SolarWinds指责实习生“solarwinds123”密码错误

随着网络安全研究人员继续拼凑蔓延的SolarWinds供应链攻击事件，这家总部位于德克萨斯州的软件服务公司的高管将一名实习生的严重密码错误归咎于几年来未被注意到的情况。

上述密码“solarwinds123”最初被认为是自2018年6月17日起通过GitHub存储库公开访问的，而错误配置在2019年11月22日得到解决。

But in a hearing before the House Committees on Oversight and Reform and Homeland Security on SolarWinds on Friday, CEO Sudhakar Ramakrishna testified that the password had been in use as early as 2017.

虽然对此次攻击的初步调查显示，间谍活动背后的运营商早在2019年10月就设法破坏了SolarWinds Orion平台的软件构建和代码签名基础设施，以提供Sunburst后门，Crowdstrike的事件响应工作指出了一个修订的时间表，该时间表确定了2019年9月4日第一次违反SolarWinds网络。

迄今为止，至少有9个政府机构和100家私营企业在被称为最复杂、计划最周密的操作之一的过程中遭到破坏，该操作涉及将恶意植入物注入猎户座软件平台，目的是损害其客户。

“一个实习生犯的错误。”

加州众议员凯蒂·波特（Katie Porter）说：“我有一个比‘solarwinds123’更强大的密码，可以阻止我的孩子在iPad上看太多YouTube。”。“你和你的公司应该阻止俄罗斯人阅读国防部的电子邮件。”

“我相信这是一个实习生2017年在他的一台服务器上使用的密码，该密码已上报给我们的安全团队，并立即被删除，”罗摩克里希纳在回应波特时说。

前首席执行官凯文·汤普森在证词中附和了罗摩克里希纳的声明。汤普森说：“这与一名实习生犯的一个错误有关，他们违反了我们的密码政策，并在自己的私人GitHub帐户上发布了该密码。”。“一经确认并提请我的安全团队注意，他们就把它取了下来。”

安全研究员维诺思·库马尔（Vinoth Kumar）去年12月透露，他通知该公司一个公开访问的GitHub存储库，该存储库正在公开泄露该公司下载网站的FTP凭据。他补充说，黑客可以使用这些凭据上传恶意可执行文件，并将其添加到SolarWinds更新中。

在启示录公布后的几周里，2021年1月，SolarWinds被一场集体诉讼起诉，称该公司未能透露“自2020年中期以来，SalasWrand猎户座监控产品有一个漏洞，允许黑客破坏产品运行的服务器”。“SolarWinds的更新服务器有一个易于访问的密码‘solarwinds123’，”因此，该公司“将遭受重大声誉损害”

虽然目前尚不清楚泄露的密码可能在多大程度上导致了黑客攻击，但该公司的一名第三方发言人声称，情况恰恰相反。

“SolarWinds已确定使用该密码的凭证用于第三方供应商应用程序，而不是用于访问SolarWinds IT系统，”该发言人说。“此外，第三方应用程序没有与SolarWinds IT系统连接。因此，SolarWinds已确定使用此密码的凭据与SUNBURST攻击或公司IT系统的其他漏洞无关。”

美国国家航空航天局和美国联邦航空局也瞄准了

据信，多达1.8万名SolarWinds客户已收到特洛伊木马化的猎户座更新，尽管该行动背后的威胁参与者仔细选择了他们的目标，只有在少数情况下，才会选择通过部署基于英特尔的Teardrop恶意软件来升级攻击，这些恶意软件是在对目标环境进行高价值账户和资产的初始侦察时积累的。

据《华盛顿邮报》报道，除了渗透微软、FireEye、Malwarebytes和Mimecast的网络外，据说攻击者还利用SolarWinds作为切入点，渗透美国国家航空航天局（NSA）和联邦航空局（FAA）。

其他七个违规机构是国务院、司法部、商务部、国土安全部、能源部、财政部和国家卫生研究院。

微软总裁布拉德·史密斯（Brad Smith）说：“除了这一估计，我们还在其他国家发现了更多的政府和私营部门受害者，我们认为很可能还有其他受害者尚未确认，尤其是在云迁移不如美国先进的地区。”在听证会上。

该威胁组织据称起源于俄罗斯，目前正在以不同的名字追踪，包括UNC2452（火眼）、SolarStorm（帕洛阿尔托42号机组）、StellarParticle（众击）和Dark Halo（Volexity）。

副国家安全顾问安妮·纽伯格（Anne Neuberger）上个月在白宫简报会上说：“黑客从美国境内发起了黑客攻击，这进一步使美国政府难以观察他们的活动。”。“这是一位老于世故的演员，他尽了最大努力隐藏自己的行踪。我们相信他们花了数月时间策划并实施了这一妥协。”

采用“设计安全”的方法

史密斯将太阳风网络攻击比作“大规模的一系列家庭入侵”，敦促加强科技行业的软件和硬件供应链，并促进更广泛地共享威胁情报，以便在此类事件中做出实时反应。

为此，微软提供了用于搜索Solorigate活动的开源CodeQL查询，称其他组织可以利用这些查询大规模分析其源代码，并检查与攻击相关的危害指标（IOC）和编码模式。

在一项相关的发展中，网络安全研究人员在接受《华尔街日报》采访时透露，疑似俄罗斯黑客利用亚马逊的云计算数据中心发动了一场关键的行动，为攻击的范围和该组织所采用的战术提供了新的线索。然而，这家科技巨头迄今尚未公开其对黑客活动的见解。

SolarWinds则表示，它正在利用从事件中获得的知识，发展成为一家“设计安全”的公司，并在其所有网络端点部署额外的威胁保护和威胁搜索软件，包括保护其开发环境的措施。