太阳风轻易不爆发，一爆发便是“地动山摇”。2020 年底，美国企业和政府网络突遭“太阳风暴”攻击。黑客利用太阳风公司（SolarWinds）的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。2020 年 12 月 13 日，美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。

　　SolarWinds 事件是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击，波及全球多个国家和地区的 18000 多个用户，被认为是“史上最严重”的供应链攻击。其背后的攻击组织训练有素、作战指挥协同达到了很高的水准。

　　一、事件概要

　　2020 年 11 月底，在火眼公司（FireEye）的内部安全日志审计中，审查员发现一条安全警告：一位员工注册了一个新的手机号码接收双因素认证验证码。虽然更换手机并非罕见现象，审查员还是决定跟进调查此事。经过询问，当事员工反馈这段时间他并没有在系统中注册新的手机号码。这是一个非常明显的网络遭到侵入的信号。FireEye 迅速组织 100 多人的团队开始彻查，研究团队发现，这不是一起简单的攻击行为，攻击者的手段非常高明，运用了许多之前没有出现过的攻击套路。

　　2020 年 12 月 8 日，FireEye 在其官方博客发布了一篇文章，文中提到，“一个具备顶级网络攻击能力的国家”正在针对 FireEye 进行网络攻击，并且已经成功窃取了一批安全研究工具软件。随后，FireEye 的研究人员开始分析内部的 SolarWinds 软件服务器，但并没有发现服务器上有任何恶意软件的安装痕迹。研究团队于是决定对服务器上的SolarWinds 软件进行逆向分析，在其中的一个模块中发现了具有 SolarWinds 公司数字签名的恶意代码。

　　2020 年 12 月 12 日，FireEye 将相关情况通报给SolarWinds 公司。同一天，SolarWinds 向美国证监会和公众披露了攻击事件，威胁由此浮出水面，新的受害者陆续被发现，其中最引人关注的是美国商务部、国土安全部、国务院、财政部、核安全委员会等联邦机构。太阳风公司承认，约 1.8 万名该公司客户遭到网络攻击。

　　根据 SolarWinds 公司公布的调查情况，攻击者最早可能是在 2019 年 9 月访问了 SolarWinds 的内部系统，9 月 12 日黑客开始在 SolarWinds 的编译服务器上修改产品发布流程，植入恶意代码，并进行详细的测试，测试过程持续了接近两个月，直到 2019年 11 月 4 日测试结束。2020 年 2 月 20 日，黑客又制作了新版恶意代码并进行植入。2020 年 6 月，黑客清除了对编译环境所做的修改。在此期间，SolarWinds 的编译服务器一直按照产品发布计划自动进行产品打包和发布操作。

　　SolarWinds 攻击事件被曝光后，美国政府相关机构和网络安全私营部门迅速响应。2020 年 12 月 18日，FireEye、微软、GoDaddy 联合接管了“日爆”（Sunburst ）后门通信使用的域名，并指向了受控域名，阻断了遭攻击网络中的恶意 Sunburst 后门与 病毒控制服务器之间的通信。2021 年 1 月 5 日，据美国《国会山报》报道，美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）、国家情报总监办公室（ODNI）和国家安全局（NSA）发表联合声明，正式指控俄罗斯政府策划了 SolarWinds 供应链攻击。2021 年 4 月 15 日，美国财政部方面宣布对俄制裁内容，指出俄罗斯对外情报局（SVR）负责实施了SolarWinds 攻击事件。SVR 利用 SolarWinds Orion 平台和其他信息技术基础架构，入侵了成千上万的美国政府和私营部门网络，并窃取了红队工具（指的是火眼工具）。英国外交和联邦事务部同一天发布声明，指责 SVR 为 SolarWinds 供应链攻击事件的幕后凶手。

　　二、攻击流程

　　360 威胁情报中心在《软件供应链来源攻击分析报告》中将软件供应链分为以下三个环节：

　　开发环节。涉及软硬件开发环境、开发工具、第三方库、软件开发实施等，软件开发实施的具体过程还包括需求分析、设计、实现和测试等，软件产品在这一环节形成最终用户可用的形态。

　　监管使用环节。包括软件安全性测评、软件离线和在线升级以及企业内部系统远程或实地运维等过程。

　　交付环节。用户通过在线商店、免费网络下载、官网下载、购买软件安装光盘等存储介质、资源共享等方式获取所需软件产品；软件开发企业根据用户定制化开发需求为用户部署安装软件系统。

　　攻击者针对上述一个或多个环节进行攻击，有可能影响最终的软件产品和整个使用场景的安全。软件产品如果在源代码级别被攻击者植入恶意代码将非常难以被发现，并且这些恶意代码在披上正规软件厂商的合法外衣后更能轻易躲过安全软件产品的检测，或许会长时间潜伏于用户机器中不被察觉。

　　综合 SolarWinds、微软、火眼、赛门铁克等美国安全厂商、中国网络安全厂商奇安信、瑞士安全厂商 Prodaft 等发布的事件研究报告，结合对样本的分析，可以确认，这是一起典型的软件供应链攻击，主要攻击流程可以概括为以下三步：第一，APT 组织攻陷了 SolarWinds 的软件仓库（SVN）服务器；第二，在 SolarWinds 的网管软件 Orion 中植入了恶意软件。FireEye 将该恶意软件命名为 Sunburst，微软则命名为“太阳门”（Solorigate）；第三，用户下载安装中毒的 Orion 软件更新包后被植入木马。

　　（一）获取 SolarWinds 公司网络初始访问权限

　　对于攻击者如何获取了 SolarWinds 网络的初始访问权限，尚未有明确结论，仅有一些猜测，例如，SolarWinds 称，攻击者最初是通过微软 0ffice365 服务的漏洞进入其系统，但微软强烈否认此说法。据纽约时报 2021 年 1 月 6 日报道，总部位于捷克共和国的 JetBrains 软件公司可能是 SolarWinds黑客攻击的切入点，俄罗斯黑客可能利用了该公司开发的一款工具进入了美国联邦政府和私营部门的系统。随着调查的深入，研究人员发现 SolarWinds自身的安全防御也非常薄弱。安全研究人员库马尔（Vinoth Kumar）2020 年曾发现了一个用于访问SolarWinds 更新服务器的硬编码密码使用了弱口令“SolarWinds123”。

　　（二）在 SolarWinds 公司的网管软件 Orion中植入了恶意软件

　　在实现了对 SolarWinds 网络的初始访问后，攻击者在 SolarWinds 的整个网络中开展了数月的情报侦察活动。根据火眼的分析报告，恶意代码包含在SolarWinds.Orion.Core.BusinessLayer.dll 中。Dll 文 件具有合法的签名，表明攻击者从源码阶段进行了控制。考虑软件工程的工作流程，攻击者最有可能发起感染的位置是代码仓库，这样能够最大限度避开提交前的审查，以及提交期间的自动化代码扫描，防止在开发阶段被发现。可以确认，攻击者在软件仓库中的 Orion 软件中植入了 Sunburst 后门。

　　从 2020 年 3 月至 2020 年 5 月，攻击者对多个木马更新进行了数字签名，并发布到 SolarWinds 更新网站上，木马更新文件是标准的 Windows Installer 补丁文件，其中包括与更新相关的压缩资源，还包括被木马化的动态链接库（DLL）组件。一旦 onion 产品用户安装了更新，恶意 Dll 文件将由合法的 SloarWinds执行程序加载，并通过特殊的域名生成算法（DGA）生成域名与恶意 C2 通信，其通信流量会模拟成正常的 SolarWinds API 通信，以达成伪装效果。

　　（三）用户下载安装预植后门的 Orion 软件更新包后被植入木马

　　根据微软公司总裁布拉德·史密斯（BradSmith）2 月 23 日在国会听证会上的证词，用户下载安装被植入后门的更新后，黑客根据 Sunburst 程序回传的数据确认目标的重要程度，精选关注的重要目标部署第二阶段恶意软件，进而实施凭证窃取或横向拓展操作。在横向拓展阶段，攻击者可以选择在不被微软发现的情况下将恶意软件驻留在本地；或者将恶意软件转移到云上，进而使用凭证进行本地访问，或是生成令牌以获取对电子邮件之类的云服务的访问，最终窃取并回传受害者电脑中的数据。

　　三、攻击特点

　　SolarWinds 供应链攻击事件是一起经长期准备、隐蔽性很强、技战术高超的网络攻击行动，其背后的 APT 组织经验丰富，具有高度的耐心与纪律意识，攻击协同达到了很高的水准。

　　（一）寻找漏洞精准制敌

　　多年来，美国政府和军方斥巨资网络监控体系，建成了“爱因斯坦计划”（Einstein）和“守护者”（Tutelage）等两大网络空间监控系统。“爱因斯坦计划”由国土安全部国家网络通信整合中心运营，能够对联邦政府网络和部门关键基础设施网络进行细粒度全流量监控。攻击者精心挑选了未纳入“爱因斯坦计划”监控范围但却有大量重要客户的SolarWinds 公司，有效规避了美国网络态势监控系统的审查。

　　（二）长期准备密切协同

　　SolarWinds 供应链攻击事件任务复杂度高，对作战指挥协同提出了很高要求。FireEye 分析认为，攻击团队的规模在 1000 人以上。组织如此庞大规模的攻击行动，涉及制定方案、模拟演练、准备攻击基础设施、前期侦察、定制化开发武器和指挥控制平台、获取目标网络初始权限、后期渗透拓展等环节，作战周期至少持续一年。在分工方面，由专业团队进行谋划，由供应链攻击团队打点，由作战支撑团队提供定制化武器和域名等作战资源，由分析团队进行目标确认，由渗透团队实行深入控制。参战人员严格执行“规定动作”，从捕获的“鱼群”中只选择心仪的“大鱼”，按照分工进行渗透拓展，没有出现打乱仗的情况。

　　（三）隐蔽渗透长线作战

　　从 2019 年 9 月黑客侵入 SolarWinds 网 络， 到2020 年 12 月 FireEye 发出通知，在长达一年零三个月的时间里，没有任何一家机构发现被黑客攻击。主要是因为攻击者采用了多项技战术手段：发起正式攻击前在实网环境下进行“无损”测试、精准选定 SolarWinds 代码仓库“无感”植入恶意代码、恶意后门“小心”判断执行条件。

　　2019 年 9 月黑客在 SolarWinds 软件升级包植入后门后，并未急于发动攻击。为确保万无一失，攻击者在实际网络环境下对攻击流程进行了一次“无损”测试。威胁情报公司“逆向实验室”（ReversingLabs）调查显示，黑客修改的第一个Orion 软件版本（2019.4.5200.8890）实际上是 2019年 10 月更新的。该版本仅被轻微修改，且其中不包含恶意后门代码，这是攻击者第一次开始进行修改软件的测试。

　　此外，攻击者从源码阶段就进行了控制。攻击者选择感染代码仓库，从而避开提交之前的检查，以及期间的自动化代码扫描，避免了在开发阶段被发现的可能性。攻击者选择了一个非常深层次的调用栈，用来降低代码重构期间被发现的可能。

　　在执行后门功能前，代码将进行长达 9 层的判断，用于检测当前运行环境。几乎所有的判断都是通过自定义 hash 算法进行的，这保证了无论是在源码，还是在编译后的程序集中，均不会存在敏感字符串，从而降低被查杀的可能。攻击者宁可放弃大量的上线机会也不愿在某个不安全环境上线。

　　四、事件影响

　　（一） SolarWinds 攻击“后遗症”短期难消除

　　虽然美国政府声称，在 SolarWinds 软件供应链事件中遭攻陷的多数机构已经按照白宫指令完成修复以及后续独立审计，以确保攻击者脱离系统，但在如此大规模的网络攻击中找出所有受害者并完全阻止黑客对被入侵网络的访问几乎不太可能。要彻底摆脱攻击的影响，需重建整个 IT 系统，但这几乎是不可能的。攻击者依旧可能利用此前植入的后门进行秘密攻击，持续获取信息，甚至潜伏直至未来某个关键节点再次集中爆发，造成更大破坏。在本次攻击中，提供邮件安全服务的上市公司 Mimecast的部分源代码被盗走，黑客将来有可能在源代码基础上挖掘产品远程执行漏洞，对 Mimecast 的用户开展供应链攻击。今年 5 月，微软披露称，SolarWinds黑客又开始了行动，攻击目标涉及 24 个国家的政府机构、顾问、智库和非政府组织。

　　（二） 美俄网络空间“冤冤相报无休止”

　　拜登与普京今年 6 月 16 日在日内瓦举行首脑峰会，双方同意将协商划定“网络红线”，将责成各自政府的网络安全专家就什么是禁区达成具体共识。拜登称，美国向普京提供了 16 个关键基础设施领域清单，这些领域不应成为恶意网络活动的攻击目标。虽然美国作为缓兵之计，向俄罗斯抛出了橄榄枝，但由于美国在网络空间领域拥有傲视群雄的强大攻防能力，美国很难放弃对俄罗斯实施网络攻击的执念。2018 年 7 月 13 日，美国司法部公布了一份针对俄罗斯联邦军队总参谋部情报总局（GRU）下属 12名情报人员的起诉书，指控其干扰美国大选。在美国 2018 年中期选举当天，为防止俄罗斯组织“互联网研究机构”（IRA）干扰选举，美国网络司令部“俄罗斯”小组成功切断了其与互联网的连接长达一天之久。对俄罗斯来说，由于美国社会对网络的高度依赖、网络互联互通的天然属性、网络基础设施的私有属性，据称有俄罗斯国家背景的 APT 组织亦不会“偃旗息鼓”，将不断寻找美国网络漏洞、发动网络攻击，令对手重金打造的“网络马其顿防线”分崩离析。很难预测俄罗斯对美国的下一次网络攻击将在何时以何种方式到来，但可以肯定的是一定会到来。

　　（三） 供应链攻击魔盒已开启

　　供应链攻击可能影响数十万乃至上亿的软件产品用户，并可能进一步带来窃取用户隐私、植入木马、盗取数字资产等危害。SolarWinds 攻击成功突破了美国国务院、能源部、国防部等核心部门，网络安全界翘楚 FireEye以及科技界巨头微软和思科公司等，再次彰显了软件供应链攻击的威力。

　　近年来，基于软件供应链的攻击案例呈现出不断增加趋势。埃森哲公司 2016 年调查显示，超过60% 的网络攻击源于供应链攻击。2020 年 6 月，网络安全服务商 BlueVoyant 曾发起一项调查，结果显示 80% 的受访企业都曾因供应商遭受攻击而发生数据泄露。SolarWinds 事件不会是最后一个供应链攻击事件，供应链攻击的魔盒已经打开。除了SolarWinds，美国还有众多拥有大量政府客户的知名度不高的软件企业，这些企业都有可能成为供应链攻击的目标。

　　（四） 零信任网络架构或加速落地

　　零信任是一种以资源保护为核心的网络安全范式，它将网络防御从静态的、基于网络边界的防护转移到关注用户、资产和资源的动态防护，其核心理念是“从不信任，始终验证”。零信任模型对网络攻击活动中远程访问、冒用身份、横向移动等关键步骤具有较强的监控防御作用，美国 NSA 于 2021年 2 月发布了《拥抱零信任安全模型》，强烈推荐政府官方机构采用零信任架构。

　　SolarWinds 事件为美国推动零信任框架落地提供了动力。2021 年 5 月 12 日，美国总统拜登发布行政命令以加强国家网络安全，明确指示联邦政府各机构实施零信任方法。5 月 13 日，美国防信息系统局（DISA）在其官网公开发布了其与国防部首席信息官办公室、美国网络司令部、美国国家安全局合作开发的《国防部零信任参考架构》，为美国防部大规模采用零信任设定了战略目的、原则、相关标准和其他技术细节。零信任架构的部署落地，预示着美国重要部门的网络防御体系将更加完备。