集团化APT组织。该组织系统庞大、分工明确、纪律性强、攻击隐蔽,在执行该次任务中,至少包括三个不同职能的行动组织。
奇安信CERT根据他们的攻击手法、样本分析,勾画出该APT组织的作战路线图:“这次攻击有三个作战任务,分别由三个独立的行动组织来完成。”奇安信CERT安全专家rem4x@A-TEAM表示。
作战任务一:入侵供应商,大范围撒网
rem4x@A-TEAM判断,该APT组织攻陷了世界知名网管软件厂商SolarWinds作为入侵目标。该软件在全球有超过200,000个组织中使用,客户包括美国军方的所有五个分支机构、五角大楼、国务院、司法部、美国国家航空航天局、总统执行办公室和国家安全局。
奇安信CERT此前分析,这次APT攻击首先是对SolarWinds旗下的Orion网络监控软件更新服务器进行黑客入侵,并植入恶意代码。目前被污染的SolarWinds软件带有该公司签名,这表明SolarWinds公司内部很可能已经被黑客完全控制。
SolarWinds在声明中也表示:“根据监测,今年3月和6月发布的Orion产品可能已经被秘密地安装在大量高度复杂的、有针对性的目标中。”同时,SolarWinds在向美国证券交易委员会提交的文件中还表示:“大约有18,000个客户下载了木马化的SolarWinds Orion版本”。
作战任务二:实施供应链攻击,精准筛选重点目标
奇安信CERT发现,该组织具有极强的纪律性,对于攻击时机、攻击目标的选择,极富耐心,极其谨慎。
奇安信CERT认为,完成该目标的团队至少需要数十人。这些人员具有高超的代码仿冒能力,植入的恶意代码与SolarWinds产品的代码风格完全一致,完全不同于黑客所写的代码风格,从而成功绕过SolarWinds公司复杂的测试、交叉审核、校验等多个环节将恶意代码植入发布的软件版本之中。
恶意样本植入后,至少要通过8个步骤进行复杂的校验、检查工作才会正式开启供应链攻击,截取部分攻击流程图如下:
接下来,该组织会根据回传的受害者信息,判断是否进行下一步行动,分为终止、等待、行动三个类别,再按照不同对象,分配不同的行动团队。执行该作战阶段的团队至少需要数十人,他们需要完成基础设施维护、攻击框架设计开发、目标甄别筛选等工作。根据奇安信CERT截止到12月16日分析的数据显示,攻击者至少将100家目标排除出了行动类别。
作战任务三:针对特定目标的渗透,完成收网
目前,根据奇安信CERT的统计,已经完成作战任务二的目标机构,至少有200家。一旦发起第三阶段作战,就意味着他们拥有这200个组织的“上帝之手”……
这200家受害的重点机构,覆盖了美国、加拿大、日本、比利时、荷兰、澳大利亚等,多为发达国家。在行业分布上,包括国防科技、政府、医疗服务、教育、金融、食品等关键基础商业。
奇安信CERT测算,针对200家重点机构进行定点渗透,就代表着有200个攻击小组。保守估计,第三阶段的作战人数可能为数百人。
一个细思极恐的细节和一个终极悬念
细节:新冠疫情大幅提升了攻击成功率
奇安信CERT发现,此次网络攻击的行为与新冠疫情的爆发存在重合的时间窗口。SolarWinds官网显示,在新冠疫情期间,其开启了远程办公,并宣称支撑全球客户进行线上办公。
今年2月、3月后新冠疫情在全球蔓延,加速了全球数字化进程,很多公司和机构将业务从线下转移到线上。
奇安信CERT整理相关时间轴,攻击者在2020年2月26日更新了核心控制域名的NS记录,该记录被认为是本次行动的枢纽,图示如下:
终极悬念:还有多少个“SolarWinds”?
SolarWinds表示,早在今年3月,该公司客户就在不知情的情况下安装了恶意软件,该恶意软件是植入到一款名为Orion的软件产品发布的看似无害的例行更新中。而就是这款Orion的软件产品,成了此次APT攻击的传送带。
“还有多少未被发现的‘SolarWinds’,谁会是下一个被发现的‘SolarWinds’?隐藏在冰山下的APT攻击,规模究竟有多大,辐射范围有多广?”这一切问题,尚无法知晓。“唯一确定的是,APT攻击安全威胁,比我们想象要严重的多。我们看到的远远少于所有的可能性。”rem4x@A-TEAM表示。
相关文章
-
那个说中国是“恶龙”的美国疯鹰,突然回咬起美国!
说起皮特·纳瓦罗这个名字,关心中美关系的人应该都听说过。这个对中国的意识形态偏见极为强烈、并曾著书宣称美国“会被中国这个恶龙杀死”的美国政治经济学者,自从成为美国现任总统特朗普的贸易顾问以来,就一直在煽动特朗普对中国采取极端的贸易政策,导致两国的经贸往来不断恶化。不过,在上个月的美国总统大选以特朗普的败选而收场后,一个有趣的事情便随之而来:身为特朗普死硬支持者的纳瓦罗,开始将他对华的那股偏执劲儿 另外,福布斯还发现纳瓦罗所有的指控都是有选择性地只针对民主党赢得的州,而且针对的只是民主党的选民。至于共和党赢...
2020-12-18 14:53:04 美国国是突然 -
“毒瘤”壮大、阶层裂变、政府失能……愤怒的美国靠什么自愈?
如果说,2016年特朗普的当选使国际社会猛然意识到,美国社会分裂程度被严重低估,那么,2020年美国大选则让整个世界开始怀疑:一个如此分裂的美国还能否愈合?2020年11月5日,警察在美国华盛顿白宫附近警戒。图|新华社 造成这种分裂的原因,怎样一步步将美国社会撕裂至此?双脚踏在世界最大经济体土地上的美国人,为何对自身生存状况感到如此不满、愤怒,甚至绝望? 在新的时空条件下,曾让美国人引以为傲的制度“自我修复能力”还能否发挥作用?文 | 柯静 上海社会科学院国际问题研究所编辑 | 李雪 瞭望智库本文为瞭望智...
2020-12-18 14:50:42 毒瘤美国靠什么 -
听说他要成为美国驻华大使,有人急了
今天,美国那些支持现任总统特朗普的保守派政治势力,又获得了一个指控美国当选总统“私通中国”的新材料。这个材料是:有来自美国好莱坞的消息称,曾于2011年时来中国为上海迪士尼乐园奠基的美国迪士尼公司现任执行董事长罗伯特·艾格(Robert Iger,也被称为鲍勃·艾格),可能会出任美国下一任政府的驻华大使。根据美国《国会山报》的报道,这个宣称艾格有可能出任美国驻华大使的消息来自美国一家报道好莱坞影 古代匈奴女子长得年轻漂亮,为何中原男子不愿娶?一缺陷难以忍受 萨达姆死前写下一封“遗书”:内容短短11个字,...
2020-12-18 11:49:59 他要美国急了 -
李新野:旅美华人|美国的腐败令人绝望|2020-12-18
美国政府腐败吗?我的看法:美国政府极度腐败,无可救药。不要以为我在开玩笑,读完这篇文章,你就明白美国的腐败的运行机制了。本文作者:李新野,旅美华人,文章来源网络,内容略有修改,版权归原作者所有。如果说像中国出现的那种“普通人给公务员塞钱,换取公务员让你办事方便”这种直接的腐败,美国是基本没有的。即使零星有,受贿的公务员也会很快被捕,入狱。美国对直接腐败的惩罚十分严苛。我刚到美国的时候,发现美国政府、医院、学校等等所有单位的办事都十分正规。法律规章说什么他们就做什么,不会给你故意找麻烦,更不会跟你吃拿卡要。...
2020-12-18 11:04:24 美国腐败都是 -
齐鲁纵横:《是谁觉醒了中国?》:美国军事作家惊世一问!|2020-12-18
北京时间12月17日1时59分,“采撷月壤”的嫦娥五号荣耀归来,稳稳着陆在内蒙古四子王旗,中国首次月面自动采样返回任务取得圆满成功。与此前的四位“姐姐”相比,嫦娥“五姑娘”无疑是个幸运儿:由于执行自动采样返回任务而拿到了一张珍贵的地月旅行“往返票”。截至目前,世界上只有美国(据说)、苏联的航天器(据说)以及中国探月三期再入返回飞行试验器,成功开展了绕月再入返回试验。来自国家航天局的消息称,作为我国复杂度最高、技术跨度最大的航天系统工程,嫦娥五号任务成功实现了多方面技术创新、突破了一系列关键技术!当然,以第...
2020-12-18 10:59:32 中国美国苏联 -
遏制美国科技巨头,欧盟修订法律要重罚了!
作者:李建秋的世界来源:李建秋的世界(ID:lijianqiudeshijie)周一的时候,欧盟定了两部法律《数字服务法》和《数字市场法》,两部法律主要就是限制互联网巨头在欧盟市场的力量,其中受影响最大的毫无疑问是谷歌,苹果,亚马逊,Facebook。法案包括了:公司可能因违反竞争规则而被处以年营业额10%的罚款。科技巨头可能因“严重且屡次违反法律”而被完全禁止进入欧盟市场。大型科技公司将被指定为互联网的“守门人”,使它们受到更严格的监管公司在任何计划的合并或收购之前通知欧盟。某些类型的数据必须与监管机构...
2020-12-18 09:50:22 重罚美国欧盟 -
看到这个数据,中国人都笑了,美国得吐血!
原创:占豪来源公众号:占豪微信ID:zhanhao668有些事情,就是人算不如天算。特朗普这几年,算计中国多少?简直是罄竹难书!特朗普2017年上台,通过大力减税刺激了经济增长,尔后借助经济数据阶段性向好的时机,在2018年向中国发起贸易战。特朗普的本意是,在美国力量最强的时候制服中国。然而,让特朗普没想到的是,中国的经济实力会那么强,韧劲会那么足,美国对中国无可奈何,最后不得不两次打电话到北京复谈。2020年,新冠疫情在武汉率先被发现和报告,结果美国对中国落井下石,第一宣布从武汉撤离总领馆,同时宣布与中...
2020-12-18 09:48:47 美国都笑中国人 -
范勇鹏:30多万条生命都不能让美国进步,还有什么能?|2020-12-17
【文/ 范勇鹏】观传媒的朋友们大家好,咱们又见面了。我研究世界历史,在人类历史上,平均身高、健康水平和可预期寿命,是一个文明发展、社会进步,以及其制度民主性的最主要的指标。这几年大家看到我们中国人的平均身高在迅速上升,而美国以如此之高的人均GDP,它的平均可预期寿命竟然在下降,所以我们在理解政治制度的时候,这也是一个重要的维度。我今天要跟大家交流的题目,跟新冠疫情也有关系。我起了一个题目叫《危机锻造制度》,我们知道人类制度就是为了解决问题的,那么每当危机到来的时候,对制度是一个检验,同时危机对制度的发展演...
2020-12-17 19:19:08 制度中国美国 -
中俄“导弹发射通报协定”延期10年,美国不必紧张!
原创: 后沙来源微信公众号:后沙已获转载授权12月15日,国防部新闻发言人谭克非在新闻发布会上证实:经中俄两国元首批准,12月15日,国防部长魏凤和同俄罗斯国防部长绍伊古签署了《关于延长2009年10月13日〈中华人民共和国政府与俄罗斯联邦政府关于相互通报发射弹道导弹和航天运载火箭的协定〉有效期的议定书》。两国国防部长举行视频会议,正式确认签署议定书,宣布将《协定》延长10年,强调两军愿在此基础上加强务实合作,进一步充实双边关系内涵。中国外交部发言人汪文斌在12月16日也表示:上述议定书的签署,是中俄新时...
2020-12-17 19:16:37 美国协定中俄 -
美国记者感染新冠 曾与拜登同行 拜登此前在讲话过程中接连咳嗽
据“今日俄罗斯”(RT)16日报道,美国一名记者新冠病毒检测呈阳性,本周二(15日)曾与当选总统拜登一同赴佐治亚州参加活动。报道称,拜登此前在讲话过程中接连咳嗽,之后解释自己“患了感冒”。延伸阅读:拜登新冠疫情工作组成员:拜登将很快接种新冠疫苗据美国有线电视新闻网(CNN)16日报道,美国当选总统拜登的新冠疫情工作组成员里克·布莱特(Rick Bright)周三表示,拜登“很快就会接种疫苗”,他 “拜登他不想插队,这是一定的,”布莱特告诉CNN,“他希望确保有限剂量的疫苗能够提供给最需要的人,最脆弱的人,...
2020-12-17 19:10:04 美国过程中曾与
| 留言与评论(共有 0 条评论) |
