原标题：SolarWinds 事件启示录 供应链攻击可能会晚到，但不会缺席

　　这是 PWN 君看完十几篇关于 SolarWinds 的报道之后发自肺腑的感叹。 12 月 8 日，火眼（Fire Eye）宣布遭受攻击 ，红队（模拟攻击）武器库被盗。随后微软、谷歌等大型企业以及美国政府机构 FBI 立刻介入进行调查。此事正式揭开了整个 SolarWinds 供应链攻击的冰山一角。

　　在火眼 12 月 8 日公开的博客文章中，其 CEO Kevin Mandia 就声称攻击者是有国家民族背景的黑客组织，且攻击方式新颖、高度复杂。在调查中还发现，攻击者特意搜集了火眼部分政府用户的信息。

　　12 月 13 日，火眼公司将攻击称为 UNC2452 攻击事件，称攻击的目标包括但不限于全球范围内的“公共和私立机构”，且自 2020 年 3 月起就已经正式开始，一直持续至今。还有调查显示，几个受害者的系统中发现的恶意 SolarWinds Orion 软件版本可追溯到 2019 年 10 月，但至今没有发现这些系统感染恶意软件之后发生过进一步攻击的迹象。因此，调查人员人员认为当时的操作可能是正式攻击的预演。

　　12 月 14 日，媒体大规模报道 SolarWinds 遭受攻击，影响到 1.8 万用户。黑客组织入侵 SolarWinds 旗下 Orion IT 管理软件的更新服务器并植入恶意代码（后门），进而长期入侵、监视受影响机构。也就是说，这是一起通过第三方供应商简介入侵目标机构的典型供应链攻击。火眼公司将恶意软件命名为“日爆（Sunburst）”，相应地，攻击就称为“日爆攻击”。微软则将该恶意软件命名为 Solorigate，并为 Microsoft Defender 防病毒软件添加了检测规则。

　　随后，多个美国政府部门及多家财富五百强企业纷纷确认受到攻击影响或检查出系统中存在木马化的 SolarWinds Orion 软件。美国国务院、五角大楼、国土安全部（DHS）、商务部、财政部、司法部、网络安全和基础设施局（CISA）、美国疾病控制与预防中心（CDC）、美国卫生署国立卫生研究院（NIH）、美国商务部国家电信和信息管理局（NTIA）、美国能源部（DOE）、监管国家核武器储备的国家核安全管理局（NNSA）等美国政府部门；微软（MicroSoft）、英特尔（Intel）、英伟达（Nvidia）、思科（Cisco）、VMWare、德勤（Deloitte）等世界五百强机构纷纷在列。

　　12 月 15 日，美国国家安全事务助理罗伯特·奥布莱恩缩短访问行程，从巴黎返回华盛顿，协助处理这一事件；

　　12 月 17 日，微软发布声明称在内部系统中发现了木马化的 SolarWinds Orion 应用程序，但尚未发现黑客利用其入侵生产系统、攻击客户；

　　12 月 17 日，Politico 报道称美国能源部及国家核安全局受到攻击影响，在联邦能源管理委员会、能源部相关国家实验室、国家安全局的安全运输办公室等多个网络系统中发现可疑活动；

　　12 月 18 日，VMWare回应称在内部系统检测到带有恶意代码的 SolarWinds Orion 程序， 但尚未发现攻击痕迹；

　　12 月 21 日，英特尔回应称正在对内部系统进行调查， 尚未发现有证据或迹象表明系统受到影响；

　　12 月 21 日，美国参议院财政委员会最高人怀登（Ron Wyden）称财政部自 7 月起就遭遇严重入侵，严重程度尚不清楚。财政部数十个电子邮件账户被黑，高级官员系统遭入侵，但尚未查清被窃取的信息。调查显示，除SolarWinds外，财政部遭遇的攻击可能还涉及其他攻击向量；

　　12 月 21 日，华尔街日报报道称，至少有24 家企业确认系统中存在感染恶意代码的 SolarWinds 软件，包括英伟达、思科、德勤、销售 WiFi 路由器和网络设备的贝尔金等；此外，美国加利福利亚州立医院以及肯特州立大学也同样受到 Sunburst 攻击影响；

　　12 月 22 日，调查发现有另一个 APT 组织在利用 SolarWinds 发起攻击。新发现的恶意软件名为 SuperNova，是一个植入 Orion 网络和应用程序监视平台代码中的 Webshell，可被攻击者利用，在运行恶意 Orion 版本软件的系统中执行任意代码。微软的调查文档指出，与Sunburst DLL不同，Supernova DLL并没有使用合法的SolarWinds数字证书进行签名，这表明，Supernova 是另一组攻击者的工具；

　　多份调查报告和声明都认为是攻击者技术高明才造成了此次大规模攻击事件，但随着调查的深入，研究人员发现 SolarWinds 自身的的安全防御也非常薄弱。

　　早在 2017 年，安全研究人员就发现有黑客在地下论坛出售对 SolarWinds 计算机的访问渠道；

　　就在上周， 安全研究员发现 SolarWinds 得知软件被植入木马后，并未第一时间处理，随后几天其官方站点仍存在恶意更新版本的下载渠道；

　　前几天，研究人员还发现 SolarWinds 某个产品支持页面建议用户禁止杀毒软件扫描 Orion 的产品文件夹

　　根据美国计算机安全应急响应组（US CERT）的分析，如果用户安装、运行了以下版本的 SolarWinds Orion，就有可能受到此次攻击的影响：

　　US CERT 建议立刻打补丁并修改所有与Orion软件相关的账号密码、分析Orion管理的所有网络设施的网络配置。

　　12 月 13 日，美国网络安全和基础设施局（CISA）发布 21-01 号应急指导公告，要“所有美国联邦机构审查其网络是否存在受到破坏的迹象,并立即断开所有SolarWinds产品的网络连接”;

　　12 月 18 日，FireEye、微软、GoDaddy 联合发布一项“终止开关”，声称可以阻断已经部署的恶意 Sunburst 后与 C2 服务器之间的通信，以缓解攻击的后果。

　　不论是断网还是使用“终止开关”，在一定程度上都是有效的。但是，如果攻击者横向移动，建立了其他后门，这两项操作就无法起效。

　　可以预见，随着调查的深入，此次 SolarWinds 供应链攻击事件的影响范围和严重程度将进一步扩大。按照以往经验，找出所有受害者并完全阻止黑客对被入侵网络的访问几乎不太可能，就算能做到，也是困难重重。就像治疗一个癌症病人一样，除非在早期未扩散时能杀死所有癌细胞，否则就算病情缓解，也要在接下来的日子里小心翼翼、战战兢兢，时刻担心复发。且攻击者依旧可能利用此前种下的木马进行秘密攻击，持续获取信息，甚至潜伏直至未来某个关键节点再次集中爆发，造成更大破坏。

　　理论上来说，要彻底摆脱攻击的影响，可以从头开始重建整个 IT 系统，而我们都知道，这是多么举步维艰。一旦重建，很可能 2020 年 3 月至今的所有数据都要丢弃，哪怕是备份也可能存在数据已被篡改的隐患。

　　SolarWinds 事件不是第一个也不会是最后一个。这起影响范围广、潜伏时间长、隐蔽性强、高度复杂的供应链攻击及其背后训练有素的攻击组织，也给所有企业敲响了警钟。

　　2020 年 6 月，海外网络安全服务商 BlueVoyant 曾发起一项调查，结果显示80% 的受访企业都曾因供应商遭受攻击而发生数据泄露。而埃森哲 2019 年的一项调查则表明，因供应商而发生数据泄露的受访企业占比40%。ESG 和 Crowstrike 2019 年发布的供应链安全报告显示，90％的公司“没有做好准备”应对供应链网络攻击。

　　当前，大部分信息化系统都依赖于不同的供应商。因此，尽管 SolaWinds 主要影响的是美国，其他暂未受影响的企业也该借此反思自己的安全系统性能以及所使用的第三方服务。假设第三方供应商出现安全问题，自己的预警系统足够及时码？自己的组织恢复力足够强吗？是否有备用的安全方案？

　　微软在分析文档中指出，未来应对此类攻击需要各方通力合作，不仅要互相分享、分析威胁情报，还要加强国际和各国关于网络空间的法律法规，更要对确认来源的攻击事件背后的民族国家黑客给予强力震慑。回顾这些年网络安全行业的发展，不难发现，多个机构和组织已经开始在尝试合作共赢，而大量白帽黑客、安全从业者也在一次次的测试、攻防演练与实践中守护着网络安全。只是，道阻且长，仍需上下求索。

　　在多个媒体平台的报道中，此次 Sunburst 攻击事件都被描述为“史上最严重”供应链攻击，造成的影响可能会持续到即将到来的 2021 年。Sunburst 余波未平，还可能造成哪些影响？到 2021 年的年尾，Sunburst 依然会是“史上之最”吗？此时此刻，我们无法给出答案。

　　2020 年年末总结时，有网友发出的灵魂之问：“如果充满动荡和灾难的 2020 年只是 2021 年的序曲，你还会如此期待新年的到来吗？”很多人因此陷入沉思。而不论答案是肯定还是否定，历史的车轮总会滚滚向前，很多时候我们始料未及，只能在不断的计划和变化中见招拆招，迎难而上。于安全如此，于生活，亦如此。