SolarWinds公司的CEO——Sudhakar Ramakrishna(苏德哈卡尔·罗摩克里希纳)在当地时间本周一发布了一份关于供应链攻击的最新报告。报告指出,在这次攻击中,拥有国家背景的攻击者通过在软件更新中注入恶意软件,从而危及了相当多的知名企业和政府机构。同时,Ramakrishna还拿出了一个详细的时间线,展示了SolarWinds首次被攻破的时间点。“这起事件起于2019年9月,这是我们的团队在调查内部系统中,所发现的可疑行为最早出现的时间。”Ramakrishna写道。
在此之前,不少安全研究人员表示,基于他们在之前调查时的技术证据来看,攻击者有可能在2019年年底首次攻破了SolarWinds。
根据披露的内容看,时间线大体是这样展开的:2019年9月4日,攻击者初次攻入SolarWinds,并进行了测试代码的注入,并一直到11月。2020年2月,Sunburst恶意软件被部署。2020年6月,攻击者从SolarWinds的环境中删除了Sunburst恶意软件。在上述的整个过程中,攻击者都未被发现,而从那时到现在,SolarWinds一直都在研究Orion Platform的各种漏洞,这是一个常态且持续的过程。然而即便是这样,一直到2020年12月,Sunburst都未被发现。
Ramakrishna还表示,包括安全公司CrowdStrike和KPMG(毕马威)在内的调查小组发现了一个“高度复杂且新颖的恶意代码注入源”,国家背景的攻击者利用这个源将Sunburst植入Orion Platform。根据更新后的时间线,SolarWinds在12月12日得知了被攻击的消息,并于两天后公之于众。
在之前的SolarWinds发布的内容更新中,该公司提到可能会有其他潜在的受害者,Ramakrishna在周一发布的内容中也重申了这一点,他说:“我们担心的是,目前类似的过程可能存在于世界上其他公司的软件开发环境中。”