SolarWinds公布供應鏈攻擊事故流程,並揭露新發現的惡意程式Sunspot

2020年12月爆發的SolarWinds供應鏈攻擊事件,確實觸動了美國政府的敏感神經,近日拜登總統就任後,對疑似此事件駭客團體的幕後老大—戰鬥民族,計畫做適當回擊處置。

由SolarWinds配合資安業者的調查結果發現,駭客早在2019年9月便開始布局,10月的Orion版本遭到竄改,到隔年2月版的Orion,已被植入了Sunburst木馬程式。

令人驚訝的是,為了讓攻擊不被發現,駭客另外開發了專門的惡意程式負責掩護。駭客同時繞過了由SolarWinds、私人企業,以及政府機構所建立的多種威脅偵測機制,在Sunburst進入了SolarWinds用戶的IT網路之後,還能躲過這些受害者環境中的防火牆與安全控制。

面對日益複雜、精密的網路攻擊,又該如何以前車之鑑,加強防範,免除災害呢? 一個值得參考的思考方向是: 設置端點惡意威脅鑑識平台(如TeamT5的ThreatSonar),於駭客刻意入侵後的初期布局階段,就能察覺異常動作,及時處置,防範威脅擴大成大災難。

詳文請見ithome 原文新聞稿