太陽風輕易不爆發(fā)，一爆發(fā)便是“地動山搖”。2020 年底，美國企業(yè)和政府網(wǎng)絡突遭“太陽風暴”攻擊。黑客利用太陽風公司（SolarWinds）的網(wǎng)管軟件漏洞，攻陷了多個美國聯(lián)邦機構(gòu)及財富 500 強企業(yè)網(wǎng)絡。2020 年 12 月 13 日，美國政府確認國務院、五角大樓、國土安全部、商務部、財政部、國家核安全委員會等多個政府部門遭入侵。

　　SolarWinds 事件是一起影響范圍廣、潛伏時間長、隱蔽性強、高度復雜的攻擊，波及全球多個國家和地區(qū)的 18000 多個用戶，被認為是“史上最嚴重”的供應鏈攻擊。其背后的攻擊組織訓練有素、作戰(zhàn)指揮協(xié)同達到了很高的水準。

　　一、事件概要

　　2020 年 11 月底，在火眼公司（FireEye）的內(nèi)部安全日志審計中，審查員發(fā)現(xiàn)一條安全警告：一位員工注冊了一個新的手機號碼接收雙因素認證驗證碼。雖然更換手機并非罕見現(xiàn)象，審查員還是決定跟進調(diào)查此事。經(jīng)過詢問，當事員工反饋這段時間他并沒有在系統(tǒng)中注冊新的手機號碼。這是一個非常明顯的網(wǎng)絡遭到侵入的信號。FireEye 迅速組織 100 多人的團隊開始徹查，研究團隊發(fā)現(xiàn)，這不是一起簡單的攻擊行為，攻擊者的手段非常高明，運用了許多之前沒有出現(xiàn)過的攻擊套路。

　　2020 年 12 月 8 日，F(xiàn)ireEye 在其官方博客發(fā)布了一篇文章，文中提到，“一個具備頂級網(wǎng)絡攻擊能力的國家”正在針對 FireEye 進行網(wǎng)絡攻擊，并且已經(jīng)成功竊取了一批安全研究工具軟件。隨后，F(xiàn)ireEye 的研究人員開始分析內(nèi)部的 SolarWinds 軟件服務器，但并沒有發(fā)現(xiàn)服務器上有任何惡意軟件的安裝痕跡。研究團隊于是決定對服務器上的SolarWinds 軟件進行逆向分析，在其中的一個模塊中發(fā)現(xiàn)了具有 SolarWinds 公司數(shù)字簽名的惡意代碼。

　　2020 年 12 月 12 日，F(xiàn)ireEye 將相關情況通報給SolarWinds 公司。同一天，SolarWinds 向美國證監(jiān)會和公眾披露了攻擊事件，威脅由此浮出水面，新的受害者陸續(xù)被發(fā)現(xiàn)，其中最引人關注的是美國商務部、國土安全部、國務院、財政部、核安全委員會等聯(lián)邦機構(gòu)。太陽風公司承認，約 1.8 萬名該公司客戶遭到網(wǎng)絡攻擊。

　　根據(jù) SolarWinds 公司公布的調(diào)查情況，攻擊者最早可能是在 2019 年 9 月訪問了 SolarWinds 的內(nèi)部系統(tǒng)，9 月 12 日黑客開始在 SolarWinds 的編譯服務器上修改產(chǎn)品發(fā)布流程，植入惡意代碼，并進行詳細的測試，測試過程持續(xù)了接近兩個月，直到 2019年 11 月 4 日測試結(jié)束。2020 年 2 月 20 日，黑客又制作了新版惡意代碼并進行植入。2020 年 6 月，黑客清除了對編譯環(huán)境所做的修改。在此期間，SolarWinds 的編譯服務器一直按照產(chǎn)品發(fā)布計劃自動進行產(chǎn)品打包和發(fā)布操作。

　　SolarWinds 攻擊事件被曝光后，美國政府相關機構(gòu)和網(wǎng)絡安全私營部門迅速響應。2020 年 12 月 18日，F(xiàn)ireEye、微軟、GoDaddy 聯(lián)合接管了“日爆”（Sunburst ）后門通信使用的域名，并指向了受控域名，阻斷了遭攻擊網(wǎng)絡中的惡意 Sunburst 后門與 病毒控制服務器之間的通信。2021 年 1 月 5 日，據(jù)美國《國會山報》報道，美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡安全與基礎設施安全局（CISA）、國家情報總監(jiān)辦公室（ODNI）和國家安全局（NSA）發(fā)表聯(lián)合聲明，正式指控俄羅斯政府策劃了 SolarWinds 供應鏈攻擊。2021 年 4 月 15 日，美國財政部方面宣布對俄制裁內(nèi)容，指出俄羅斯對外情報局（SVR）負責實施了SolarWinds 攻擊事件。SVR 利用 SolarWinds Orion 平臺和其他信息技術基礎架構(gòu)，入侵了成千上萬的美國政府和私營部門網(wǎng)絡，并竊取了紅隊工具（指的是火眼工具）。英國外交和聯(lián)邦事務部同一天發(fā)布聲明，指責 SVR 為 SolarWinds 供應鏈攻擊事件的幕后兇手。

　　二、攻擊流程

　　360 威脅情報中心在《軟件供應鏈來源攻擊分析報告》中將軟件供應鏈分為以下三個環(huán)節(jié)：

　　開發(fā)環(huán)節(jié)。涉及軟硬件開發(fā)環(huán)境、開發(fā)工具、第三方庫、軟件開發(fā)實施等，軟件開發(fā)實施的具體過程還包括需求分析、設計、實現(xiàn)和測試等，軟件產(chǎn)品在這一環(huán)節(jié)形成最終用戶可用的形態(tài)。

　　監(jiān)管使用環(huán)節(jié)。包括軟件安全性測評、軟件離線和在線升級以及企業(yè)內(nèi)部系統(tǒng)遠程或?qū)嵉剡\維等過程。

　　交付環(huán)節(jié)。用戶通過在線商店、免費網(wǎng)絡下載、官網(wǎng)下載、購買軟件安裝光盤等存儲介質(zhì)、資源共享等方式獲取所需軟件產(chǎn)品；軟件開發(fā)企業(yè)根據(jù)用戶定制化開發(fā)需求為用戶部署安裝軟件系統(tǒng)。

　　攻擊者針對上述一個或多個環(huán)節(jié)進行攻擊，有可能影響最終的軟件產(chǎn)品和整個使用場景的安全。軟件產(chǎn)品如果在源代碼級別被攻擊者植入惡意代碼將非常難以被發(fā)現(xiàn)，并且這些惡意代碼在披上正規(guī)軟件廠商的合法外衣后更能輕易躲過安全軟件產(chǎn)品的檢測，或許會長時間潛伏于用戶機器中不被察覺。

　　綜合 SolarWinds、微軟、火眼、賽門鐵克等美國安全廠商、中國網(wǎng)絡安全廠商奇安信、瑞士安全廠商 Prodaft 等發(fā)布的事件研究報告，結(jié)合對樣本的分析，可以確認，這是一起典型的軟件供應鏈攻擊，主要攻擊流程可以概括為以下三步：第一，APT 組織攻陷了 SolarWinds 的軟件倉庫（SVN）服務器；第二，在 SolarWinds 的網(wǎng)管軟件 Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為 Sunburst，微軟則命名為“太陽門”（Solorigate）；第三，用戶下載安裝中毒的 Orion 軟件更新包后被植入木馬。

　?。ㄒ唬┇@取 SolarWinds 公司網(wǎng)絡初始訪問權限

　　對于攻擊者如何獲取了 SolarWinds 網(wǎng)絡的初始訪問權限，尚未有明確結(jié)論，僅有一些猜測，例如，SolarWinds 稱，攻擊者最初是通過微軟 0ffice365 服務的漏洞進入其系統(tǒng)，但微軟強烈否認此說法。據(jù)紐約時報 2021 年 1 月 6 日報道，總部位于捷克共和國的 JetBrains 軟件公司可能是 SolarWinds黑客攻擊的切入點，俄羅斯黑客可能利用了該公司開發(fā)的一款工具進入了美國聯(lián)邦政府和私營部門的系統(tǒng)。隨著調(diào)查的深入，研究人員發(fā)現(xiàn) SolarWinds自身的安全防御也非常薄弱。安全研究人員庫馬爾（Vinoth Kumar）2020 年曾發(fā)現(xiàn)了一個用于訪問SolarWinds 更新服務器的硬編碼密碼使用了弱口令“SolarWinds123”。

　?。ǘ┰?SolarWinds 公司的網(wǎng)管軟件 Orion中植入了惡意軟件

　　在實現(xiàn)了對 SolarWinds 網(wǎng)絡的初始訪問后，攻擊者在 SolarWinds 的整個網(wǎng)絡中開展了數(shù)月的情報偵察活動。根據(jù)火眼的分析報告，惡意代碼包含在SolarWinds.Orion.Core.BusinessLayer.dll 中。Dll 文 件具有合法的簽名，表明攻擊者從源碼階段進行了控制?？紤]軟件工程的工作流程，攻擊者最有可能發(fā)起感染的位置是代碼倉庫，這樣能夠最大限度避開提交前的審查，以及提交期間的自動化代碼掃描，防止在開發(fā)階段被發(fā)現(xiàn)?？梢源_認，攻擊者在軟件倉庫中的 Orion 軟件中植入了 Sunburst 后門。

　　從 2020 年 3 月至 2020 年 5 月，攻擊者對多個木馬更新進行了數(shù)字簽名，并發(fā)布到 SolarWinds 更新網(wǎng)站上，木馬更新文件是標準的 Windows Installer 補丁文件，其中包括與更新相關的壓縮資源，還包括被木馬化的動態(tài)鏈接庫（DLL）組件。一旦 onion 產(chǎn)品用戶安裝了更新，惡意 Dll 文件將由合法的 SloarWinds執(zhí)行程序加載，并通過特殊的域名生成算法（DGA）生成域名與惡意 C2 通信，其通信流量會模擬成正常的 SolarWinds API 通信，以達成偽裝效果。

　?。ㄈ┯脩粝螺d安裝預植后門的 Orion 軟件更新包后被植入木馬

　　根據(jù)微軟公司總裁布拉德·史密斯（BradSmith）2 月 23 日在國會聽證會上的證詞，用戶下載安裝被植入后門的更新后，黑客根據(jù) Sunburst 程序回傳的數(shù)據(jù)確認目標的重要程度，精選關注的重要目標部署第二階段惡意軟件，進而實施憑證竊取或橫向拓展操作。在橫向拓展階段，攻擊者可以選擇在不被微軟發(fā)現(xiàn)的情況下將惡意軟件駐留在本地；或者將惡意軟件轉(zhuǎn)移到云上，進而使用憑證進行本地訪問，或是生成令牌以獲取對電子郵件之類的云服務的訪問，最終竊取并回傳受害者電腦中的數(shù)據(jù)。

　　三、攻擊特點

　　SolarWinds 供應鏈攻擊事件是一起經(jīng)長期準備、隱蔽性很強、技戰(zhàn)術高超的網(wǎng)絡攻擊行動，其背后的 APT 組織經(jīng)驗豐富，具有高度的耐心與紀律意識，攻擊協(xié)同達到了很高的水準。

　?。ㄒ唬ふ衣┒淳珳手茢?/p>

　　多年來，美國政府和軍方斥巨資網(wǎng)絡監(jiān)控體系，建成了“愛因斯坦計劃”（Einstein）和“守護者”（Tutelage）等兩大網(wǎng)絡空間監(jiān)控系統(tǒng)?！皭垡蛩固褂媱潯庇蓢涟踩繃揖W(wǎng)絡通信整合中心運營，能夠?qū)β?lián)邦政府網(wǎng)絡和部門關鍵基礎設施網(wǎng)絡進行細粒度全流量監(jiān)控。攻擊者精心挑選了未納入“愛因斯坦計劃”監(jiān)控范圍但卻有大量重要客戶的SolarWinds 公司，有效規(guī)避了美國網(wǎng)絡態(tài)勢監(jiān)控系統(tǒng)的審查。

　?。ǘ╅L期準備密切協(xié)同

　　SolarWinds 供應鏈攻擊事件任務復雜度高，對作戰(zhàn)指揮協(xié)同提出了很高要求。FireEye 分析認為，攻擊團隊的規(guī)模在 1000 人以上。組織如此龐大規(guī)模的攻擊行動，涉及制定方案、模擬演練、準備攻擊基礎設施、前期偵察、定制化開發(fā)武器和指揮控制平臺、獲取目標網(wǎng)絡初始權限、后期滲透拓展等環(huán)節(jié)，作戰(zhàn)周期至少持續(xù)一年。在分工方面，由專業(yè)團隊進行謀劃，由供應鏈攻擊團隊打點，由作戰(zhàn)支撐團隊提供定制化武器和域名等作戰(zhàn)資源，由分析團隊進行目標確認，由滲透團隊實行深入控制。參戰(zhàn)人員嚴格執(zhí)行“規(guī)定動作”，從捕獲的“魚群”中只選擇心儀的“大魚”，按照分工進行滲透拓展，沒有出現(xiàn)打亂仗的情況。

　?。ㄈ╇[蔽滲透長線作戰(zhàn)

　　從 2019 年 9 月黑客侵入 SolarWinds 網(wǎng) 絡， 到2020 年 12 月 FireEye 發(fā)出通知，在長達一年零三個月的時間里，沒有任何一家機構(gòu)發(fā)現(xiàn)被黑客攻擊。主要是因為攻擊者采用了多項技戰(zhàn)術手段：發(fā)起正式攻擊前在實網(wǎng)環(huán)境下進行“無損”測試、精準選定 SolarWinds 代碼倉庫“無感”植入惡意代碼、惡意后門“小心”判斷執(zhí)行條件。

　　2019 年 9 月黑客在 SolarWinds 軟件升級包植入后門后，并未急于發(fā)動攻擊。為確保萬無一失，攻擊者在實際網(wǎng)絡環(huán)境下對攻擊流程進行了一次“無損”測試。威脅情報公司“逆向?qū)嶒炇摇保≧eversingLabs）調(diào)查顯示，黑客修改的第一個Orion 軟件版本（2019.4.5200.8890）實際上是 2019年 10 月更新的。該版本僅被輕微修改，且其中不包含惡意后門代碼，這是攻擊者第一次開始進行修改軟件的測試。

　　此外，攻擊者從源碼階段就進行了控制。攻擊者選擇感染代碼倉庫，從而避開提交之前的檢查，以及期間的自動化代碼掃描，避免了在開發(fā)階段被發(fā)現(xiàn)的可能性。攻擊者選擇了一個非常深層次的調(diào)用棧，用來降低代碼重構(gòu)期間被發(fā)現(xiàn)的可能。

　　在執(zhí)行后門功能前，代碼將進行長達 9 層的判斷，用于檢測當前運行環(huán)境。幾乎所有的判斷都是通過自定義 hash 算法進行的，這保證了無論是在源碼，還是在編譯后的程序集中，均不會存在敏感字符串，從而降低被查殺的可能。攻擊者寧可放棄大量的上線機會也不愿在某個不安全環(huán)境上線。

　　四、事件影響

　?。ㄒ唬?SolarWinds 攻擊“后遺癥”短期難消除

　　雖然美國政府聲稱，在 SolarWinds 軟件供應鏈事件中遭攻陷的多數(shù)機構(gòu)已經(jīng)按照白宮指令完成修復以及后續(xù)獨立審計，以確保攻擊者脫離系統(tǒng)，但在如此大規(guī)模的網(wǎng)絡攻擊中找出所有受害者并完全阻止黑客對被入侵網(wǎng)絡的訪問幾乎不太可能。要徹底擺脫攻擊的影響，需重建整個 IT 系統(tǒng)，但這幾乎是不可能的。攻擊者依舊可能利用此前植入的后門進行秘密攻擊，持續(xù)獲取信息，甚至潛伏直至未來某個關鍵節(jié)點再次集中爆發(fā)，造成更大破壞。在本次攻擊中，提供郵件安全服務的上市公司 Mimecast的部分源代碼被盜走，黑客將來有可能在源代碼基礎上挖掘產(chǎn)品遠程執(zhí)行漏洞，對 Mimecast 的用戶開展供應鏈攻擊。今年 5 月，微軟披露稱，SolarWinds黑客又開始了行動，攻擊目標涉及 24 個國家的政府機構(gòu)、顧問、智庫和非政府組織。

　　（二） 美俄網(wǎng)絡空間“冤冤相報無休止”

　　拜登與普京今年 6 月 16 日在日內(nèi)瓦舉行首腦峰會，雙方同意將協(xié)商劃定“網(wǎng)絡紅線”，將責成各自政府的網(wǎng)絡安全專家就什么是禁區(qū)達成具體共識。拜登稱，美國向普京提供了 16 個關鍵基礎設施領域清單，這些領域不應成為惡意網(wǎng)絡活動的攻擊目標。雖然美國作為緩兵之計，向俄羅斯拋出了橄欖枝，但由于美國在網(wǎng)絡空間領域擁有傲視群雄的強大攻防能力，美國很難放棄對俄羅斯實施網(wǎng)絡攻擊的執(zhí)念。2018 年 7 月 13 日，美國司法部公布了一份針對俄羅斯聯(lián)邦軍隊總參謀部情報總局（GRU）下屬 12名情報人員的起訴書，指控其干擾美國大選。在美國 2018 年中期選舉當天，為防止俄羅斯組織“互聯(lián)網(wǎng)研究機構(gòu)”（IRA）干擾選舉，美國網(wǎng)絡司令部“俄羅斯”小組成功切斷了其與互聯(lián)網(wǎng)的連接長達一天之久。對俄羅斯來說，由于美國社會對網(wǎng)絡的高度依賴、網(wǎng)絡互聯(lián)互通的天然屬性、網(wǎng)絡基礎設施的私有屬性，據(jù)稱有俄羅斯國家背景的 APT 組織亦不會“偃旗息鼓”，將不斷尋找美國網(wǎng)絡漏洞、發(fā)動網(wǎng)絡攻擊，令對手重金打造的“網(wǎng)絡馬其頓防線”分崩離析。很難預測俄羅斯對美國的下一次網(wǎng)絡攻擊將在何時以何種方式到來，但可以肯定的是一定會到來。

　　（三） 供應鏈攻擊魔盒已開啟

　　供應鏈攻擊可能影響數(shù)十萬乃至上億的軟件產(chǎn)品用戶，并可能進一步帶來竊取用戶隱私、植入木馬、盜取數(shù)字資產(chǎn)等危害。SolarWinds 攻擊成功突破了美國國務院、能源部、國防部等核心部門，網(wǎng)絡安全界翹楚 FireEye以及科技界巨頭微軟和思科公司等，再次彰顯了軟件供應鏈攻擊的威力。

　　近年來，基于軟件供應鏈的攻擊案例呈現(xiàn)出不斷增加趨勢。埃森哲公司 2016 年調(diào)查顯示，超過60% 的網(wǎng)絡攻擊源于供應鏈攻擊。2020 年 6 月，網(wǎng)絡安全服務商 BlueVoyant 曾發(fā)起一項調(diào)查，結(jié)果顯示 80% 的受訪企業(yè)都曾因供應商遭受攻擊而發(fā)生數(shù)據(jù)泄露。SolarWinds 事件不會是最后一個供應鏈攻擊事件，供應鏈攻擊的魔盒已經(jīng)打開。除了SolarWinds，美國還有眾多擁有大量政府客戶的知名度不高的軟件企業(yè)，這些企業(yè)都有可能成為供應鏈攻擊的目標。

　?。ㄋ模?零信任網(wǎng)絡架構(gòu)或加速落地

　　零信任是一種以資源保護為核心的網(wǎng)絡安全范式，它將網(wǎng)絡防御從靜態(tài)的、基于網(wǎng)絡邊界的防護轉(zhuǎn)移到關注用戶、資產(chǎn)和資源的動態(tài)防護，其核心理念是“從不信任，始終驗證”。零信任模型對網(wǎng)絡攻擊活動中遠程訪問、冒用身份、橫向移動等關鍵步驟具有較強的監(jiān)控防御作用，美國 NSA 于 2021年 2 月發(fā)布了《擁抱零信任安全模型》，強烈推薦政府官方機構(gòu)采用零信任架構(gòu)。

　　SolarWinds 事件為美國推動零信任框架落地提供了動力。2021 年 5 月 12 日，美國總統(tǒng)拜登發(fā)布行政命令以加強國家網(wǎng)絡安全，明確指示聯(lián)邦政府各機構(gòu)實施零信任方法。5 月 13 日，美國防信息系統(tǒng)局（DISA）在其官網(wǎng)公開發(fā)布了其與國防部首席信息官辦公室、美國網(wǎng)絡司令部、美國國家安全局合作開發(fā)的《國防部零信任參考架構(gòu)》，為美國防部大規(guī)模采用零信任設定了戰(zhàn)略目的、原則、相關標準和其他技術細節(jié)。零信任架構(gòu)的部署落地，預示著美國重要部門的網(wǎng)絡防御體系將更加完備。