SolarWinds公布供应链攻击事故流程，并揭露新发现的恶意程式Sunspot

针对在12月爆发的供应链攻击，SolarWinds找上资安业者CrowdStrike，联手调查事件发生的来龙去脉，并在1月11日公布骇客攻击的路径。SolarWinds指出该攻击的源头，骇客利用了名为Sunspot的恶意程式，而且，他们自2019年9月便开始布局。

在攻击事件被揭露后，SolarWinds聘请CrowdStrike、DLA Piper，以及KPMG，作为调查此次资安事件的顾问。结果发现，骇客从2019年9月就开始布局，当时SolarWinds曾在内部系统发现可疑行动；同年10月的Orion版本就遭到窜改，似乎是骇客用来测试其嵌入恶意程式码的能力；到了2020年2月的版本，便被植入了Sunburst木马程式。

为了让攻击不被发现，另有专门的恶意程式负责掩护

在分析SolarWinds软件建置服务器之后，CrowdStrike指出骇客为发动此次攻击，精心打造恶意程式Sunspot，并将它植入Orion更新套件，而且，此恶意程式内建多项机制，以确保Orion必须能够正常运作，同时让该恶意程式本身，不被任何资安侦测系统察觉，或是让SolarWinds开发者发现Sunspot的存在。

而Sunspot的主要功能为侦测Orion产品的编译程序，再伺机把其中的一个档案，置换成含有Sunburst木马程式的版本。

该公司认为，Sunburst攻击行动可能是史上最复杂、也最精密的网络攻击，骇客同时绕过了由SolarWinds、私人企业，以及-机构所建立的多种威胁侦测机制，在Sunburst进入了SolarWinds用户的IT网络之后，还能躲过这些受害者环境中的防火墙与安全控制。

同时，该公司所使用的软件开发与建置程序，对整个软件产业来说很普遍，相信分享该公司被骇的程序，将能协助软件产业建置更安全的环境。此外，虽然资安专家普遍认为，相关攻击来自外国-支持的骇客，但SolarWinds迄今仍无法确认攻击者的身份与来源。

针对事件揭露更多时间点

值得留意的是，此次对于攻击事件的过程，SolarWinds整理出相当详细的时间表，他们表明骇客先是于2019年下旬进行测试，然后到了2020年2月才真正埋入Sunburst后门程式，并于6月初，就移除程式码里的恶意软件。

这次的资讯揭露中，SolarWinds提供了完整的攻击时间表，大致上可将本次供应链攻击区分成3个阶段，分别是自2019年9月至11月骇客的准备阶段、2020年2月至6月骇客发动攻击，以及12月事件被发现之后SolarWinds的通报工作等。

该公司指出，攻击者大约在2019年9月4日入侵，一个星期后开始尝试窜改Orion，注入测试用的程式码，而这样的工作进行到了同年11月4日停止。

沉寂了3个多月、到了2020年的2月20日，骇客开始编译Sunburst并开始部署到Orion，而这个被植入后门的Orion修补程式Hotfix 5，于3月26日陆续派送到用户端。间隔2个月之后，骇客于6月4日在编译Orion的环境，清除他们加到程式码里的恶意程式。

到了12月12日，SolarWinds收到通报，得知自家的Orion软件遭到植入木马。该公司陆续通知经销商与用户，并提供修补程式。文⊙陈晓莉、周峻佑