川普：SolarWinds攻擊被媒體誇大了

日前傳出國家級駭客藉由入侵SolarWinds Orion Platform的軟體構建系統，滲透到美國各大政府機構與全球組織，而美國總統川普（Donald Trump）周日（12/20）首度對此事發表看法，卻是批評那些「假新聞媒體」（Fake News Media）誇大了該攻擊的嚴重程度，指出一切都在美國的掌控下。

川普並未說明何謂「被誇大」，但根據彭博社引述1家資安業者及3名熟悉此一駭客事件的消息來源報導，至少有200家全球的政府機構與企業遭到攻擊，而當中應該包含了微軟於日前揭露的逾40家客戶。

此外，就在資安業者與全球媒體把攻擊指向俄羅斯時，川普也說，大家遇到任何意外時率先就會懷疑俄羅斯，但其實也可能是中國。

不過，微軟在說明此一安全意外時，不只多次暗示俄羅斯工程師具備這類的攻擊能力，也曾發動類似的攻擊，還說將在未來幾周提供更多有關攻擊來源的確切證據。

微軟持續公布SolarWinds攻擊行動的細節，指出有證據顯示駭客從去年10月就在測試如何在Orion Platform上嵌入程式碼，而且駭客力求低調，不只是所植入的木馬程式非常的輕巧，在成功進駐受害系統之後，還會進行一系列的檢查，以確定它的確是在攻擊目標的系統上運作，而非分析師的機器。

從微軟揭露的駭客入侵流程圖上可看出，駭客是先在合法軟體（Orion Platform）上的DLL元件注入惡意程式碼，確定攻擊目標後開始蒐集系統資訊，再與C&C伺服器聯繫以取得攻擊指令，包括竊取憑證、擴張權限，或是橫向移動等。

儘管該攻擊行動從今年3月就已展開，但一直到12月才被發現，躲過了美國斥資數百億美元建造的網路攻擊防禦系統Einstein。華爾街日報則報導，此一攻擊行動被識破，有賴於FireEye的一名員工與安全團隊在前幾周，同時收到了一個自動傳遞的安全警報，原因是有人在一臺陌生的裝置上，以員工的憑證登入了FireEye的VPN網路，這類的警報訊息通常會定期被移除，卻碰巧被注意到了，此外，若非資安業者FireEye先發現自己遭駭，被駭的美國聯邦機構可能還不知不覺。