Secureworks：SolarWinds服务器上的Supernova木马可能源自中国骇客

在SolarWinds证实系统上同时被植入两种不同的木马程式Sunburst与Supernova之后，资安业者Secureworks本周针对Supernova发布了研究报告，指出Supernova应是由骇客集团Spiral所植入，而Spiral可能来自中国。

去年12月，资安业者FireEye率先公布遭到国家级骇客的攻击，随后即传出美国多个机构也受到同样的攻击，骇客先攻陷了SolarWinds的IT监控平台Orion Platform建置程序，于不同的Orion版本上植入Sunburst木马，进而危害Orion Platform的用户，尽管多数资安业者认为Sunburst是源自俄罗斯骇客，但迄今尚未有确实证据；至于Supernova因与Sunburst手法不同，使得外界怀疑SolarWinds其实遭到不同人马的攻击，现在Secureworks则说凶手可能是中国的骇客集团。

Secureworks指出，他们是在去年11月侦测到Supernova，骇客开采了SolarWinds Orion API认证绕过漏洞CVE-2020-10148以植入Supernova，而且此一攻击行动与Sunburst供应链攻击无关。Supernova在系统内进行侦查活动，且使用合法的comsvcs.dll函式库来转储LSASS程序的内容，以取得凭证，并将受害者的网络分享到两台主机上。

Secureworks发现，骇客集团Spiral的行为和ManageEngine ServiceDesk服务器在2018年遭到骇客入侵的手法一致，且目的都在于长期维护存取能力，定期获得凭证并汲取资料，以监视或盗走知识产权，应是来自同一个骇客集团，此外，他们认为ManageEngine的攻击行动与中国骇客有关。

另一方面，Secureworks的端点侦测与回应代理人查到一个不属于受害组织的主机，该主机的IP地址是在中国，而这个主机所使用的名称，恰巧与骇客透过VPN来连结受害网络的另一个主机名称一致，虽然它们使用的是Windows 7主机的预设名称，但这并不符合受害组织的主机命名规则。

研究人员推测，骇客应是在无意间曝露了IP地址，但这也呼应了Spiral只攻击中国以外市场的假设。

目前SolarWinds或美国尚未公布此一攻击事件的完整受害规模，也未证实攻击来源，就算是集结了业界的专家，美国-也只敢说可能是俄罗斯骇客要对SolarWinds攻击事件负责，而Secureworks亦坦言，要追究攻击来源是困难的，就算是资安社群也常有不同的见解与观点，于是选择公布详细的研究结果与业界共享。