SolarWinds
美国证券交易委员会(SEC)周一(10/30)控告了在2020年被骇的SolarWinds,指控SolarWinds与该公司的资讯安全长Timothy Brown诈欺与内控失灵,违反《证券交易法》。
SolarWinds为一专门开发网路、系统与IT管理软体的美国业者,旗下的IT监控平台Orion在2020年12月传出遭到骇客渗透,骇客入侵了Orion的更新机制,于特定的Orion版本中植入了Sunburst木马程式,借以危害采用Orion的组织,根据SolarWinds当时的估计,在3.3万家Orion客户中,有1.8万家安装了含有Sunburst的Orion,涵盖最早揭露此事的资安业者FireEye,以及众多的美国联邦组织,再加上微软、思科、英特尔及Nvidia等。
此外,资安社群还发现,应有其它骇客组织也骇进了SolarWinds,因为它们在Orion中找到了第二个木马程式Supernova。一般认为,Sunburst木马程式来自于俄罗斯骇客组织Cozy Bear,而Supernova则来自中国骇客组织Spiral。
微软总裁Brad Smith隔年接受《60 Minutes》节目专访时,将此一攻击事件称为全球史上规模最大也最高明的攻击行动,还说参与攻击SolarWinds行动的工程师铁定超过1,000名。
这起攻击事件令SolarWinds股价在意外发生的3天内下滑了25%,在该月下滑了35%,并遭到股东的集体诉讼,SolarWinds在去年11月以2,600万美元与股东们和解,继之即迎来了SEC的诉讼。
SEC指出,SolarWinds至少从2018年10月公开发行,到2020年12月遭到Sunburst攻击期间,SolarWinds与Brown对外都夸大了该公司的资安措施,同时低估或者是未揭露已知的安全风险。
SEC之所以会这样认为,是因为调查发现,SolarWinds内部工程师在2018年就曾警告,该公司的远端存取设定不是很安全,成功利用该漏洞的人很可能在未被察觉的情况下为所欲为,进而造成SolarWinds在财务与声誉上的损失。而Brown自己也曾多次于内部简报中提醒,内部安全机制使得该公司的关键资产处于非常脆弱的状态,对于关键系统与资料的存取权限是不合理的。
而在Sunburst攻击行动被揭露的前几个月,SolarWinds更是知道内部的资安问题重重。例如SolarWinds在2020年6月就曾调查一项针对该公司客户所发动的网路攻击,当时Brown即说,骇客可能一直企图利用Orion软体来发动更大规模的攻击行动,因为该公司的后端并不那么有弹性;同年9月,Brown并曾于内部表示,上一个月所发现的安全问题数量,已经超过了工程团队可以解决的能力。
SEC认为,多年来SolarWinds与Brown不断地忽视该公司网路风险的危险讯号,而且他们不但不解决这些安全漏洞,还选择对外描绘于安全管控上的美好虚假景像,误导了投资人。