一、事件简述

2020年末，“太阳风”（SolarWinds）黑客事件进入全球视野。黑客利用美国“太阳风”公司的“猎户网络”（Orion Network）管理平台，成功入侵了美国财政部、国土安全部等多家美国联邦政府机构网站。受影响的软件被广泛部署在电力、石油、天然气以及制造业等多个领域以及多家全球500强企业。

二、事件始末

2020年初，位于美国德克萨斯州的IT公司“太阳风”首先遭到黑客攻击。“太阳风”黑客事件也由此得名。

2020年12月8日，美国网络安全公司“火眼”（FireEye）首次公开披露了此次黑客攻击，称该公司用于测试客户防御能力的软件工具遭到一次高度复杂的国家级别网络攻击。之后，遭受攻击的名单不断扩大，包括：美国财政部、国土安全部、商务部、能源部、国家核安全管理局、亚利桑那州政府等机构，此外，还有英特尔（Intel）、英伟达（Nvidia）、思科（Cisco）、贝尔金（Belkin Corporation）以及 VMware 等企业。

12月16日，美国联邦调查局、网络安全与基础设施安全局（CISA）、国家情报局，在一份联合声明中正式确认，这场黑客攻击仍在持续。这3个机构成立了联合指挥部，对这起大规模的网络攻击展开调查。

微软公司表示，其已在全球范围内确认超过40个政府机构、智库、非政府组织以及科技公司遭到了此次黑客攻击。其中，绝大部分机构都在美国，但加拿大、墨西哥、英国、西班牙等国家也遭受了攻击。

2021年1月，美国情报部门发表声明称，俄罗斯很可能是“太阳风”黑客事件的幕后黑手，9个美国政府机构和大约100家美国公司的网络系统遭受攻击，其中包括美国国务院、司法部、国家航空航天局等。

2月，美国总统拜登在慕尼黑安全大会上称，美将会对俄袭击电脑网络的行为采取行动。

2月20日，微软公布了“太阳风”黑客事件的最终报告。微软承认黑客已经进入了他们的系统，并且能够查看其中一些产品的源代码，但表示黑客不能够利用这些泄露的代码来攻击和感染其它用户。

2月23日，美国参议院情报委员会针对“太阳风”黑客事件召开听证会。

三、“太阳风”公司简介

“太阳风”公司的软件产品在美国及其他地区的IT部门中颇受欢迎，主要是用于企业内部网络管理，目前全球客户超过32万家，专门提供用于监控网络内计算机性能的技术方案。

根据彭博社的销售记录统计，自1999年成立以来，“太阳风”及其合作伙伴已经与美国政府签订了价值超过2.3亿美元的供货合同。其软件在各级联邦政府机构中无处不在。记录显示，美国军方、联邦调查局、特勤局、国家核安全管理局、退伍军人事务部以及国土安全部都曾采购“太阳风”的软件。“太阳风”软件还获批在美国政府内广泛使用。2019年8月，Orion软件的某一特定版本就获准供国防信息系统局使用，负责测试各类网络安全问题。

经调查，在2020年3月至6月，“太阳风”公司更新201.9.4版到202.2.1版，这些版本全部包含名为“SUNBURST”的恶意软件。这是非常典型的供应链攻击，即攻击者渗透上游软件开发商的软件，通过这些软件将恶意软件再带到目标机构中。

四、美方报复

美国政府官员、行业高管和安全专家，将“太阳风”黑客事件描述为有史以来针对美国公共和私营部门开展的规模最大的已知网络活动之一。“火眼”首席执行官凯文·曼迪亚和微软总裁布拉德·史密斯在证词中表示，此次黑客攻击由俄罗斯情报部门发动，主要动机是开展网络间谍活动。微软内部安全专家组成团队，对该公司遭受的攻击行为进行了调查。

2021年4月中旬，拜登政府对俄罗斯实施近年来首轮重大制裁，制裁多个俄罗斯实体，并驱逐10名俄外交人员，称原因是俄干预2020年美国总统大选，并参与了“太阳风”黑客攻击联邦机构的活动。莫斯科方面对此加以否认。

五、微软的调查

（一）微软专家的分析

微软安全团队专家曾发布博客，分享了此次攻击事件中黑客使用的逃避策略和战术。

1、黑客使用的逃避策略

逃避策略主要用来规避反病毒软件和安全专家调查，即将自己的操作痕迹隐藏，避免被日常检查时发现异常。在此次攻击事件中黑客使用多种逃避策略，部分重点如下：

为每台计算机上部署自定义的Cobalt Strike DLL植入程序，有条不紊的避免每个受感染的主机共享相同的指标；通过重命名工具和二进制文件匹配受感染主机上的文件，这样可以进行伪装并混入环境避免被受害者发现异常；黑客在动手操作前先使用AUDITPOL禁用事件日志记录，禁用后进行操作就不会被记录，操作完再启用此功能；在运行复杂的网络枚举活动前创建防火墙规则以最小化某些协议的传出数据包，完成操作后再将这些规则删除；首先在目标主机上禁用安全服务例如已经安装的各类安全软件，禁用后再仔细计划如何在内网里进行横向传播；使用某些工具修改工件的时间戳即篡改文件时间避免被首先检测，同时利用擦除工具清理文件痕迹避免被发现。

2、黑客使用的战术及时间表

“太阳风”公司披露的信息是黑客早在2019年9月就已经完成渗透，随后开始潜伏伺机篡改太阳风软件部分组件；相关后门程序则是在2020年2月开始进行部署，然后在3月开始向目标机构的内网环境中部署，但此时并未攻击；在此阶段后黑客耐心等待并定制开发Cobalt Strike植入物，选择感兴趣的目标，直到5月初黑客才开始发动攻击；6月份，黑客从太阳风软件里将后门程序删除；接下来黑客通过植入物开始进行更多攻击操作，这个植入物能够让黑客远程控制键盘然后挑选目标进行更多操作；最终在2020年底时美国安全公司“火眼”的雇员发现某些日志文件缺少片段，随后进行调查发现公司已遭到黑客渗透。 

（二）微软的最终报告

2021年2月20日，微软公布了“太阳风”黑客事件的最终报告。微软承认黑客已经进入了他们的系统，并且能够查看其中一些产品的源代码，但是微软表示黑客不能够利用这些泄露的代码来攻击和感染其它用户。

微软为了调查“太阳风”攻击事件的影响，动用了超过1000名的工程师进行了长时间调查。微软总裁史密斯此前接受外媒采访表示，“这起事件是全世界有史以来影响最广、最复杂的黑客攻击。”

微软在报告中表示，以下代码遭到了泄露：Azure服务、安全以及身份验证信息的一小部分代码；Intune工具的一小部分代码；Exchange组件中的一小部分代码。 

微软表示，黑客此前尝试寻找这些代码中的有价值信息，但是由于该公司安全措施完善，具备严格的代码开发规范，因此关键代码并不会被黑客窃取。微软能够验证黑客查看的数据并不包含任何实时生产环境中的凭据。

微软表示，通过此次攻击行为，有两方面需要重点强调：拥有零信任的心态、保护好凭据。

六、美国政府的应对

（一）拜登政府

“太阳风”黑客事件是拜登新政府需要面对的首要网络安全挑战。拜登政府已开始在机构调整、人事安排、资金支持等方面进行布局。2021年1月14日，拜登过渡团队公布一项1.9万亿美元的救助计划，旨在帮助美国从新冠肺炎疫情造成的毁灭性经济打击中复苏。其中包括为联邦机构的信息技术现代化和网络安全升级提供资金。拜登政府希望向技术现代化基金增加90亿美元，推动美国网络安全与基础设施安全局（CISA）发展，并帮助CISA和总务管理局推出新的重大信息技术和网络安全共享服务，完成各联邦机构的现代化计划。其中还包括向CISA额外拨款6.9亿美元，以加强各个联邦机构的网络防御，并试行“新的共享安全和云计算服务”。拜登政府对CISA的重视表明，未来CISA将发挥更大作用。

（二）美国国家安全局

鉴于“太阳风”黑客事件，美国国家安全局发布指南，敦促国家安全系统、国防部网络和国防工业基础系统采用零信任安全模型。

当今企业IT环境的地理分布更分散，特别是随着IT资源从组织机构迁移到云端，传统的网络外围安全措施正变得越来越不充分且效率低下，而零信任模型是应对潜在网络安全威胁更合适的新型网络安全措施。根据美国国家安全局发布的指南，零信任是“一种安全模型，一套系统设计原则，以及协调一致的网络安全与系统管理策略”。它是一种“以数据中心为中心”的安全方法，其所假设的最坏情况是组织机构已遭到攻击或将要遭到攻击。零信任模型基于“假定的攻击”，将“最低特权”安全原则应用于网络中的每个用户和节点，并通过基于风险的访问控制、安全监控和安全自动化来实施。

与旧的安全模型相比，美国国家安全局的指南提供了3个零信任模型案例。其中之一是，恶意行为者将恶意代码嵌入流行的企业网络设备或应用程序（设备或应用程序已根据最佳实践在组织机构的网络上进行维护和定期更新），隐藏的代码使攻击者可以从后门进入安装了受感染软件的组织机构系统中。

七、结语

作为近年来最严重的网络安全事件之一，本次黑客首选攻击的是“太阳风”公司旗下的网络管理软件Orion，该软件通常部署在大型网络中，密切跟踪服务器、网络设备、笔记本电脑和物联网设备等所有IT资源。本次供应链攻击事件表明，远程监控和管理工具更频繁的被攻击者用作攻击媒介，因为攻击者可以更深入的潜伏在企业网络，涉及面广，影响大。此次事件更应该引起对于IT监控系统安全性的重视。

网络攻击频发为网络安全行业敲响了警钟，网络空间已日益成为继陆、海、空、天之后的第五大主权领域空间，成为各国争夺的重要战略空间。5G行业的迅速发展，也对网络安全问题提出了更高的要求。加强网络安全国产替代、构建安全可控的信息技术体系，变得越来越重要。自主可控，道阻且长。全国产、完全自有产权的网安产品，定是未来国内诸多机构和企业的必然选择。