FireEye在周日晚上透露说，攻击者正在使用Orion(SolarWinds出品的一款广泛使用的网络监控管理软件)更新来感染目标。在控制了Orion的更新机制之后，攻击者就可以用木马化的Orion更新来渗透目标网络，横向移动并窃取数据，FireEye研究人员将这个后门称为Sunburst(日爆)：

• SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件，此SolarWinds Orion插件的木马版本包含一个后门(Sunburst)，可通过HTTP与第三方服务器进行通信。
• 经过长达两个星期的初始休眠期后，木马组件会检索并执行称为“作业”的命令，这些命令包括传输文件、执行文件、对系统进行配置文件、重新引导计算机以及禁用系统服务的功能。该恶意软件伪装成Orion改进程序(OIP)协议的网络流量，并将侦察结果存储在合法的插件配置文件中，从而使其能够与合法的SolarWinds活动融合。该后门使用多个混淆的阻止列表来识别作为进程、服务和驱动程序运行的取证和防病毒工具。

Sunburst这个后门有多可怕?微软在博客中指出，利用Orion更新机制在目标网络上立足之后，攻击者正在窃取签名证书，这些证书允许他们冒充目标网络中的任何现有用户和账户，包括高特权账户。

奇安信CERT安全专家rem4x@A-TEAM通过分析发现，被污染的SolarWinds软件带有该公司签名，这表明SolarWinds公司内部很可能已经被黑客完全控制。

1.8万客户中招!影响全球的重大APT软件供应链攻击

据《华盛顿邮报》报道：知情人士透露，作为全球间谍活动的一部分，俄罗斯政府的黑客已经入侵了美国财政部和商务部以及其他美国政府机构。

知情人士说，官员们在刚刚过去这个周末忙于评估入侵的性质和严重程度，并采取有效对策，但初步迹象表明，这一黑客活动是长期的(FireEye认为攻击最早始于今年春季)，而且影响重大。

据包括《华盛顿邮报》在内的多家美国媒体报道，此次黑客攻击的领导者是俄罗斯黑客组织APT29(舒适熊)，该组织隶属俄罗斯联邦安全局(FSB)和外国情报服务(SVR)，奥巴马执政期间，该俄罗斯组织入侵了国务院和白宫电子邮件服务器。

据悉，联邦调查局已经开始着手调查该事件，但周日没有发表评论。

FireEye在周日的博客中说，所有受害公司遭遇的APT29攻击都有一个共同的攻击路径：通过目标公司的SolarWinds网络管理系统的更新服务器。

美国联网网络安全与基础设施安全局(CISA)周日也发出警报，敦促企业阅读SolarWinds和FireEye的安全咨文以及Github页面(文末)，以了解最新的检测对策。