卡巴斯基：600多家工业公司疑感染SunBurst恶意程式，台湾也有受害者

安全厂商卡巴斯基昨（27）日指出，SolarWinds供应链攻击波及甚广，除了美国-外，也有近2千家企业遭到当中后门程式感染，其中工业类厂商占了600家以上，也包括台湾企业。

近2个月前爆发疑似俄罗斯骇客利用SolarWinds的Orion更新机制，在用户网络上植入后门程式Sunburst。技术研究显示，攻击者在植入Sunburst后展开第二阶段攻击。至于受害单位，虽然SolarWinds在事发之初曾估计约有1.8万家企业及-客户内部网络可能有此恶意程式，关于灾难范围以及第二阶段工具部署的情况资讯却很少。

为了了解有多少企业使用了有被植入后门的SolarWinds，卡巴斯基分析了公开取得及来自第三方名单里，由SunBurst 网域名产生算法（DomainName Generation Algorithm）产生的内部网域名称。最终得到可解码、可归户的网域名有近2000家，研究人员相信这些可能就是遭到SunBurst入侵的企业组。

分析这些企业产业别，显示制造、工程及能源等工业类公司占了32.4%，约600多家。进一步细分，又以制造业最大宗，占了总数（近2千家）的18.11%，意谓著有超过300家企业受害，远远超过其他产业如航太业、工程、资讯、能源及矿业的比例。

研究人员也根据遥测资料分析使用者资讯，显示20多家企业内安装了有被植入后门程式的SolarWinds应用系统。分别位于制造业、运输、公用、营建、矿业及能源业。

卡巴斯基指出，这近2000家工业公司遍及美洲、非洲及亚太地区，包括美国、台湾、荷兰、俄罗斯、墨西哥、智利、印尼、沙特阿拉伯等。

卡巴斯基指出，全球各种产业许多系统都有整合SolarWinds软件，虽然目前资料还没有证据显示攻击者有利用这些系统发动攻击，但由于有资料显示一些产业可能已沦为第二阶段攻击受害者，因此不能排除有可能SolarWinds骇客会在某些产业内扩大活动。

研究人员也呼吁企业检查网络环境下是否有被感染的SolarWinds软件版本，包括2019.4 HF 5、没有hotfix 的2020.2及 2020.2 HF1及检查有无可能的入侵指标（indicator of compromise）。