黑客要廣泛地傳播惡意程式,入侵正當程式的更新檔案是一個好方法。在 2017 年著名系統清理軟件 CCleaner 的更新檔就被入侵,影響大量的下載用戶;而在日前,企業 IT 管理軟件 SolarWinds 宣布旗下 Orion 在三月至六月的更新版本遭到黑客入侵。由於各國政府和企業都用到該款軟件,事件已成為今年大型的資訊安全威脅。
潛伏兩星期後才執行
網絡安全公司 Fortinet 分析指,是次 SolarWinds 入侵涉及名為 SunBurst 的後門程式,一個名為 SolarWinds.Orion.Core.BusinessLayer 的 DLL 檔遭植入在更新程式當中,下載後會靜止 12 – 14 後才有惡意行動。
SunBurst 執行前會首先偵測裝置環境是否適合,例如裝置域名不能包含特定字串、不能屬於 SolarWinds、不能含有「test」字眼,並會檢查環境有沒有 WireShark 和安全程式在執行。
美國政府稱,事件由俄羅斯黑客所為。而在 27 日,SolarWinds 亦公布程式遭同時植入另一款惡意程式 Supernova。
由於眾多企業採用 SolarWinds Orion,是次事件使不少大型企業中招,包括 Microsoft、Cisco、Intel、nVidia 等。然而由於黑客有特定目標,所以他們都未有損失。
SolarWinds 已釋出修補漏洞的新版 Orion,而 Fortinet 亦建議,企業宜檢查系統檔案有沒有出現惡意檔案的 SHA-1 值,並建議企業將來應在沙箱環境中測試更新檔案後才正式部署;至於旗下客戶,由於惡意程式的入侵指標(IoC)已加入資料庫,他們會受到保護。
