上星期曾為大家報導 SolarWinds 被擬似俄羅斯國家級黑客入侵,將加入了木馬程式的SolarWinds Orion商業軟件放在伺服器上,據知受影響客戶高達30萬。暫時已知的受害名單至少有200個,而且包括Microsoft、FireEye、Cisco、Intel、Nvidia、Deloitte、VMware、Belkin等大牌子,一旦其資料庫被入侵,外洩的資料量實在不敢想像!
早前美國網絡安全公司FireEye自爆遭受入侵,其研發的Red Team滲透測試工具更被網絡罪犯偷走。經調查後發現原來問題出在IT基礎設施供應商SolarWinds之上,原來SolarWinds的軟件更新被網絡罪犯加料,客戶安裝後便被加上後門,可讓罪犯自由出入!
這次網絡安全事故屬於供應鏈攻擊(Supply Chain Attack),指服務供應商被網絡罪犯入侵,於源頭加入惡意軟件,結果導致客戶連環中招。經調查後發現,這次入侵應由網絡犯罪集團APT29(又稱Cozy Bear),他們最早可能於今年春季已入侵SolarWinds系統,並將加入了木馬程式的SolarWinds Orion商業軟件放在伺服器上,當客戶啟動自動更新功能,由於更新軟件位處官方伺服器又通過驗證,所以客戶端便會自動安裝。由於SolarWinds的客戶廣泛,估計約有30萬用戶受影響。SolarWinds已緊急推出修補更新檔,用戶必須即時安裝才可封鎖這度暗門。
現階段上述受影響的公司仍未完成調查,不過部分公司回應未有發現曾被入侵的痕跡;至於確認曾外裝更新檔的公司,亦同樣說未有證據內部網絡或客戶資料曾被入侵或盜取。由於現時只知有大約200間企業受SolarWinds事件影響,與當初公布的30萬數字還有一段距離,相信陸續會有更多意想不到的大牌子會加入受害名單。
