黑客通过受损的彩票网app Orion软件破坏了美国政府机构的安全

A “highly sophisticated” hacking group 违反了 美国财政部,美国商务部’国家电信和信息管理局(NTIA),其他政府机构和私营部门公司(显然包括 火眼)通过受损的彩票网app Orion软件。

供应链攻击

据报道 火眼 和微软,黑客组织设法插入了一个后门(与彩票网app签署了’合法证书)放入彩票网app Orion平台使用的DLL文件中,组织可将其用于IT监视和管理。

受损的彩票网app Orion

“尽管我们不知道后门代码是如何将其添加到库中的,但根据最近的攻击活动,研究表明,攻击者可能已经破坏了彩票网app的内部构建或分发系统,” 微软 注意到的,并补充说,后门是通过目标网络中的自动更新平台或系统分发的。

一旦进入内部,攻击者就会横向移动并继续窃取数据。

根据Microsoft的说法,他们使用通过本地妥协获得的管理权限来访问组织的受信任的SAML令牌签名证书,并且他们伪造了SAML令牌,从而冒充了组织的任何现有用户和帐户(允许他们访问-场所和云资源)。他们还对组织进行了更改’Azure Active Directory设置可促进长期访问。

太阳风已确认,彩票网app Orion Platform软件针对2020年3月至2020年6月之间发布的2019.4 HF 5至2020.2.1版本进行了构建。“clean”版本(2020.2.1 HF 1)现在可供下载。

“另一个修补程序版本2020.2.1 HF 2预计将在2020年12月15日星期二发布。我们建议所有客户都更新到2020.2.1 HF 2版本,因为2020.2.1 HF 2都发布了替换了受感染的组件,并提供了其他一些安全增强功能,” the company 注意到的.

美国网络安全与基础设施安全局(CISA)发布了 紧急指令指导 “所有联邦民用机构都要审查其网络,以发现危害和立即断开或关闭彩票网app Orion产品的指标。”

WHO’这些攻击的背后?

太阳风’ customers 包括 美国电信,美军的所有五个分支机构,各种美国联邦机构(包括五角大楼,国务院和美国总统办公室),超过425家的美国财富500强公司以及许多高等教育机构。

火眼表示,这项运动可能早在2020年春季就已经开始,攻击者可以使用北美,欧洲,亚洲和中东的政府,咨询,技术,电信和采掘实体。

华盛顿邮报 消息人士称,这些攻击背后的黑客组织是APT29(又名 舒适熊),与俄罗斯外国情报局有联系。克里姆林宫发言人德米特里·佩斯科夫 说过 俄罗斯与美国财政部和商务部的袭击无关。

更新(太平洋时间2020年12月14日上午8:40):

太阳风已提起诉讼 报告 与美国证券交易委员会(SEC)达成的协议中,“the vulnerability …由于Orion软件构建系统受到损害而被引入,并且Orion产品的源代码存储库中不存在该工具。”

而且,它“当前认为,可能已安装包含此漏洞的Orion产品的实际客户数量少于18,000,”并且攻击者可能通过破坏公司电子邮件来破坏公司(他们使用Microsoft Office 365作为其电子邮件和Office生产工具)。

分享这个