供应链安全受到破坏

事情要从 2020 年 12 月初说起，当时 FireEye 注意到 ，它已成为网络攻击的受害者，这一点很了不起，因为该公司本身就是专门检测和抵御网络攻击的。内部分析表明，攻击者设法窃取了 FireEye 的内部工具，FireEye 利用这些工具检查客户的 IT 基础设施是否存在薄弱点。这个高度专业化的工具箱专为攻破网络和 IT 系统而优化，落入黑客之手会带来巨大风险。直到后来，人们才发现这一漏洞与被称为SolarWinds 黑客攻击的大规模网络攻击有关。(此后，FireEye 通过合并成为 Trellix）。

SolarWinds 是一家总部位于美国的公司，专门从事复杂 IT 网络结构的管理。为此，该公司开发了 Orion 平台。公司内部使用该软件的客户超过 30 万。管理网络组件的软件必须在 IT 系统内配备宽松的管理权限，才能执行其任务，这也是黑客在其策略中使用的关键点之一。我们花了一些时间才认识到 FireEye 黑客攻击与后来的大规模网络攻击之间的联系，因为其影响链不像以前的漏洞攻击那样直接。

由于从 SolarWinds 漏洞被利用到发现漏洞之间的时间间隔较长，许多公司和政府组织最终都受到了这次攻击的影响。在几周时间内，共发起了 20,000 次成功攻击。由于攻击模式相似，安全研究人员能够确定这些攻击是相关的。其中一个共同特征是，所有遭受攻击的组织都使用 SolarWinds 软件来管理其网络基础设施。

攻击者使用 FireEye 工具入侵 SolarWinds 网络。他们攻击了负责为 Orion 软件平台创建二进制文件的 CI 管道。软件交付生产线被修改后，每次运行新版本时，生成的二进制文件都会受到攻击，并包含黑客准备的后门。猎户座平台在这里被用作特洛伊木马，向成千上万的网络发送被破解的二进制文件。任何检查指纹的接收者都会看到一个有效的二进制文件，因为它是由 SolarWinds 签署的，而 SolarWinds 是他们信任的供应商。而这种信任关系正是这次网络攻击利用来攻击下游网络的漏洞。

这次攻击的具体实施过程如下。SolarWinds 公司创建了一个软件更新，并通过自动更新程序向所有 30 万客户提供了这些二进制文件。随后，近 20,000 名客户在短时间内安装了该更新。被入侵的软件在激活后等待了大约两周，然后开始在受感染的系统中传播。似乎这还不够糟糕，随着时间的推移，更多的恶意软件被动态加载，如果不全面重建，就无法修复被入侵的系统。

退一步讲，让我们区分一下 ...