SolarWinds供应链攻击的肇事源头为Sunspot恶意程式

SolarWinds与资安业者CrowdStrike在本周揭露了SolarWinds Orion Platform供应链遭到骇客攻击的路径，CrowdStrike发现，该攻击的源头为Sunspot恶意程式，而且骇客自2019年9月便开始布局。

SolarWinds聘请了CrowdStrike、DLA Piper与KPMG作为此次资安事件的顾问，调查发现，骇客从2019年9月就开始布局，当时SolarWinds曾在内部系统发现可疑行动；同年10月，Orion Platform版本就遭到窜改，似乎是骇客用来测试其嵌入恶意程式码的能力；而2020年2月释出的Orion Platform版本便被植入了Sunburst木马程式。

而CrowdStrike在分析SolarWinds软件建置服务器之后，指出骇客精心打造了一个名为Sunspot的恶意程式，将它植入Orion Platform的更新套件中，Sunspot内建许多防护机制，以确保Orion Platform版本不会因此而故障，并让Sunspot不被任何侦测系统察觉，同时避免SolarWinds开发者发现Sunspot的存在。

而Sunspot的主要功能为侦测Orion产品的编译程序，再伺机把Orion Platform的其中一个档案置换成含有Sunburst木马程式的档案。

SolarWinds指出，Sunburst攻击行动可能是史上最复杂也最精密的网络攻击，骇客同时绕过了由SolarWinds、私人企业与-机构所建立的多种威胁侦测机制，在Sunburst进入了SolarWinds客户的IT网络之后，还能躲过这些受害者环境中的防火墙与安全控制。

SolarWinds亦强调，该公司所使用的软件开发与建置程序对整个软件产业来说是很普遍的，相信分享该公司被骇的程序将能协助软件产业于未来建置更安全的环境。此外，虽然资安专家的共识是相关攻击来自外国-支持的骇客行动，但迄今仍无法确认骇客的身份与来源。