在商业部门在2020年8月找到了一个Solarwinds后门吗?

2021-04-17 00:30:07

2020年8月13日,有人将疑似恶意文件上传到Virustotal,这是一项扫描超过五十多名防病毒和安全产品的文件的服务。上个月,Microsoft和Fireeye将该文件识别为新发现的第四个恶意软件后门,用于庞大的Solarwinds供应链黑客。对同一毒议方用户的恶意文件和其他提交的分析表明,由于可疑属于国际电信和信息管理局(NTIA),该账户最初将后门标记为HOTES COMPERCOMENTIONS(NTIA)的IT人员。互联网政策。

Microsoft和FireeEye在3月份发布了博客帖子。4关于在Solarwinds攻击者受到影响的高价值目标上发现的新后门。 Fireeeye是指后卫作为“Sunshuttle”,而Microsoft称之为“Goldmax”。 Fireeeye表示Sunshuttle Backdoor被命名为“Lexicon.exe”,并拥有唯一的文件签名或“哈希”的“9466C865F7498A35E4E1A8F48EF1DFFD”(MD5)和B9A2C986B6AD1EB4CFB0303B6396F3CF490B0984A4798D741D8(SHA-1)。

“在2020年8月,基于U.S.的实体上传了一个新的后门,我们将Sunshuttle命名为公共恶意软件存储库,”Fireeye写道。

在Virustotal的恶意软件存储库中搜索显示,在8月13日,2020年有人上传了具有同名和文件哈希的文件。它通常不难以浏览Virustotal并随着时间的推移查找由特定用户提交的文件,并且在近两年内由同一用户提交的几个包括向当前在NTIA的信息技术部门工作的人发送给电子邮件地址的消息和文件。

NTIA没有回应评论请求。但是,在2020年12月,华尔街日报报道了NTIA是多个联邦机构之间的电子邮件和文件被Solarwinds攻击者掠夺。据美国官员熟悉此事,“黑客自6月以来,黑客闯入了大约三十多名电子邮件账户,包括属于原子能机构的高级领导。”。

目前尚不清楚,如果有的话,NTIA的IT员工在8月20日8月的扫描后门文件的回应时。但是世界上没有发现Solarwinds崩溃,直到2020年12月初,当Fireeye首次披露自己妥协的程度从Solarwinds恶意软件和发布关于肇事者使用的工具和技术的详细信息。

Solarwinds攻击涉及恶意代码被偷偷摸摸地插入SolarWinds的更新中,为其ORION网络管理软件的约18,000名用户提供。从3月2020年3月开始,攻击者然后使用受妥协的Solarwinds软件提供的访问权限,以便在更深入地访问电子邮件和网络通信时将额外的后门和工具推送到目标。

美国情报机构已经将Solarwinds黑客归功于俄罗斯国家情报的臂,称为SVR,该股票也决心六年前涉及民主国家委员会的黑客攻击。周四,白宫为俄罗斯发出了长期预期的制裁,以应对Solarwinds攻击和其他恶意网络活动,平衡32个实体和个人的经济制裁,以实现俄罗斯政府在2020年总统选举中的干扰。

美国财政部(也被击中了第二阶段恶意软件,让Solarwinds攻击者读取国库券电子邮件通信)发布了一份针对性的全部列表,其中包括六家俄罗斯公司提供支持俄罗斯情报服务的网络活动。

此外,周四,联邦调查局(国家安全局)和网络安全基础设施安全管理局(CISA)在广泛使用的软件产品中发布了一份关于几种漏洞的联合咨询,同样的俄罗斯智力单位一直在攻击进一步的漏洞Solarwinds黑客。其中CVE-2020-4006是VMware工作空间中的一个安全漏洞,一个访问VMware于2020年12月从NSA听到它后修补的VMware。

12月18日,VMware在Krebsonsecurity发表了一份向NSA报告的报告中达到了5.5%的股票价格达到5.5%关于Solarwinds攻击背后的俄罗斯网络人物的报告。当时,VM​​ware表示已收到“没有通知或指示CVE-2020-4006与Solarwinds供应链妥协使用”CVE-2020-4006“。结果,许多读者答复了使这种联系是脆弱的,间接和投机的。

但联合咨询明确了VMware缺陷实际上是使用Solarwinds攻击者进一步剥削的事实。

“最近的俄罗斯SVR活动包括损害SolarWinds Orion软件更新,通过部署Wellmess Malware来实现Covid-19研究设施,并利用当时的VMware漏洞,这是后续安全断言标记语言(SAML)认证滥用的零一天,“NSA的咨询(PDF)读。 “SVR网络演员还使用基于Solarwinds的违规之后的身份验证滥用策略。”

拜登政府内的官员告诉媒体网点,美国对Solarwinds Hack的一部分不会公开讨论。但是,一些安全专家们担心俄罗斯情报官员仍可获得运行回顾的SolarWinds软件的网络,并且俄罗斯人可以使用该访问影响自己的破坏性或颠覆性网络响应,纽约时报报告。

“在美国情报机构内,已经警告了太阳能攻击 - 使SVR能够在计算机网络中放置”后门“ - 可以给俄罗斯对政府机构和公司进行恶意活动的途径,”观察到的时间。

它提到,NTIA电子邮件于6月被黑了。也许攻击者也获得了恶毒凭证,并通过这些黑客凭据上传了它。这样,它不能追溯到他们身上

很久以前,1970年大约在大约1970年,我读了一本名为“组织”的书,我仍然记得“你会升到你的无能程度。”听起来像是这些政府大部分地区发生的

喜欢那本书。我最喜欢的报价是关于数据过度收集的策略。 (埃克森是当时世界上世界上最大的公司)评论是:“埃克森没有成为埃克森斯的埃克森现在做的事情。”

......“自1969年以来,彼得·德鲁克彼得·普拉克自1969年,”自彼得·普拉克(Peter Drucker)为......

组织是一本好书,它确实提到了作为一个“可行理论”(如果我回忆起来 - 我的副本得到了如此漂亮的用来崩溃了,我扔了它),但该理论的发起人是彼得博士,B学校教授。并在他的书籍和写作中发表。 https://en.wikipedia.org/wiki/peter_principle.

联合咨询也是记者本能的明确辩护,即VMware缺陷与NSA报告有关俄罗斯/太阳能的NSA报告之间的潜在联系。 12月份的读者叫你写作“脆弱”,“环境”或“投机”的回归。在他们发布意见之前,似乎他们没有费意考虑你申请的研究和仔细考虑。就个人而言,我感谢您的无意义的报告。

我在上面的第一段中对你的第二句话混淆了; 从“分析......”开始 这是一个良好的提醒,无论您提交到病毒的总和都不会私有。 我使用病毒的方式是我在垃圾邮件中喂它链接。 如果存在可疑附件,我只需删除电子邮件。 我甚至没有机会下载。 这些链接通常不会被视为恶意软件。 但是,可以知道该文件尚未成为恶意软件。 如果它被检测为恶意软件,则只有两组或三个服务中只能在我的经验中审视IT恶意软件。 我的观点在这里,在那段时间后,正在向病毒提交一些东西并不意味着你有一个线索,它根本没有恶意。 谢谢,我实际上读了两本书。 主要只是记住这句话。 我有一个混凝土建筑有限公司。 在S. Cal。 & 我的几位员工达到了那个水平。 我给了他们一个选择回到他们在促销前或被撤出之前的东西。 大多数人选择回去。