太陽風輕易不爆發，一爆發便是“地動山搖”。2020 年底，美國企業和政府網絡突遭“太陽風暴”攻擊。黑客利用太陽風公司（SolarWinds）的網管軟件漏洞，攻陷了多個美國聯邦機構及財富 500 強企業網絡。2020 年 12 月 13 日，美國政府確認國務院、五角大樓、國土安全部、商務部、財政部、國家核安全委員會等多個政府部門遭入侵。

　　SolarWinds 事件是一起影響范圍廣、潛伏時間長、隱蔽性強、高度復雜的攻擊，波及全球多個國家和地區的 18000 多個用戶，被認為是“史上最嚴重”的供應鏈攻擊。其背后的攻擊組織訓練有素、作戰指揮協同達到了很高的水準。

　　一、事件概要

　　2020 年 11 月底，在火眼公司（FireEye）的內部安全日志審計中，審查員發現一條安全警告：一位員工注冊了一個新的手機號碼接收雙因素認證驗證碼。雖然更換手機并非罕見現象，審查員還是決定跟進調查此事。經過詢問，當事員工反饋這段時間他并沒有在系統中注冊新的手機號碼。這是一個非常明顯的網絡遭到侵入的信號。FireEye 迅速組織 100 多人的團隊開始徹查，研究團隊發現，這不是一起簡單的攻擊行為，攻擊者的手段非常高明，運用了許多之前沒有出現過的攻擊套路。

　　2020 年 12 月 8 日，FireEye 在其官方博客發布了一篇文章，文中提到，“一個具備頂級網絡攻擊能力的國家”正在針對 FireEye 進行網絡攻擊，并且已經成功竊取了一批安全研究工具軟件。隨后，FireEye 的研究人員開始分析內部的 SolarWinds 軟件服務器，但并沒有發現服務器上有任何惡意軟件的安裝痕跡。研究團隊于是決定對服務器上的SolarWinds 軟件進行逆向分析，在其中的一個模塊中發現了具有 SolarWinds 公司數字簽名的惡意代碼。

　　2020 年 12 月 12 日，FireEye 將相關情況通報給SolarWinds 公司。同一天，SolarWinds 向美國證監會和公眾披露了攻擊事件，威脅由此浮出水面，新的受害者陸續被發現，其中最引人關注的是美國商務部、國土安全部、國務院、財政部、核安全委員會等聯邦機構。太陽風公司承認，約 1.8 萬名該公司客戶遭到網絡攻擊。

　　根據 SolarWinds 公司公布的調查情況，攻擊者最早可能是在 2019 年 9 月訪問了 SolarWinds 的內部系統，9 月 12 日黑客開始在 SolarWinds 的編譯服務器上修改產品發布流程，植入惡意代碼，并進行詳細的測試，測試過程持續了接近兩個月，直到 2019年 11 月 4 日測試結束。2020 年 2 月 20 日，黑客又制作了新版惡意代碼并進行植入。2020 年 6 月，黑客清除了對編譯環境所做的修改。在此期間，SolarWinds 的編譯服務器一直按照產品發布計劃自動進行產品打包和發布操作。

　　SolarWinds 攻擊事件被曝光后，美國政府相關機構和網絡安全私營部門迅速響應。2020 年 12 月 18日，FireEye、微軟、GoDaddy 聯合接管了“日爆”（Sunburst ）后門通信使用的域名，并指向了受控域名，阻斷了遭攻擊網絡中的惡意 Sunburst 后門與 病毒控制服務器之間的通信。2021 年 1 月 5 日，據美國《國會山報》報道，美國聯邦調查局（FBI）、網絡安全與基礎設施安全局（CISA）、國家情報總監辦公室（ODNI）和國家安全局（NSA）發表聯合聲明，正式指控俄羅斯政府策劃了 SolarWinds 供應鏈攻擊。2021 年 4 月 15 日，美國財政部方面宣布對俄制裁內容，指出俄羅斯對外情報局（SVR）負責實施了SolarWinds 攻擊事件。SVR 利用 SolarWinds Orion 平臺和其他信息技術基礎架構，入侵了成千上萬的美國政府和私營部門網絡，并竊取了紅隊工具（指的是火眼工具）。英國外交和聯邦事務部同一天發布聲明，指責 SVR 為 SolarWinds 供應鏈攻擊事件的幕后兇手。

　　二、攻擊流程

　　360 威脅情報中心在《軟件供應鏈來源攻擊分析報告》中將軟件供應鏈分為以下三個環節：

　　開發環節。涉及軟硬件開發環境、開發工具、第三方庫、軟件開發實施等，軟件開發實施的具體過程還包括需求分析、設計、實現和測試等，軟件產品在這一環節形成最終用戶可用的形態。

　　監管使用環節。包括軟件安全性測評、軟件離線和在線升級以及企業內部系統遠程或實地運維等過程。

　　交付環節。用戶通過在線商店、免費網絡下載、官網下載、購買軟件安裝光盤等存儲介質、資源共享等方式獲取所需軟件產品；軟件開發企業根據用戶定制化開發需求為用戶部署安裝軟件系統。

　　攻擊者針對上述一個或多個環節進行攻擊，有可能影響最終的軟件產品和整個使用場景的安全。軟件產品如果在源代碼級別被攻擊者植入惡意代碼將非常難以被發現，并且這些惡意代碼在披上正規軟件廠商的合法外衣后更能輕易躲過安全軟件產品的檢測，或許會長時間潛伏于用戶機器中不被察覺。

　　綜合 SolarWinds、微軟、火眼、賽門鐵克等美國安全廠商、中國網絡安全廠商奇安信、瑞士安全廠商 Prodaft 等發布的事件研究報告，結合對樣本的分析，可以確認，這是一起典型的軟件供應鏈攻擊，主要攻擊流程可以概括為以下三步：第一，APT 組織攻陷了 SolarWinds 的軟件倉庫（SVN）服務器；第二，在 SolarWinds 的網管軟件 Orion 中植入了惡意軟件。FireEye 將該惡意軟件命名為 Sunburst，微軟則命名為“太陽門”（Solorigate）；第三，用戶下載安裝中毒的 Orion 軟件更新包后被植入木馬。

　　（一）獲取 SolarWinds 公司網絡初始訪問權限

　　對于攻擊者如何獲取了 SolarWinds 網絡的初始訪問權限，尚未有明確結論，僅有一些猜測，例如，SolarWinds 稱，攻擊者最初是通過微軟 0ffice365 服務的漏洞進入其系統，但微軟強烈否認此說法。據紐約時報 2021 年 1 月 6 日報道，總部位于捷克共和國的 JetBrains 軟件公司可能是 SolarWinds黑客攻擊的切入點，俄羅斯黑客可能利用了該公司開發的一款工具進入了美國聯邦政府和私營部門的系統。隨著調查的深入，研究人員發現 SolarWinds自身的安全防御也非常薄弱。安全研究人員庫馬爾（Vinoth Kumar）2020 年曾發現了一個用于訪問SolarWinds 更新服務器的硬編碼密碼使用了弱口令“SolarWinds123”。

　　（二）在 SolarWinds 公司的網管軟件 Orion中植入了惡意軟件

　　在實現了對 SolarWinds 網絡的初始訪問后，攻擊者在 SolarWinds 的整個網絡中開展了數月的情報偵察活動。根據火眼的分析報告，惡意代碼包含在SolarWinds.Orion.Core.BusinessLayer.dll 中。Dll 文 件具有合法的簽名，表明攻擊者從源碼階段進行了控制。考慮軟件工程的工作流程，攻擊者最有可能發起感染的位置是代碼倉庫，這樣能夠最大限度避開提交前的審查，以及提交期間的自動化代碼掃描，防止在開發階段被發現。可以確認，攻擊者在軟件倉庫中的 Orion 軟件中植入了 Sunburst 后門。

　　從 2020 年 3 月至 2020 年 5 月，攻擊者對多個木馬更新進行了數字簽名，并發布到 SolarWinds 更新網站上，木馬更新文件是標準的 Windows Installer 補丁文件，其中包括與更新相關的壓縮資源，還包括被木馬化的動態鏈接庫（DLL）組件。一旦 onion 產品用戶安裝了更新，惡意 Dll 文件將由合法的 SloarWinds執行程序加載，并通過特殊的域名生成算法（DGA）生成域名與惡意 C2 通信，其通信流量會模擬成正常的 SolarWinds API 通信，以達成偽裝效果。

　　（三）用戶下載安裝預植后門的 Orion 軟件更新包后被植入木馬

　　根據微軟公司總裁布拉德·史密斯（BradSmith）2 月 23 日在國會聽證會上的證詞，用戶下載安裝被植入后門的更新后，黑客根據 Sunburst 程序回傳的數據確認目標的重要程度，精選關注的重要目標部署第二階段惡意軟件，進而實施憑證竊取或橫向拓展操作。在橫向拓展階段，攻擊者可以選擇在不被微軟發現的情況下將惡意軟件駐留在本地；或者將惡意軟件轉移到云上，進而使用憑證進行本地訪問，或是生成令牌以獲取對電子郵件之類的云服務的訪問，最終竊取并回傳受害者電腦中的數據。

　　三、攻擊特點

　　SolarWinds 供應鏈攻擊事件是一起經長期準備、隱蔽性很強、技戰術高超的網絡攻擊行動，其背后的 APT 組織經驗豐富，具有高度的耐心與紀律意識，攻擊協同達到了很高的水準。

　　（一）尋找漏洞精準制敵

　　多年來，美國政府和軍方斥巨資網絡監控體系，建成了“愛因斯坦計劃”（Einstein）和“守護者”（Tutelage）等兩大網絡空間監控系統。“愛因斯坦計劃”由國土安全部國家網絡通信整合中心運營，能夠對聯邦政府網絡和部門關鍵基礎設施網絡進行細粒度全流量監控。攻擊者精心挑選了未納入“愛因斯坦計劃”監控范圍但卻有大量重要客戶的SolarWinds 公司，有效規避了美國網絡態勢監控系統的審查。

　　（二）長期準備密切協同

　　SolarWinds 供應鏈攻擊事件任務復雜度高，對作戰指揮協同提出了很高要求。FireEye 分析認為，攻擊團隊的規模在 1000 人以上。組織如此龐大規模的攻擊行動，涉及制定方案、模擬演練、準備攻擊基礎設施、前期偵察、定制化開發武器和指揮控制平臺、獲取目標網絡初始權限、后期滲透拓展等環節，作戰周期至少持續一年。在分工方面，由專業團隊進行謀劃，由供應鏈攻擊團隊打點，由作戰支撐團隊提供定制化武器和域名等作戰資源，由分析團隊進行目標確認，由滲透團隊實行深入控制。參戰人員嚴格執行“規定動作”，從捕獲的“魚群”中只選擇心儀的“大魚”，按照分工進行滲透拓展，沒有出現打亂仗的情況。

　　（三）隱蔽滲透長線作戰

　　從 2019 年 9 月黑客侵入 SolarWinds 網 絡， 到2020 年 12 月 FireEye 發出通知，在長達一年零三個月的時間里，沒有任何一家機構發現被黑客攻擊。主要是因為攻擊者采用了多項技戰術手段：發起正式攻擊前在實網環境下進行“無損”測試、精準選定 SolarWinds 代碼倉庫“無感”植入惡意代碼、惡意后門“小心”判斷執行條件。

　　2019 年 9 月黑客在 SolarWinds 軟件升級包植入后門后，并未急于發動攻擊。為確保萬無一失，攻擊者在實際網絡環境下對攻擊流程進行了一次“無損”測試。威脅情報公司“逆向實驗室”（ReversingLabs）調查顯示，黑客修改的第一個Orion 軟件版本（2019.4.5200.8890）實際上是 2019年 10 月更新的。該版本僅被輕微修改，且其中不包含惡意后門代碼，這是攻擊者第一次開始進行修改軟件的測試。

　　此外，攻擊者從源碼階段就進行了控制。攻擊者選擇感染代碼倉庫，從而避開提交之前的檢查，以及期間的自動化代碼掃描，避免了在開發階段被發現的可能性。攻擊者選擇了一個非常深層次的調用棧，用來降低代碼重構期間被發現的可能。

　　在執行后門功能前，代碼將進行長達 9 層的判斷，用于檢測當前運行環境。幾乎所有的判斷都是通過自定義 hash 算法進行的，這保證了無論是在源碼，還是在編譯后的程序集中，均不會存在敏感字符串，從而降低被查殺的可能。攻擊者寧可放棄大量的上線機會也不愿在某個不安全環境上線。

　　四、事件影響

　　（一） SolarWinds 攻擊“后遺癥”短期難消除

　　雖然美國政府聲稱，在 SolarWinds 軟件供應鏈事件中遭攻陷的多數機構已經按照白宮指令完成修復以及后續獨立審計，以確保攻擊者脫離系統，但在如此大規模的網絡攻擊中找出所有受害者并完全阻止黑客對被入侵網絡的訪問幾乎不太可能。要徹底擺脫攻擊的影響，需重建整個 IT 系統，但這幾乎是不可能的。攻擊者依舊可能利用此前植入的后門進行秘密攻擊，持續獲取信息，甚至潛伏直至未來某個關鍵節點再次集中爆發，造成更大破壞。在本次攻擊中，提供郵件安全服務的上市公司 Mimecast的部分源代碼被盜走，黑客將來有可能在源代碼基礎上挖掘產品遠程執行漏洞，對 Mimecast 的用戶開展供應鏈攻擊。今年 5 月，微軟披露稱，SolarWinds黑客又開始了行動，攻擊目標涉及 24 個國家的政府機構、顧問、智庫和非政府組織。

　　（二） 美俄網絡空間“冤冤相報無休止”

　　拜登與普京今年 6 月 16 日在日內瓦舉行首腦峰會，雙方同意將協商劃定“網絡紅線”，將責成各自政府的網絡安全專家就什么是禁區達成具體共識。拜登稱，美國向普京提供了 16 個關鍵基礎設施領域清單，這些領域不應成為惡意網絡活動的攻擊目標。雖然美國作為緩兵之計，向俄羅斯拋出了橄欖枝，但由于美國在網絡空間領域擁有傲視群雄的強大攻防能力，美國很難放棄對俄羅斯實施網絡攻擊的執念。2018 年 7 月 13 日，美國司法部公布了一份針對俄羅斯聯邦軍隊總參謀部情報總局（GRU）下屬 12名情報人員的起訴書，指控其干擾美國大選。在美國 2018 年中期選舉當天，為防止俄羅斯組織“互聯網研究機構”（IRA）干擾選舉，美國網絡司令部“俄羅斯”小組成功切斷了其與互聯網的連接長達一天之久。對俄羅斯來說，由于美國社會對網絡的高度依賴、網絡互聯互通的天然屬性、網絡基礎設施的私有屬性，據稱有俄羅斯國家背景的 APT 組織亦不會“偃旗息鼓”，將不斷尋找美國網絡漏洞、發動網絡攻擊，令對手重金打造的“網絡馬其頓防線”分崩離析。很難預測俄羅斯對美國的下一次網絡攻擊將在何時以何種方式到來，但可以肯定的是一定會到來。

　　（三） 供應鏈攻擊魔盒已開啟

　　供應鏈攻擊可能影響數十萬乃至上億的軟件產品用戶，并可能進一步帶來竊取用戶隱私、植入木馬、盜取數字資產等危害。SolarWinds 攻擊成功突破了美國國務院、能源部、國防部等核心部門，網絡安全界翹楚 FireEye以及科技界巨頭微軟和思科公司等，再次彰顯了軟件供應鏈攻擊的威力。

　　近年來，基于軟件供應鏈的攻擊案例呈現出不斷增加趨勢。埃森哲公司 2016 年調查顯示，超過60% 的網絡攻擊源于供應鏈攻擊。2020 年 6 月，網絡安全服務商 BlueVoyant 曾發起一項調查，結果顯示 80% 的受訪企業都曾因供應商遭受攻擊而發生數據泄露。SolarWinds 事件不會是最后一個供應鏈攻擊事件，供應鏈攻擊的魔盒已經打開。除了SolarWinds，美國還有眾多擁有大量政府客戶的知名度不高的軟件企業，這些企業都有可能成為供應鏈攻擊的目標。

　　（四） 零信任網絡架構或加速落地

　　零信任是一種以資源保護為核心的網絡安全范式，它將網絡防御從靜態的、基于網絡邊界的防護轉移到關注用戶、資產和資源的動態防護，其核心理念是“從不信任，始終驗證”。零信任模型對網絡攻擊活動中遠程訪問、冒用身份、橫向移動等關鍵步驟具有較強的監控防御作用，美國 NSA 于 2021年 2 月發布了《擁抱零信任安全模型》，強烈推薦政府官方機構采用零信任架構。

　　SolarWinds 事件為美國推動零信任框架落地提供了動力。2021 年 5 月 12 日，美國總統拜登發布行政命令以加強國家網絡安全，明確指示聯邦政府各機構實施零信任方法。5 月 13 日，美國防信息系統局（DISA）在其官網公開發布了其與國防部首席信息官辦公室、美國網絡司令部、美國國家安全局合作開發的《國防部零信任參考架構》，為美國防部大規模采用零信任設定了戰略目的、原則、相關標準和其他技術細節。零信任架構的部署落地，預示著美國重要部門的網絡防御體系將更加完備。